METODOLOGÍA PARA LA GESTIÓN DEL RIESGO

“OCTAVE ALLEGRO”

Especialización en Seguridad de la
Información e Informática
 Contenido
 Introducción e historia

 Riesgos

 Características

 Metodología ¿Cómo Funciona?

 Ejercicio

 Conclusión

 Referencias
Antecedentes

El enfoque original fue publicado por el Instituto de

Ingeniería de Software (SEI) en la Universidad
Carnegie Mellon en 1999

Origen Se desarrolló en colaboración con con el Centro de

Investigación de telemedicina y Tecnología Avanzanda
(TATRC)

Proteger y abordar las disposiciones creadas por la

Ley de portabilidad y responsabilidad del Seguro
Medico (HIPAA) para la provacidad y seguridad de las
salud personal.
Evolución
Metodologías de OCTAVE

• OCTAVE: a través de talleres, facilitados por un equipo de

análisis interdisciplinario formado por dependencias
institucionales de toda la organización

• OCTAVE-S: pequeñas organizaciones manufactureras no se

basa en talleres formales de licitación de conocimientos para
reunir información, el equipo tiene conocimiento práctico de los
importantes activos relacionados con la información.

• OCTAVE Allegro
 Octave Allegro
allegro: (al-leg-ro) adv. In a quick and lively tempo (Rápido y animado)

● No requiere amplios conocimientos sobre la gestión de riesgos.

● Difiere de los anteriores. Activos: ¿como se utilizan? ¿de que forma están expuestos?
Almacenamiento, transporte y mantenimiento.

● Se realiza en un entorno de taller.

● Sin embargo, OCTAVE Allegro también es adecuado para el uso de individuos que desean
realizar evaluaciones de riesgo sin una amplia participación organizativa, pericia o insumos.
Ayuda a una organización a :

● Desarrollar criterios cualitativos de evaluación de riesgos que describan las tolerancias

de riesgo operacional de la organización

● Identificar activos importantes para la misión de la organización

● Identificar vulnerabilidades y amenazas a esos activos

● Determinar y evaluar las posibles consecuencias para la organización si se

materializan las amenazas
¿Gestión del riesgo?

● La gestión de riesgos contempla el desarrollo e implementación de

metodologías que permiten identificar, cuantificar, mitigar y monitorear los
diferentes riesgos que pueden existir en una empresa, con el fin de
minimizar las amenazas y vulnerabilidades que se pueden llegar a
materializar con respecto a la seguridad de la información.
 ● Centra su análisis en los activos de información
de la compañía.

● Considera toda amenaza que afecte

negativamente los objetivos y misión de la

Características
organización.

● Documenta toda la información generada

durante su aplicación.

● Método simplificado, requiere menos tiempo de

implementación.
Paso 1: Establecer criterios de medición del riesgo:
¿Como Funcionan?
○ Creación de criterios cualitativos para evaluar el
efecto de los riesgos sobre la misión y objetivos de
la compañía, lo que permite conocer la postura
organizacional frente a ellos.
○ Para cada criterio debe generar áreas de impacto
como: bajo, moderado y alto, es decir, como la
organización se vera afectada por un incidente de
seguridad.
● Se deben priorizar estas áreas de acuerdo con los intereses
de la organización, por lo que el orden puede variar de una
empresa a otra. La categoría más importante recibe el
puntaje más alto y la menos importante recibe la
calificación más baja, con una escala de 1 a 5 si el usuario
no define un área de impacto y solo utiliza las descritas en
OCTAVE Allegro:
Paso 2: Desarrollar un perfil de activos de
información:
○ Definición de características únicas, cualidades y
valor de los activos de información, así como el
responsable y los requisitos de confidencialidad,
integridad y disponibilidad para cada uno.
Paso 3: Identificar contenedores de activos de
información.

○ Identificación de los repositorios donde la

información es procesada, almacenada o
transportada, dentro o fuera de la
organización.
Paso 4: Identificar las áreas de preocupación:
○ Desarrollo de los perfiles de riesgo para los o Se busca documentar las áreas de preocupación a la
activos de información, resultado de la organización en cuanto a su activo critico, para ello se
combinación de la posibilidad de registra información sobre quién podría llevar a cabo esta
materialización de una amenaza y sus amenaza (actores), los medios por los cuales se podría
consecuencias. ejecutar, motivos y sus resultados. Finalmente, se
documenta la manera en la que las amenazas afectarían
los requisitos de seguridad descritos en el segundo paso.
Paso 5: Identificar escenarios de amenaza
○ En este paso las áreas de preocupación se ● Se consideran cuatro arboles de amenazas que
expanden en escenarios de amenaza,
se describen a continuación
permitiendo conocer las propiedades de la
misma, estos pueden ser representados a
través de una estructura conocida como árbol
de amenaza, el árbol de amenaza representa e
identifica las amenazas potenciales del activo
la información como base para determinar el
riesgo.
Ejemplo Árbol de amenzas
Paso 6: Identificar riesgos

● Riesgo = Amenaza (Condición) + Impacto(Consecuencia)

Cálculo del impacto a la organización si se presenta un

escenario de amenaza.

● De manera opcional se puede definir la probabilidad

realista de la ocurrencia de la amenaza (altamente
recomendable). Se trata de una actividad que permitirá
priorizar los riesgos a tratar y requiere de un conocimiento
amplio sobre los problemas de seguridad que ha padecido
la organización, por lo que se pueden utilizar información
estadística como los registros de incidentes. A una
probabilidad de ocurrencia alta se asigna un valor de 3, si es
media un valor de 2 y una valor de 1 para una probabilidad
baja.
Paso 7: Analizar riesgos
● Medición cualitativa del grado en que la organización
es afectada por una amenaza mediante el cálculo de
una puntuación para cada riesgo de cada activo de
información.

● Se debe calcular un puntaje para cada escenario de

amenaza generado, en este caso, se considera un
incidente de seguridad que se conoce públicamente,
por lo que el valor de impacto es alto
(correspondiente a un 3). Para cada criterio puede
existir más de un área de impacto, por lo que en el
cálculo se considera el impacto de mayor valor.
Luego se multiplica el valor de impacto del área con
la prioridad definida en el paso 1:

● El resultado final o puntaje total, es la suma de los

productos de la puntuación. El resultado es un valor
cuantitativo que puede ir de 0 a 45, a un valor más
grande, el impacto será mayor sobre los activos de la
empresa.
Paso 8: Seleccionar un enfoque de mitigación

o Determinación de las opciones de tratamiento de

riesgos utilizando los valores de impacto y
probabilidad calculados en pasos anteriores.
o Este criterio puede variar de una organización a otra,
pero en general, se busca mitigar aquellos riesgos
que resulten con un valor alto (cercano a 45) y con
una probabilidad de ocurrencia alta.
o Se puede usar la matriz de riesgo relativo, que
permite visualizar los riesgos a tratar con base en la
probabilidad y el puntaje de riesgo.
Paso 1: Establecer criterios de medición del riesgo
Ejercicio:
Áreas de Impacto
Bajo
Activos de información en los
cuales la clasificación de la
Acuerdos de Confidencialidad
información en todos sus
niveles es baja
Inadecuado
Servicio
suministro/entrega del servicio
Peticiones y/o reclamaciones
Cliente
eventuales
Disponibilidad de activos,
Administrativa
capacidad de los activos.
Interrupción de los procesos
Operativa de la compañía por menos del
horario laboral.
Criterios de Medición del Riesgo
Moderado Alto
Activos de información donde
Activos de información en los
se aplica todas las
cuales la clasificación de la
propiedades de
información es moderada en
confidencialidad, integridad y
sus propiedades.
disponibilidad.
Incumplimiento en la entrega
Incumplimiento de los
de los resultados e impacto
objetivos establecidos.
previstos.
Área de impacto Prioridad
Incremento de las Acuerdos de Confidencialidad 5
Incremento de un 50% de las reclamaciones por los clientes
reclamaciones en más de un 50% Servicio 4
semestralmente. Cliente 3
Administrativa 2
Integridad de los datos, Operativa 1
Capacidad, diseño ejecución,
disponibilidad de los datos y
proveedores, entradas, salidas
sistemas, desarrollo,
y conocimiento.
producción y mantenimiento.
Daños en las instalaciones de No hay acceso a las
la empresa e interrumpiendo instalaciones físicas las
el horario laboral más de 16 cuales interrumpen las labores
horas. por más de 32 horas.
Paso 2: Desarrollar un perfil de activos de
información:

Hoja de trabajo de Trabajo

Perfil de activo de la información
Activo Critico: Correo Electrónico
Descripción: Servicio de red que permite que dos o más usuarios se comuniquen entre sí
por medio de mensajes electrónicos que son enviados y recibitos a través de una
computadora o dispositivo móvil.
Titular del activo: Meas de ayuda
Contenedores activos de información
Servidor de correo electrónico
Requerimientos de seguridad
Confidencialidad: Todos los correos electrónicos recibidos y enviados son
considerados como información de alta confidencialidad.
Integridad: Toda la información de los correos electrónicos enviados y recibidos debe
ser exacta y correcta.
Disponibilidad: La información que se encuentra en el correo electrónico debe estar
disponible cuando sea necesaria para la labor de cualquier usuario autorizado de la
compañía.
Paso 3: Identificar contenedores de activos de
información
Contenedores Internos
Nombre – Descripción Dependencia - Propietario
Compañía: instalación física donde laboran los funcionarios de la compañía y la
infraestructura tecnológica y física de la información. Presidente y fundador

Formulario: Documento físico y/o digital diseñado para registrar datos en este caso de
los “Clientes”. Informática Aplicada

Servidor: Equipo tecnológico donde se almacena la información referente de la

compañía y los programas que se usan a diario aplicados a los controles de acceso.
Vicepresidencia Administrativa y la dirección

Plataforma de correo: Correo electrónico corporativo de la compañía.

Informática Aplicada – Gestoría Martínez Pérez Asociados

Circuito cerrado de televisión o CCTV: Medidas de seguridad física la cual limitan el

acceso a personal no autorizado. Vicepresidencia Administrativa y la dirección

Disco duro externo: Dispositivo de almacenamiento externo para realizar backups de la

información. Informática Aplicada

Archivador: Elemento físico que permite guardar documentos impresos de manera

lógica y ordenada. Informática Aplicada

Computadores: equipo indispensable en la vida cotidiana, la cual permite procesar y

acumular datos. Vicepresidencia tecnológica y Operaciones
Paso 4: Identificar las áreas de preocupación:
Activos de Información
 Bases de datos de clientes
 Sistemas de información contable.
 Servidores
 Backups de la información
 Internet
Áreas de Preocupación
Comprometer la información, suministrado acceso no
autorizado a los sistemas informáticos.
Acceso no autorizado en las dependencias de la
compañía.
Falta de capacitación en el manejo delos equipos
informáticos.
Interrupción en el servicio de energía eléctrica.
Fallas en la red de datos interna de la compañía.
Interrupción de servicio de internet
Fallas en el hardware de los equipos informáticos.
Contratación a terceros
Desastres naturales
Paso 4:
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo crítico: Correo electrónico
Área de Divulgación de la información, acceso no autorizado a la empresa.
Preocupación:
Actor: Funcionarios de la empresa y visitantes.
Medio: Ingreso no autorizado el servidor de correo electrónico
Motivos: Robo, ex - empleado, solo causar daño y/o intereses personales.
Resultados: Divulgación: X Modificación: Destrucción: Interrupción: X
Requisito de El acceso a los servidores debe estar restringido y de acceso a solo personal
Seguridad: autorizado.
Hoja de trabajo Metodología Octave Allegro
Áreas de preocupación de activos de información
Activo crítico: Correo electrónico
Área de Desastre natural
Preocupación:
Actor: Fenómenos naturales
Medio: Incendio, inundaciones, terremotos etc
Motivos: Efectos naturales
Resultados: Divulgación: Modificación: Destrucción: X Interrupción:
Requisito de Se debe realizar backups de forma constante y resguardarlos en sitios
Seguridad: seguros fuera de la empresa.
 Paso 5: Identificar escenarios de amenaza
Definición de los distintos Arboles de Amenaza
Árbol de Amenaza Descripción
Amenazas que pueden afectar de manera
Factores humanos en la empresa directa e indirecta por factores humanos los
activos de la empresa. Valor Frecuencia
Amenazas activas hacia la información de la Alto Mas 5 Veces al año
Infraestructura “Zona residencial” empresa por acceso físico invalidando la Medio Entre 2 y 4 veces al año
seguridad. Bajo 1 vez al año
Amenazas en la información de la empresa por
fallas con la infraestructura tecnológica en la en
Fallas técnicas
la misma, por consecuencias en fallos de
hardware, software, virus etc.
Amenaza que esta fuera de nuestro alcance
Otros como los desastres naturales y fluctuaciones en
el suministro eléctrico.

Árbol de amenaza: Correo electrónico

Árbol de Amenaza Área de preocupación Resultado
Factores humanos por ingreso Robo, daño de la información. Divulgación de la información
a la empresa. y pérdida del mismo.
Otros problemas Desastre natural Pérdida total
Paso 6: Identificar riesgos

Hoja de trabajo Metodología Octave Allegro

Consecuencias de los activos de información
Correo electrónico
Divulgación de la información, accesos no autorizados en la empresa: La
vicepresidencia de tecnología y operaciones de la empresa INFORMATICA APLICADA
debe establecer políticas que cumplan con la normativa de seguridad y protección de
datos, la cual se podrá evidenciar la sustracción o modificación de datos.
Desastres Naturales: El correo corporativo de la empresa quedaría temporalmente
suspendido hasta que no se realicen los respectivos cambios de un nuevo equipo y la
restauración del backup del correo, de igual forma representaría interrupciones en el
desarrollo de actividades laborales.
 Paso 7: Analizar riesgos
Hoja de trabajo Metodología Octave Allegro
Consecuencias de los activos de información
Correo electrónico
Área de Área de Valor del
Ranking
preocupación Impacto Impacto Puntuación
Acuerdos de
5 Bajo (1) 5
Divulgación de Confidencialidad
la información y Servicio 4 Bajo (2) 8
Hoja de trabajo Metodología Octave Allegro
el acceso no Cliente 3 Bajo (1) 3 Resumen de análisis de riesgos activos de información
autorizado Administrativa 2 Bajo (1) 2 Correo electrónico
Operativa 1 Bajo (2) 2
Área de
Total 20 Impacto Puntaje
preocupación
Hoja de trabajo Metodología Octave Allegro Divulgación de la
Consecuencias de los activos de información información y el Medio 20
acceso no autorizado.
Correo electrónico
Desastre natural. Alto 40
Área de Valor del
Área de Impacto Ranking
preocupación Impacto Puntuación
Acuerdos de
5 Bajo (2) 10
Confidencialidad
Servicio 4 Bajo (3) 12
Desastre natural
Cliente 3 Bajo (3) 9
Administrativa 2 Bajo (3) 6
Operativa 1 Bajo (3) 3
Total 40
Paso 8: Seleccionar un enfoque de mitigación
Matriz de riego relativo
Puntaje de riesgo
Probabilidad
30 A 45 16 A 29 0 A 15
Alta Grupo 1 Grupo 2 Grupo 2
Media Grupo 2 Grupo 2 Grupo 3
Baja Grupo 3 Grupo 3 Grupo 4

Grupo Enfoque de Mitigación

Grupo 1 Mitigar
Grupo 2 Mitigar o Transferir
Grupo 3 Transferir o Aceptar
Grupo 4 Aceptar
 Conclusión

● OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca

en los activos de información y ofrece opciones para crear los
escenarios de amenaza, que permiten tener un mayor alcance
para la identificación a la hora de hacer un análisis de riesgos y
prevenirlos, con base en la propensión de la organización y los
criterios que definan los tomadores de decisiones.
 Referencias

● https://prezi.com/p/hp0xihtcjswo/octave-allegro/
● https://calidadengestiondeproyectos.com/2019/06/02/el-analisis-riesgo-de-octave-allegro/
● Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process (2007),
Richard A. Caralli, James F. Stevens, Lisa R. Young, William R. Wilson.