Metodología OCTAVE

Metodología OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Operationally Critical Threats Assets and Vulnerability Evaluation.Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo.

Una evaluación efectiva de riesgos en la seguridad de la información considera tanto los  temas organizacionales como los técnicos, examina cómo la gente emplea la infraestructura  en forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en  seguridad, porque genera una visión a lo ancho de la organización de los riesgos de seguridad de la información, proveyéndonos de una base para mejorar a partir de allí.

Para que una empresa comprenda cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo.

En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica.

Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prácticas de seguridad Y Tecnología.

El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías.

Objetivos

• Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico
• Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.

Activos

Octave divide los activos en dos tipos que son:

• Sistemas (Hardware. Software y Datos)
• Personas

Fases

La metodología OCTAVE está compuesta en tres fases:

• Visión de organización: Donde se definen los siguientes elementos: activos, vulnerabilidades de organización, amenazas, exigencias de seguridad y normas existentes.
• Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas.
• Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos, estrategia de proteccion, ponderacion de los riesgos y plano de reduccion de los riesgos.

Métodos

Método Octave: Se desarrolló para organizaciones grandes con más de 300 empleados. . El 

método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en: 

• Identificar los elementos críticos y las amenazas a esos activos. 
• La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización. 
• El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades.

Método Octave-S: Se desarrolló pensando en las necesidades de las empresas más pequeñas. Posee los mismos criterios que el método anterior pero adaptado a las limitaciones y restricciones propias del tipo de organización a la que está enfocado. Las principales diferencias entre los dos métodos son: 

1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. Esta versión no comienza con el conocimiento formal sino con la obtención de talleres para recopilar información sobre los elementos importantes, los requisitos de seguridad, las amenazas y las prácticas de seguridad. El supuesto es que el equipo de análisis de esta información ya se conoce. 
2. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Las pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad. 

Método Octave Allegro: Variante del primer método, enfocado a los activos de la información. Consta de las siguientes fases:

Fase 1 - Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización, los objetivos y los factores críticos de éxito. 

Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información, que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores. 

Fase 3 - Los participantes identifican las amenazas a la información de cada activo en el 

contexto de sus contenedores. 

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación.