Ofensive Security (los creadores de BackTrack), han liberado un ejemplo de reporte que utilizan en sus test de penetración, a mi parecer esta bien estructurado y contiene los elementos justos que se deben mostrar en un reporte de este tipo.

Es muy común escuchar entre los profesionales de la seguridad informática, las quejas a la hora de hacer el reporte de un pentest, la verdad es que no conozco el primero que disfrute haciendo este tipo de informes, pero siempre que escucho este tipo de quejas les recuerdo a estos profesionales que el informe es el producto que el cliente puede ver, es por lo que la empresa ha pagado y se espera mucho de él, por tanto debemos realizarlo lo mejor que podamos, explicar detalladamente (la parte técnica) para que el área de sistemas puedan entender los problemas encontrados y también lo suficientemente claro como para que un gerente entienda que es lo que esta pasando en la empresa.

El reporte o informe cobra especial importancia para aquellos profesionales que trabajamos independientes, ya que con él, nuestro cliente sacará una conclusión del trabajo realizado, asumiendo que si el reporte esta bien hecho, el trabajo estará igual, por lo que muchas veces del reporte entregado depende el que nos vuelvan a contratar en dicha empresa o nos recomienden con otra.

(Artículo extraído de DragonJAR)