1. ¿QUE ES?

OCTAVE: es una metodología de análisis de riesgos desarrollada por el SEI

(Software Engineering Institute) operado por la Universidad Carnegie Mellon en el año 2001
ubicada en Pensilvania (Estados Unidos), y su acrónimo significa “Operationally Critical
Threat, Asset and Vulnerability Evaluation (es la Metodología de Evaluación de Amenazas
Operacionalmente Criticas, Activos y Vulnerabilidades) “. Esta metodología agiliza y
optimiza los procesos de evaluación de riesgos de seguridad de la información alineados a
los objetivos.
2. OBJETIVOS Desarrollar una perceptiva de seguridad dentro de una organización teniendo
en cuenta perspectivas de todos los niveles para asegurarse que las soluciones puedan
implementarse con facilidad.  Permitir la compresión del manejo de los riesgos.  Clasifica
a los componentes de la empresa en activos y los ordena de acuerdo a su importancia en
amenaza y vulnerabilidad
3. PRINCIPALES CARACTERÍSTICAS Estudia la infraestructura de la información Autodirigido
Flexible Diferente de los análisis tradicionales de riesgos enfocados a tecnología

Ventajas • Es una metodología auto dirigida • Comprende los procesos de análisis y gestión de
riesgos. • Involucra a todo el personal de la entidad. • Se considera de las más completas.
Desventajas • No toma en cuenta el principio de no repudio de la información como objetivo de
seguridad. • Usa muchos documentos anexos. • Requiere de profundos conocimientos técnicos. •
No explica en forma clara la definición y determinación de los activos de información
1. 6. ACTIVIDADES DE PREPARACIÓN  Obtener respaldo de la alta dirección: Este es el factor
de éxito más crítico. Si los altos directivos apoyan el proceso, las personas de la organización
participarán activamente en él.  Seleccionar el equipo de análisis: Los miembros del equipo deben
tener las habilidades suficientes para dirigir la evaluación. Ellos también necesitan saber cómo
establecer una buena comunicación con los demás integrantes, ya que esto les permitirá aumentar
sus conocimientos y habilidades.  Alcance OCTAVE: La evaluación debe incluir importantes zonas
de operaciones. Si el alcance es demasiado grande, será difícil de analizar todos los datos. Si es
demasiado pequeño, los resultados pueden no ser tan significativos.  Selección de los
participantes: Los funcionarios procedentes de múltiples niveles de organización aportarán sus
conocimientos. Es importante que estas personas puedan comprender sus zonas de operaciones
2. 7. Fases Fase 1: Visión organizativa Activos Amenazas Practicas Actuales Requerimientos de
seguridad Fase 2:Visiòn tecnológica Componentes claves Vulnerabilidades técnicas Fase 3:
Estrategia y desarrollo del plan Riesgos Estrategia de protección Planes de mitigación
3. 8. FASE 1: VISIÓN ORGANIZATIVA • Identificar los elementos importantes • Describir las
áreas de preocupación • Revisar el alcance de la evaluación Proceso 1: Identificar la información a
nivel gerencial • Identificación de los activos importantes • Descripción de las áreas de interés • La
identificación de las estrategias actuales de protección y vulnerabilidad • Verificación de los
participantes del personal Proceso 2: identificar la información a nivel operativo • Estimula el
conocimiento por parte del personal en general y el personal de las TI Proceso 3: Identificar los
conocimientos del personal • Consolidación de datos preliminar • Selección de los activos críticos •
Definición de los requisitos de seguridad para los activos críticos Proceso 4: Crear perfiles de
amenazas
4. 9. FASE 2: VISIÓN TECNOLÓGICA • Se identifican los componentes mas importantes que
están relacionados con cada activo critico como firewall, servidores, routers, sistemas de backup y
almacenamiento de la información entre otros Proceso 5: Identificar los componentes claves • Cada
componente es evaluado mediante diferentes técnicas (herramientas de detección de
vulnerabilidades, equipo técnico de inspección) para identificar las debilidades que puede llevar al
acceso no autorizado sobre los activos críticos. Proceso 6: Evaluar los componentes seleccionados
5. 10. FASE 3: PLANIFICACIÓN DE LAS MEDIDAS Y REDUCCIÓN DE RIESGOS • Se identifican los
riegos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo) de acuerdo
con los criterios que deben definirse durante las fases anteriores Proceso 7: Realizar una análisis de
riesgos • Revisar la información, crear una estrategia de protección, crear planes de mitigación,
crear lista de acciones a corto plazo, incluye las vulnerabilidades que requieren corrección inmediata
Proceso 8: Desarrollar una estrategia de protección
6. 11. MÉTODOS OCTAVE Monta una visión clara de la organización y sus necesidades de
información y seguridad de la misma OCTAVE-S Está adaptado a los limitados medios y restricciones
únicas de las pequeñas organizaciones. OCTAVE ALLEGRO Se centra en los activos de la información.
7. 12. MÉTODO OCTAVE-S Fue desarrollado en respuesta a las necesidades de organizaciones
más pequeñas alrededor de 100 personas o menos. Cumple con los mismos criterios que el método
OCTAVE pero está adaptado a los limitados medios y restricciones únicas de las pequeñas
organizaciones. OCTAVE-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero
produce el mismo tipo de resultados Se diferencia de las demás versiones porque:  Requiere un
pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa.  incluye
sólo una exploración limitada de la infraestructura informática.
8. 13. GUÍA DE IMPLEMENTACIÓN Proporciona la mayor parte de lo que necesita un equipo
de análisis para llevar a cabo una evaluación. Incluye hojas de trabajo y orientaciones para cada
actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se incluye
aún la adaptación de orientación a reuniones o de información.
9. 14. MÉTODO OCTAVE ALLEGRO Es una variante simplificada del método de OCTAVE que se
centra en los activos de la información. Igual que los anteriores métodos de OCTAVE, Allegro se
puede realizar de entrada en un taller de entorno colaborativo, pero también es muy apropiado
para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la
organización o experiencia.
10. 15. FASES DE OCTAVE ALLEGRO Fase 1: Evaluación de los participantes desarrollando
criterios de medición del riesgo con las directrices de la organización: la misión de la organización,
los objetivos y los factores críticos de éxito. Fase 2: Cada uno de los participantes crean un perfil de
los activos críticos de información, que establece límites claros para el activo, identifica sus
necesidades de seguridad, e identifica todos sus contenedores. Fase 3: Los participantes identifican
las amenazas a la información de cada activo en el contexto de sus contenedores. Fase 4: Los
participantes identifican y analizan los riesgos para los activos de información y empiezan a
desarrollar planes de mitigación.
11. 16. PASOS PARA IMPLEMENTAR OCTAVE ALLEGRO 1 • Establecer criterios de medición del
riesgo 2 • Desarrollar un perfil de activos de información 3 • Identificar contenedores de activos de
información 4 • Identificar áreas de preocupación 5 • Identificar escenarios de amenaza 6 •
Identificar riesgos 7 • Analizar riesgos 8 • Seleccionar un enfoque de mitigación
12. 17. GUÍA DE IMPLEMENTACIÓN Contiene todos los recursos necesarios para llevar a cabo
una evaluación de seguridad de la información. Incluye paso a paso las instrucciones detalladas para
realizar la evaluación, hojas de trabajo que acompaña al documento de la evaluación, materiales de
apoyo para la identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.
13. 18. CERTIFICACIÓN Es un curso intensivo de dos días, ofrecido por la PECB(Profesional
evaluation and certification board), el cual permite a los participantes desarrollar las competencias
necesarias para dominar los elementos básicos de gestión de riesgos relacionados con los activos
de relevancia para la seguridad de la información usando el estándar ISO / IEC 27005:2008 como
marco de referencia y la metodología OCTAVE. Durante este curso de capacitación, podrá adquirir
las habilidades necesarias para establecer criterios de medición de riesgos, desarrollar un perfil de
activos de información, identificar contenedores de activos de información, identificar áreas de
preocupación, identificar escenarios de amenazas, identificar riesgos, analizar riesgos y seleccionar
enfoques de mitigación.
14. 19. ¿QUIÉN DEBE PARTICIPAR?  Gerentes de riesgos  Las personas responsables de la
seguridad de la información o de la conformidad de una organización  Miembros del equipo de la
seguridad de la información  Consultores de TI  El personal de organizaciones que implementan
o que buscan cumplir con la norma ISO 27001 y que están involucrados en un programa de gestión
de riesgos basado en la metodología OCTAVE
15. 20. OBJETIVOS DE APRENDIZAJE  Comprender los conceptos, enfoques, métodos y técnicas
que permiten una gestión eficaz del riesgo según la norma ISO 27005  Interpretar los requisitos de
la norma ISO 27001 sobre la gestión de riesgos de seguridad de información  Desarrollar las
habilidades necesarias para llevar a cabo una evaluación de riesgos con la metodología OCTAVE 
Dominar los pasos para llevar a cabo una evaluación de riesgos con la metodología OCTAVE 
Comprender la relación entre la gestión de riesgos de seguridad de la información, los controles de
seguridad y el cumplimiento de los requisitos de los diferentes participantes de una organización 
Adquirir la competencia para implementar, mantener y gestionar de manera continua un programa
de gestión de riesgos de seguridad de la información de acuerdo con ISO 27005  Adquirir las
competencias para asesorar eficazmente a las organizaciones sobre las mejores prácticas en la
gestión de riesgos de seguridad de la información
16. 21. INTRODUCCIÓN AL CASO DE ESTUDIO La empresa integrar soluciones informáticas
específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en
General. Estas soluciones de hardware, software y servicios especializados dan como resultado
sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y
Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office)
Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos,
financieros y de planeación.
17. 22. SITUACIÓN ACTUAL Asociación de Consejeros posee la cuenta de un cliente
multinacional de comida rápida el cual tiene contratado el servicio de administración del software
de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con
lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejeros,
al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se
dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la
Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin
de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que
conllevan y el posible impacto que se tendría.
18. 23. OBJETIVO Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus
clientes al proteger de manera integral su mayor activo que es la información en los aspectos de
confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones
estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de
las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos
de software y activos físicos, realizando un análisis de riesgo y sensibilidad.
19. 24. Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto
en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta
BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. ALCANCE
20. 25. • Para el desarrollo del análisis de riesgo dentro de este proyecto se utilizo la
metodología OCTAVE , debido a que se requiere la participación de las personas que se encuentran
implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo
de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta
dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se
encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de
sistemas de punto de ventas. METODOLOGIA
21. 26. 1. Establecer criterios de medición de riesgos. 2. Desarrollar un perfil de activos de
información. 3. Identificar contenedores de activos de información. 4. Identificar áreas de
preocupación. 5. Identificar escenarios de amenaza. 6. Identificar riesgos. 7. Analizar riesgos. 8.
Seleccionar un enfoque de mitigación. FASES DE OCTAVE
22. 27. • Información: Contiene información acerca de las ventas de cada restaurante, datos de
cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro
de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades
principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de
cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo
relacionado con las ventas. Ninguna de estas tareas se realizan a mano. ACTIVOS CRITICOS
23. 28. • Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el
equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único
usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe
antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable.
• No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una
sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de
soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su
funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a
los recursos de dichos equipos RIESGOS
24. 29. • Hacer que los POS sean inoperantes. • Robo de base de datos. • Robo de logs de
transacciones de TC. • Manipulación de datos en inventario de los restaurantes. • Manipulación de
ventas en POS, por medio de clave de soporte. • Virus o software malicioso Amenazas AMENAZAS
25. 30. Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de
transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además
de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio
de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en
su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas
ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede
causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de
promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga
que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo
en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la
fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de
empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación –
Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de
manera económica a la empresa Bajo IDENTIFICACION DE AMENAZAS Y VULNERABILIDADES
26. 31. Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información
Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible
para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes
niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e
integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra
desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la
transferencia de datos. Prioritaria Alto CARACTERISTICAS CONTROL DE SEGURIDAD
27. 32. Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software
Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de
Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases
de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en
equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk
- Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico
corporativo Integridad - Políticas de depuración de información - Implementación de plan de
recuperación de desastres Necesario Alto CARACTERISTICAS CONTROL DE SEGURIDAD
28. 33. Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos
Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de
estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en
equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de
respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto
Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar
acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa
en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación
de canales de comunicación con sus superiores Necesario Medio CARACTERISTICAS CONTROL DE
SEGURIDAD
29. 34. La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en
cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según
corresponda, como se muestra a continuación. MATRIZ DE PONDERACIÓN
30. 35. Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo
de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa
mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por
parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que
algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero
a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad
y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3
RECONOCIMIENTO Y ACEPTACIÓN DEL RIESGO
31. 36. Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala
implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la
POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor
tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información
sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado,
inventario. Fuga de información sensible del personal de operación, así como días de entrega de
mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación
de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima.
Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1
RECONOCIMIENTO Y ACEPTACIÓN DEL RIESGO
32. 37. Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC -
Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo -
Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de
puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación
de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de
claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se
distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus
o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para
que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos
restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante
como en laptops de Help Desk Por Implementar 4 Monitoreo y Evaluación de Controles de Seguridad
33. 38. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació
n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un
laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de
validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. -
Validación por parte de Help Desk con personal de operación que no exista ninguna falla después
de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de
consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada
restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a
supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help
Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4
34. 39. Amenaza Control Estatus Ponderación Actual Manipulación de datos en inventario de
los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre
del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office
como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de
abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por
las ventas de productos. Aplicado 1