Jordan Cuadro Negrete

York Dau Angulo

Alberto Rojas
Enor Acosta
 Amenaza

Riesgo
Vulnerabilidad

Salvaguarda
Consiste en identificar los riesgos de
seguridad de nuestra empresa,
determinar su magnitud e identificar las
áreas que requieren implementar
salvaguardas.
 Análisis de riesgos

Nivel de riesgo de la organización

 METODOLOGIA OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability
Evaluation)
Es la Metodología de evaluación de Amenazas Operacionalmente Criticas, Activos y Vulnerables, siendo una técnica de evaluación de
riesgos para garantizar la seguridad del sistema informativo desarrollada por el SEI (Software Engineering Institute) en Estados Unidos.

Objetivos
• Desmitificar la falsa creencia: La
Seguridad Informática es un asunto
meramente técnico.

• Presentar los principios básicos y la

estructura de las mejores prácticas
internacionales que guían los asuntos
no técnicos.

300
Características
• Octave divide los activos en dos tipos que
son:
1. Sistemas, (Hardware. Software y Ventajas Desventajas
Datos).
Es una metodología auto No toma en cuenta el principio de no
2. Personas
repudio de la información como
dirigida objetivo de seguridad
• En contra de la típica consultoría focalizada
Comprende los procesos de Usa muchos documentos anexos
en tecnología, que tiene como objetivo los
riesgos tecnológicos y el foco en los temas análisis y gestión de riesgos
tácticos, el objetivo de OCTAVE es el Involucra a todo el personal Requiere de profundos
riesgo organizacional y el foco son los
de la entidad conocimientos técnicos.
temas relativos a la estrategia y a la
práctica
Se considera una de las No explica en forma clara la
metodologías más definición y determinación de
completas. los activos de información.
 Equipo de análisis

Identificación recursos importantes

Enfoque actividades de análisis de riesgos

Actividades de Preparación

Relación de amenazas y vulnerabilidades

Obtener respaldo de alta dirección

Evaluación riesgos
Seleccionar el equipo de análisis

Creación estrategia de protección

Alcance Octave

Selección de los participantes

Fases y Procesos
 FASE 1: GENERAR PERFILES DE ACTIVOS BASADOS EN LA AMENAZA

• Identificar los activos clave de la empresa.

Proceso1: • Describir las amenazas de los activos
Identificar el • Describir la estrategia actual y planificada para proteger los activos
conocimiento de • Identificar los indicadores de riesgo
la empresa • Selecionar áreas operativas para evaluar

• Caracterizar los activos clave del área operativa

• Caracterizar los activos en relación con los activos de la
Proceso 2: empresa
Identificar el • Describir las amenazas a los activos
conocimiento del • Describir la estrategia actual y planificada para proteger
los activos
área operativa. • Identificar indicadores de riesgo.
• Seleccionar personal para evaluar

Proceso 3: • Caracterizar los activos clave del personal.

• Caracterizar los activos en relación con el área operacional y
Identificar el los activos de la empresa.
conocimiento del • Describir las amenazas de los activos
personal • Describe la estrategia y planificación para proteger los activos

Proceso 4:
Creación de
Perfiles de
Amenazas.
FASE 2: IDENTIFICAR VULNERABILIDADES
TECNOLOGICAS

Proceso 5:
• Componentes Claves
Identificación de
los componentes
clave
FASE 3: DESARROLLAR ESTRATEGIAS Y PLANES DE
SEGURIDAD

Proceso 7: • Se basa en la información de

Proceso 6: las etapas anteriores
Evaluación de Análisis de
componentes riesgos
seleccionados
• Trabajo previo
• Revisar la información
Proceso 8: • Crear una estrategia de
Desarrollo de una protección
estrategia de • Crear planes de mitigación
protección • Crear lista de acciones a
corto plazo
 METODOS
Octave Versión Original
Monta una visión clara de la
organización y sus
necesidades de información y
seguridad de la misma

Esta adaptado a los

limitados medios y
Octave-s (adaptado a
OCTAVE pequeñas organizaciones)
restricciones únicas de las
pequeñas organizaciones

Octave-allegro(se centra
Se centra en los
en los activos de la
activos de la
información)
información
 OCTAVE-S

5
Recopilar información
• elementos importantes,
• los requisitos de seguridad,
• las amenazas y las prácticas de
seguridad

Guía de implementación

Fue desarrollado en respuesta a las necesidades de

organizaciones más pequeñas alrededor de 100 personas o
menos.
 OCTAVE-ALLEGRO
Fase 1: Evaluación de los participantes desarrollando criterios de
medición del riesgo.

Fase 2: Cada uno de los participantes crean un perfil de los activos

críticos de información.

Fase 3: Los participantes identifican las amenazas a la información

de cada activo en el contexto de sus contenedores.

Fase 4: Los participantes identifican y analizan los riesgos para los

activos de información y empiezan a desarrollar planes de
mitigación.
Guía de implementación

Es una variante simplificada del método de Octave que se centra

en los activos de la información. Igual que los anteriores métodos
de Octave.
Fase 1:Visión de
la Organización

Fase 2:
Visión
Tecnológica.

Fase 3:
Planeación
 Fase 1:Visión de la Organización

Identificación de las áreas en la organización y activos

¿Cuál es su área ?

¿Qué Función tiene dentro de la empresa ?

¿ Utilizan equipo de computo?

Inventario del Área de Ventas

Fase 2:Visión Tecnológica Fase 3:Planeación
Identificación de amenazas y vulnerabilidades
recomendación de actividades para cada una de las vulnerabilidades
identificadas
 Referencias

• http://apuntesseguridadit.blogspot.com/2014/03/octave-o-
perationally-c-ritical-t-hreat.html
• https://dsi.face.ubiobio.cl/sbravo/1-
AUDINF/MAGERIT%20COMPARACION.pdf
• http://seguridades7a.blogspot.com/p/octave.html
• http://metodologiaoctave.blogspot.com/2014/03/metodologia-
octave.html
• http://polux.unipiloto.edu.co:8080/00004420.pdf
• https://www.securityartwork.es/2012/04/02/introduccion-al-
analisis-de-riesgos-%E2%80%93-metodologias-ii/
• https://seguridadenlasredes.wordpress.com/2010/08/12/metodo
logias-de-analisis-de-riesgos-magerit-y-octave/
GRACIAS !