METODOLOGA DE ANLISIS DE RIESGO OCTAVE

1. INTRODUCCIN

Operationally Critical Threats Assets and Vulnerability Evaluation. Es un mtodo de evaluacin

y de gestin de los riesgos para garantizar la seguridad del sistema informativo, desarrollado
por el estndar internacional ISO270001.

OCTAVE es una metodologa de anlisis de riesgos desarrollada por la Universidad Carnegie

Mellon en el ao 2001, y su acrnimo significa Operationally Critical Threat, Asset and
Vulnerability Evaluation, estudia los riesgos en base a tres principios Confidencialidad,
Integridad y Disponibilidad, esta metodologa se emplea por distintas agencias
gubernamentales tales como el Departamento de defensa de Estados Unidos.

Existen 3 versiones de la metodologa OCTAVE:

1. La versin original de OCTAVE

2. La versin para pequeas empresa OCTAVE-S
3. La versin simplificada de la herramienta OCTAVE-ALLEGRO

Cuenta con 3 fases durante el proceso de desarrollo de la metodologa:

1) La primera contempla la evaluacin de la organizacin, se construyen los perfiles activo-

amenaza, recogiendo los principales activos, as como las amenazas y requisitos como
imperativos legales que puede afectar a los activos, las medidas de seguridad implantadas en
los activos y las debilidades organizativas.

2) En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI.

3) En la ltima fase de desarrolla un plan y una estrategia de seguridad, siendo analizados los
riesgos en esta fase en base al impacto que puede tener en la misin de la organizacin.

https://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93-
metodologias-ii/

OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La

tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las compaas

tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad,

integridad y disponibilidad de los bienes relacionados a la informacin crtica.

El mtodo OCTAVE permite la comprensin del manejo de los recursos, identificacin y

evaluacin de riesgos que afectan la seguridad dentro de una organizacin.

Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la informacin

por parte del equipo de anlisis mediante el apoyo de un patrocinador interesado en la

seguridad.

El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y

tecnolgicos:
 Identificacin de la informacin a nivel gerencial.
Identificacin de la informacin a nivel operacional.
Identificacin de la informacin a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta

OCTAVE:

Consolidacin de la informacin y creacin de perfiles de amenazas.

Identificacin de componentes claves.

Evaluacin de componentes seleccionados.
Anlisis de riesgos de los recursos crticos.
Desarrollo de estrategias de proteccin.

https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B
2n+de+Riesgos.pdf

2. HISTORIA Y EVOLUCIN.

3. DEFINICIN OCTAVE

OCTAVE(Operationally Critical Threat, Asset, and Vulnerabi-lity Evaluation)es una tcnica de

valuacin y planificacin estratgica basada en el riesgo para la seguridad, fue desarrollada
en el ao 2001 por la universidad Carnegie Mellonpara el Departamento de defensa de los
Estados Unidos. Exis-ten dos versiones: OCTAVE-S, es una metodologa simplificada para
las organizaciones ms pequeas que tienen estructuras jerrquicas planas, y OCTAVE
Allegro, es una versin ms completa para las organizaciones gran-des o aquellos con
estructuras de varios niveles. OCTAVE es auto dirigido, lo que significaque las personas de
una organizacin asumen la responsabilidad de establecer la estrategia de seguridad de la
organizacin. La tcnica aprovecha los conocimientos de las prcticas y los procesos
relacionados con la seguridad de su organizacin para capturar el estado actual de la
seguridad dentro de la organi-zacin. Los riesgos para los activos ms crticos se utilizan
para priorizar reas de mejora y establecer la estrategia de seguridad de la organizacin. A
diferencia de las evaluaciones centradas en latecnologastpicas, las cuales estn dirigidas a
riesgo tecnolgico y se centraron en cuestiones tcticas, OCTAVE est dirigido a riesgo de la
organizacin y se centr en temas estratgicos, relacionados con la prctica. Es una evaluacin
flexible que sepuede adaptar para la mayora de las organizaciones. El enfoque OCTAVE es
impulsada por dos de los aspectos: el riesgo operativo y las prcticas de seguridad. La
tecnologa slo se examina en relacin con las prcticas de seguridad, lo que permite a una
organizacin afinar la vista de sus prcticas de seguridad actuales. Al utilizar el enfoque
OCTAVE, una organizacin toma decisiones de proteccin de la informacin basada en los
riesgos para la confidencialidad, integridady disponibilidadde los activos relacionados con la
informacin crtica. Todos los aspectos de riesgo (activos, amenazas, vulnerabilidadesy el
impactosobrela organizacin) se tienen en cuenta en la toma de decisiones, lo que le permite
a una organizacin que coin-cida con unaestrategiade proteccin basadaen la prctica de
sus riesgos de seguridad.

http://docplayer.es/61166530-Gestion-del-riesgo-con-base-en-iso27005-adaptando-octave-
s.html

4. VERSIONES DE OCTAVE

Existen tres versiones que son:

a. Octave mtodo original: este mtodo se cre con grandes organizaciones, este
mtodo se centra en: identificar las amenazas de activos, identificar las
vulnerabilidades y desarrollar una estrategia de proteccin.
b. Octave-s: Para pequeas empresas
c. Octave-allegro: mtodo simplificado para evaluar la seguridad de la informacin.

Mtodo OCTAVE:

El mtodo fue desarrollado teniendo en cuenta grandes organizaciones de 300 ms

empleados, pero el tamao no fue la nica consideracin. Por ejemplo, las grandes
organizaciones suelen tener una jerarqua de mltiples capas y es probable que mantengan su
propia infraestructura informtica, junto con la capacidad interna para ejecutar herramientas
de evaluacin de la vulnerabilidad e interpretar los resultados en relacin a los activos crticos.

El mtodo utiliza una ejecucin en tres fases que examina las cuestiones organizacionales y
tecnolgicas, monta una visin clara de la organizacin y sus necesidades de informacin y
seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por
un equipo de anlisis interdisciplinario de tres a cinco personas de la propia organizacin. El
mtodo aprovecha el conocimiento de mltiples niveles de la organizacin, centrndose en:

d. Identificar los elementos crticos y las amenazas a esos activos.

e. La identificacin de las vulnerabilidades, tanto organizativas y tecnolgicas, que
f. exponen a las amenazas, creando un riesgo a la organizacin.
g. El desarrollo de una estrategia basada en la proteccin de prcticas y planes de
h. mitigacin de riesgos para apoyar la misin de la organizacin y las prioridades.
Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y
hojas de clculo que se puede utilizar para obtener y captar informacin durante los debates y
la solucin de sesiones-problema.

GUA PARA LA IMPLEMENTACIN:

Proporciona todo lo que un equipo de anlisis de necesidades debe utilizar para llevar a cabo
una evaluacin de su organizacin. Incluye un conjunto completo de procesos detallados,
hojas de trabajo, y las instrucciones para cada paso en el mtodo, as como material de apoyo
y orientacin para la ejecucin.

Material Introductorio Material del Mtodo Materiales Adicionales

Preparacin de la direccin. Para cada fase y Libro perfil de Activos.

Adaptacin de la direccin. proceso: Catlogo de prcticas.
Administracin superior de Resumen. OCTAVE de flujo de
informacin. Directrices detalladas. datos.
Participantes de Hojas de trabajo. Completos ejemplos de
informacin. Diapositivas y apuntes. resultados.

Mtodo OCTAVE-S:

Fue desarrollado en respuesta a las necesidades de organizaciones ms pequeas alrededor de

100 personas o menos. Cumple con los mismos criterios que el mtodo Octave pero est
adaptado a los limitados medios y restricciones nicas de las pequeas organizaciones.

Octave-S utiliza un proceso simplificado y ms hojas de trabajo diferentes, pero produce el

mismo tipo de resultados. Las dos principales diferencias en esta versin de Octave son:

1. Octave-S requiere un pequeo equipo de 3-5 personas que entienden la amplitud y

profundidad de la empresa. Esta versin no comienza con el conocimiento formal sino
con la obtencin de talleres para recopilar informacin sobre los elementos
importantes, los requisitos de seguridad, las amenazas y las prcticas de seguridad. El
supuesto es que el equipo de anlisis de esta informacin ya se conoce.
2. Octave-S incluye slo una exploracin limitada de la infraestructura informtica. Las
pequeas empresas con frecuencia externalizan sus procesos de TI por completo y no
tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.

GUA DE IMPLEMENTACIN:

Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una
evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la adaptacin
de orientacin a reuniones o de informacin.

Material Introductorio Material del Mtodo Materiales Adicionales

 Para cada fase y
Introduccin. Los ejemplos de
proceso: Directrices.
Preparacin de Orientacin. resultados completos.
Hojas de Trabajo.

Mtodo OCTAVE ALLEGRO:

Es una variante simplificada del mtodo de Octave que se centra en los activos de la
informacin. Igual que los anteriores mtodos de Octave, Allegro se puede realizar de entrada
en un taller de entorno colaborativo, pero tambin es muy apropiado para las personas que
desean realizar la evaluacin de riesgo sin una amplia participacin de la organizacin o
experiencia.

Debido a que el enfoque principal de Octave Allegro es el activo de la informacin, la

organizacin de otros importantes activos se identifican y evalan en funcin de los activos de
informacin a la que estn conectados. Este proceso elimina la posible confusin sobre el
alcance y reduce la posibilidad de que la recoleccin de datos y de anlisis se realice para los
activos que no estn claramente definidos, fuera del alcance de la evaluacin, o que necesitan
ms de la descomposicin.

Consta de ocho pasos organizados en cuatro fases:

Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin del riesgo

con las directrices de la organizacin: la misin de la organizacin, los objetivos y los
factores crticos de xito.

Fase 2 Cada uno de los participantes crean un perfil de los activos crticos de
informacin, que establece lmites claros para el activo, identifica sus necesidades de
seguridad, e identifica todos sus contenedores.

Fase 3 - Los participantes identifican las amenazas a la informacin de cada activo en el

contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de
informacin y empiezan a desarrollar planes de mitigacin.

GUA DE IMPLEMENTACIN:

Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de la
informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin, hojas
de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para la
dentificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.

Material Introductorio Material del Mtodo Materiales Adicionales

Introduccin y Objetivo.
Actividades detalladas, Informacin de gua del
mtodo para cada paso. contenedor del activo.
Incluyendo: Arboles de amenazas.
Antecedentes y Cuestionarios de riesgo
definiciones. para cada tipo de
Notas generales y riesgo.
conceptos. Ejemplo completo de
Pasos de la Actividad. hojas de actividades.
Ejemplos. Notas
especiales Hojas de
actividades.

https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B
2n+de+Riesgos.pdf

5. FASES DE OCTAVE

La metodologa OCTAVE est compuesta en tres fases

1. Visin de organizacin: Donde se definen los siguientes elementos: activos,

vulnerabilidades de organizacin, amenazas, exigencias de seguridad y normas
existentes.
2. Visin tecnolgica: se clasifican en dos componentes o elementos: componentes
claves y vulnerabilidades tcnicas.
3. Planificacin de las medidas y reduccin de los riesgos: se clasifican en los siguientes
elementos: evaluacin de los riesgos, estrategia de proteccin, ponderacin de los
riesgos y plano de reduccin de los riesgos.
http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html

6. IMPLEMENTACIN DE OCTAVE

7. EJEMPLO DE OCTAVE

8. BIBLIOGRAFA.

https://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93-
metodologias-ii/