O relatório é o produto mais tangível de um pentest — mas é também onde muitos fornecedores decepcionam. Relatórios gerados automaticamente por ferramentas de scan, sem análise humana, sem contexto de negócio e sem recomendações acionáveis, são infelizmente comuns no mercado.
A anatomia de um bom relatório
1. Sumário Executivo
O sumário executivo não é opcional — é a seção mais lida do documento. Deve ser compreensível por um CEO ou membro de conselho sem formação técnica. Deve responder: qual é o risco real para o negócio? Quão grave é a situação? O que precisamos fazer primeiro?
2. Metodologia
A seção de metodologia documenta como o teste foi conduzido: abordagem (black/gray/white box), ferramentas utilizadas, frameworks seguidos (OWASP, PTES, OSSTMM), escopo exato testado e período do teste. Isso serve como evidência formal para processos de auditoria e conformidade.
3. Achados técnicos detalhados
Cada vulnerabilidade deve ter: título descritivo e específico, severidade com CVSS Score calculado para o contexto específico, steps-to-reproduce precisos, evidências (screenshots, logs, payloads), impacto real no ambiente e recomendação específica de correção — não genérica.
4. Recomendações de remediação
Recomendações genéricas como "implementar validação de input" não ajudam o time de desenvolvimento. Uma boa recomendação inclui abordagem técnica específica para o stack utilizado, código de exemplo quando aplicável e prioridade de correção com prazo recomendado.
5. Priorização de risco
Com dezenas de achados de diferentes severidades, o time precisa saber por onde começar. Um bom relatório inclui uma matriz de priorização que considera severidade técnica (CVSS), exposição real no ambiente, criticidade do ativo afetado e esforço de correção estimado.
O que indica um relatório de baixa qualidade
- Achados que parecem saídos diretamente de uma ferramenta automática sem análise manual
- Recomendações idênticas em achados diferentes
- Ausência de evidências (screenshots, requests/responses)
- CVSS scores sem adequação ao contexto específico do ambiente
- Nenhuma seção de sumário executivo ou uma que use linguagem técnica
Peça uma amostra antes de contratar
Sempre solicite uma amostra anonimizada de relatório antes de fechar um contrato de pentest. A qualidade do relatório é o melhor indicador da qualidade do teste. Na Rondo Security, fornecemos amostras redacted de relatórios reais para todos os prospects. Entre em contato para solicitar.
