Skip to content

Tu informe tiene 30 hallazgos. ¿Cómo deberías presentarlos para que sean lo más útiles posible para el cliente?

Respuesta breve

Un informe útil impulsa la remediación: clasifica por riesgo de negocio (probabilidad × impacto), destaca las cadenas de explotación que llevan a un compromiso crítico y da soluciones accionables para cada hallazgo. El orden alfabético entierra lo importante bajo lo que empieza por «A». Lo más largo primero premia la verborrea sobre la gravedad. Eliminar los hallazgos bajos oculta riesgo real y los patrones que el cliente necesita para la defensa en profundidad, dejándolo con una imagen falsamente tranquilizadora.

Una prueba de penetración solo crea valor si el cliente puede actuar sobre ella. El informe —no la explotación— es el entregable, y su estructura determina si se corrige primero lo correcto.

Por qué clasificar por probabilidad × impacto es lo correcto

Ordena los hallazgos por riesgo de negocio: probabilidad × impacto, empieza por los problemas críticos y resalta las cadenas de explotación: las secuencias donde varias debilidades individualmente modestas se combinan en un compromiso total. Una línea como «este SSRF medio más ese endpoint de metadatos expuesto equivale al robo de credenciales en la nube y a la toma del dominio» es mucho más útil que treinta hallazgos aislados. Empareja cada uno con una remediación clara y accionable y proporciona un resumen ejecutivo para los responsables más el detalle técnico para los ingenieros. Esto permite al cliente priorizar su presupuesto de remediación limitado frente al riesgo real.

Por qué las demás opciones están mal

  • Orden alfabético. Ordenar por título es arbitrario y ciego a la gravedad. Una RCE crítica podría quedar por debajo de un problema trivial de cabecera solo por la primera letra, enterrando el trabajo que importa.
  • Los textos más largos primero. Esto premia la verborrea, no la gravedad. La extensión de la prosa no guarda relación con el riesgo de negocio, y poner las secciones largas al principio hace el informe más difícil de accionar, no más fácil.
  • Solo los críticos; eliminar el resto. Omitir los hallazgos bajos y medios oculta riesgo residual real y borra los patrones (por ejemplo, una falta sistémica de validación de entradas) que informan la defensa en profundidad. También oculta los componentes de las cadenas de explotación, dejando al cliente falsamente tranquilo.

Qué evalúa un entrevistador

Quiere ver que tratas el informe como el producto, teniendo en mente las decisiones del lector. La señal más fuerte es pensar en cadenas de explotación y en remediación priorizada y accionable, comunicando el riesgo en términos de negocio en lugar de volcar salida técnica en bruto.

Posibles preguntas de seguimiento

  • ¿Cómo conviertes varios hallazgos bajos en una narrativa de cadena de explotación de gravedad alta?
  • ¿Qué necesita un resumen ejecutivo que el detalle técnico no?
  • ¿Cómo haces que la guía de remediación sea accionable en lugar de genérica?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.