Necesito advertirlo: hay un millón de maneras diferentes de hacerlo, y la mayoría de las organizaciones tienen las suyas. La mayor parte de mi experiencia en firmas de servicios profesionales globales apunta a entregar este tipo de informes a los directores de seguridad de TI, CISO y juntas ejecutivas, por lo que su millaje puede variar. Un breve resumen:
Primero: piensa en tu audiencia
Si realiza entregas a los desarrolladores de TI y los equipos de soporte, todo lo que van a querer es una lista de problemas priorizada, los pasos a seguir y un enlace a la descripción del proveedor (por ejemplo, la página de MS KB)
Si realizan entregas a los jefes de departamento, querrán una lista de prioridades con una estimación del riesgo y la probabilidad de explotación, tiempo para solucionar cada una de ellas y posiblemente los propietarios (aunque eso no sea su responsabilidad)
Hay otras audiencias, pero esas dos son probablemente las más comunes. Por lo tanto, a menudo es útil entregar un informe que sea adecuado para ambos.
Lo que normalmente preparo es un resumen ejecutivo en el que se explica por qué se realizó el trabajo (por ejemplo, para una auditoría), las implicaciones de alto nivel de los resultados (por lo general los indicadores de rojo / ámbar / verde para la junta) y una estimación del tiempo para corregir. Esto ayuda a la alta gerencia a priorizar el presupuesto y los recursos. La redacción aquí debe ser adecuada para llevarla al tablero si es necesario, ¡así que no hay detalles técnicos!
Además, incluiré un apéndice técnico que contiene la información que realmente necesitará el equipo de remediación para realizar las correcciones pertinentes. Esto puede ser tan simple como una hoja de cálculo de Excel.