UNIVERSIDAD FIDÉLITAS

MAESTRÍA PROFESIONAL EN GESTIÓN DE LA TECNOLOGÍA

Trabajo de Investigación

Investigación Metodología Octave

AUTORES:

FELIX FUENTES NUÑEZ

DIEGO CASTRO DIAZ
LUIS NÁJERA CAMACHO

PROFESOR: OSCAR MORALES SEGURA

SAN JOSÉ. COSTA RICA

ENERO, 2018
Introducción
OCTAVE es una metodología para identificar y evaluar riesgos de seguridad de la
información. Se creó para tratar de ayudar a una organización a desarrollar criterios
cualitativos de evaluación de riesgos que describan las tolerancias de riesgo
operacional de la organización además de los siguientes aspectos:

 Identificar activos que son importantes para la misión de la organización.

 Identificar vulnerabilidades y amenazas a esos activos.
 Determinar y evaluar las posibles consecuencias para la organización si se
detectan amenazas.

El marco conceptual que formó la base del enfoque original de OCTAVE fue
publicado por el Software Engineering Institute (SEI) en la Universidad Carnegie
Mellon en 1999.

El SEI fue quien desarrolló el método OCTAVE para abordar los desafíos de
cumplimiento de seguridad que enfrentaba el Departamento de Defensa de los
Estados Unidos.

Desde su lanzamiento en septiembre de 1999, ha habido una serie de

actualizaciones y cambios en la metodología OCTAVE.

La Tabla 1 proporciona una breve línea de tiempo de importantes relacionados con

OCTAVE

Con la publicación de este informe técnico, ahora hay tres metodologías distintivas
de OCTAVE disponibles para uso público: el método OCTAVE, OCTAVE-S y
OCTAVE Allegro. La introducción de OCTAVE Allegro no pretende suplantar las
metodologías anteriores de OCTAVE.
OCTAVE Allegro es una variante que proporciona un proceso optimizado centrado
en los activos de información.

Sin embargo, cada método de OCTAVE tiene amplia aplicabilidad, y los usuarios de
estos métodos pueden seleccionar el enfoque que mejor se adapte a sus
necesidades particulares de evaluación de riesgos de seguridad de la información.

Objetivo General
Investigar sobre la metodología Octave, en la que al menos se aborden temas
relacionados con la historia de la metodología o modelo, su evolución, última versión
publicada y objetivo principal de la misma.

Evolución de la Metodología
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una
metodología que mejora el proceso de toma de decisiones que tiene que ver con la
protección y gestión de recursos de una organización, así como una herramienta de
análisis de riesgos.

Se pueden identificar principalmente dos métodos OCTAVE: el utilizado para

grandes empresas de trescientos o más empleados y el OCTAVE-S para
organizaciones con pocos empleados (por ejemplo, PYMES). En junio de 1999 la
Universidad de Carnegie Mellon publica OCTAVE Framework, versión 1.0. En
septiembre de 2001 se publica OCTAVE Method versión 2.0 y en diciembre de 2001
se publica OCTAVE Criteria, versión 2.0, todas ellas para grandes organizaciones
con jerarquía multi-nivel. En septiembre de 2003 se publica OCTAVE-S versión 0.9
y en marzo del 2005 se publica OCTAVE-S versión 1.0 adecuadas para
organizaciones más pequeñas (con 20 a 80 empleados) con estructura jerárquica
plana.
En junio del 2007 se publica OCTAVE Allegro versión 1.0 que mejora la capacidad
de la organización para realizar la valoración de riesgos, por ejemplo, cuando los
activos de información son el foco de la valoración de riesgos de seguridad otros
activos relacionados se consideran contenedores de información, almacenando,
procesando o transportando activos de información.

Objetivos Principales de la Metodología Octave

a. Enfocada a que la organización sea capaz de:

• Dirigir y gestionar sus evaluaciones de riesgos

• Tomar decisiones basándose en sus riesgos

• Proteger los activos claves de información

• Comunicar de forma efectiva la información clave de seguridad

b. Coadyuvante en el Aseguramiento de la continuidad del negocio

• Definición del riesgo y amenazas basadas en los activos críticos

• Estrategias de protección y mitigación de riesgos basada en prácticas

c. Recopilación de datos en función de los objetivos

d. Base para la mejora de la seguridad

Diferentes Métodos de la Metodología
1. Método Octave

El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó

más empleados, pero el tamaño no fue la única consideración. Por ejemplo, las
grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable
que mantengan su propia infraestructura informática, junto con la capacidad interna
para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los
resultados en relación a los activos críticos.

El método utiliza una ejecución en tres fases que examina las cuestiones
organizacionales y tecnológicas, monta una visión clara de la organización y sus
necesidades de información y seguridad de la misma. Se compone de una serie de
talleres, facilitados o llevados a cabo por un equipo de análisis interdisciplinario de
tres a cinco personas de la propia organización. El método aprovecha el
conocimiento de múltiples niveles de la organización, centrándose en:

• Identificar los elementos críticos y las amenazas a esos activos.

• La identificación de las vulnerabilidades, tanto organizativas y tecnológicas,

que exponen a las amenazas, creando un riesgo a la organización.

• El desarrollo de una estrategia basada en la protección de prácticas y planes

de mitigación de riesgos para apoyar la misión de la organización y las
prioridades.

Estas actividades son apoyadas por un catálogo de buenas prácticas, así como
encuestas y hojas de cálculo que se puede utilizar para obtener y captar información
durante los debates y la solución de sesiones problema.
GUÍA PARA LA IMPLEMENTACIÓN

2. Método Octave-S

Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas

alrededor de 100 personas o menos. Cumple con los mismos criterios que el método
Octave pero está adaptado a los limita dos medios y restricciones únicas de las
pequeñas organizaciones.
Octave se utiliza un proceso simplificado y más hojas de trabajo diferentes, pero
produce el mismo tipo de resultados. Las dos principales diferencias en esta versión
de Octave son:

1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la

amplitud y profundidad de la empresa. Esta versión no comienza con el
conocimiento formal sino con la obtención de talleres para recopilar
información sobre los elementos importantes, los requisitos de seguridad,
las amenazas y las prácticas de seguridad. El supuesto es que el equipo de
análisis de esta información ya se conoce.

2. Octave-S incluye sólo una exploración limitada de la infraestructura informática.

Las pequeñas empresas con frecuencia externalizan sus procesos de TI por
completo y no tienen la capacidad de ejecutar o interpretar los resultados de las
herramientas de vulnerabilidad.
 GUÍA DE IMPLEMENTACIÓN

3. Método Octave-Allegro
Es una variante simplificada del método de Octave que se centra en los activos de
la información. Igual que los anteriores métodos de Octave, Allegro se puede
realizar de entrada en un taller de entorno colaborativo, pero también es muy
apropiado para las personas que desean realizar la evaluación de riesgo sin una
amplia participación de la organización o experiencia.

Debido a que el enfoque principal de Octave Allegro es el activo de la información,

las organizaciones de otros importantes activos se identifican y evalúan en función
de los activos de información a la que están conectados.

Este proceso elimina la posible confusión sobre el alcance, reduce la posibilidad de

que la recolección de datos y de análisis se realice para los activos que no estén
claramente definidos, fuera del alcance de la evaluación, o que necesitan más de la
descomposición.

Consta de ocho pasos organizados en cuatro fases:

Fase 1:

• Evaluación de los participantes desarrollando criterios de medición del riesgo

con las directrices de la organización: la misión de la organización, los
objetivos y los factores críticos de éxito.

Fase 2:

• Cada uno de los participantes crean un perfil de los activos críticos de

información, que establece límites claros para el activo, identifica sus
necesidades de seguridad, e identifica todos sus contenedores.

Fase 3:

• Los participantes identifican las amenazas a la información de cada activo en

el contexto de sus contenedores.

Fase 4:

• Los participantes identifican y analizan los riesgos para los activos de

información y empiezan a desarrollar planes de mitigación.
GUÍA DE IMPLEMENTACIÓN

Beneficios de la Metodología:

Identifica los riesgos de la seguridad que pueden impedir la consecución

del objetivo de la organización

Enseña a evaluar los riegos de la seguridad de la información

Crea una estrategia de protección con el objetivo de reducir los riesgos

de seguridad de la información prioritaria

Ayuda a la organización cumplir regulaciones de la seguridad de la

Información.
Aplicación de la Metodología en las Organizaciones
Conclusión
Es claro que las organizaciones hoy en día son conscientes de la necesidad de
identificar los riesgos asociados a TI, pero también es claro que al tener esta
preocupación y no aplicar una metodología adecuada para cada negocio (es decir,
entendiendo su cultura organizacional, sus procesos, sus operaciones de misión
crítica) es imposible lograr que estas metodologías alcancen sus metas de
minimizar los riesgos.

Es por esta razón que, adicionalmente a conocer los estándares, normas,

regulaciones y metodologías de análisis de riesgos, es necesario contar con un
gobierno de TI que establezca en forma clara las directrices estratégicas para llevar
en forma exitosa estos procesos de análisis de riesgos. Lo anterior significa que
para lograr un proceso exitoso se requiere de la sinergia del conocimiento de los
estándares y normas, con las metodologías a aplicar; con un gobierno de TI que
lidere, organice y defina los lineamientos a seguir, con miras a sostener sus
procesos de misión crítica bajo una cultura organizacional.
Bibliografía
a. Página oficial del creador de la metodología octave:
https://www.cert.org/resilience/products-services/octave/index.cfm

b. Página sobre octave, y aplicación de la metodología:

http://www.scielo.org.co/pdf/ring/n31/n31a12.pdf

c. Página de evaluación de metodologías

http://www.isaca.org/chapters7/Monterrey/Events/Documents/20100302%20Metod
olog%C3%ADas%20de%20Riesgos%20TI.pdf

d. Página de información de la metodología

https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deG
esti%C3%B2n+de+Riesgos.pdf