Metodología OCTAVE para el análisis de riesgos en SGSI

Metodología OCTAVE

La metodología OCTAVE se corresponde con las siglas Operational Critical, Threat, Asset and Vulnerability Evaluation (evaluación operativa crítica, de amenazas, de activos y de vulnerabilidad). Se trata, por ello, de una metodología de análisis y gestión de riesgos. En el centro se encuentra el objetivo de garantizar los sistemas informáticos en el interior de una empresa u organización.

Mediante la aplicación de la metodología OCTAVE, varias personas que pertenezcan a sectores de negocios, de los departamentos de tecnologías de la información y del sector operativo trabajaran de manera conjunta. Esto se hará con el foco puesto en las necesidades que establezca la seguridad. En este sentido deberán estar equilibrados tres aspectos como son los riesgos operativos, la tecnología y las prácticas de seguridad.

 

Objetivos

El principal objetivo de la metodología OCTAVE se orienta hacia los aspectos de riesgos operativos y prácticas de seguridad. Esto significa que para que las empresas y las organizaciones puedan tomar las decisiones pertinentes en lo relativo a la protección de la información con base en riesgos tales como la confidencialidad, la integridad o la disponibilidad de los bienes afines a la información crítica, la tecnología será sometida a examen en proporción a las diferentes prácticas de seguridad.

La metodología OCTAVE se desarrolló en la Universidad Carnegie Mellon de Pensilvania, en los Estados Unidos. Esto se hizo en el Centro de Coordinación del Instituto de Ingeniería de Software. OCTAVE está compuesta por tres fases diferenciadas de desarrollo.

 

Fase 1

La primera fase engloba los activos, las amenazas, las vulnerabilidades de la empresa u organización, las exigencias de seguridad y las normas existentes. Esta fase, a su vez, está compuesta por cuatro procesos diferenciados.

El primero de estos procesos consiste en la identificación del conocimiento de los altos directivos. En este punto se procederá a la recopilación de información de los niveles de seguridad, de los principales activos y sus posibles motivos de preocupación y de las estrategias de protección con las que cuente la empresa u organización en ese momento.

El segundo de los procesos se basa en la identificación del conocimiento, una vez más, de los directivos, pero en este caso de áreas operativas. Su meta principal a nivel operativo es la recolección de información.

El proceso número tres tiene que ver con la identificación del conocimiento del personal. Llegados a este punto se toma información de miembros de personal sobre requisitos de seguridad, de los principales activos y sus posibles motivos de preocupación y de las estrategias de protección con las que cuente la empresa u organización en ese momento. La participación en el mismo será por parte del personal del departamento de tecnología e información y del personal de planta.

El cuarto y último proceso de esta fase consiste en la composición de perfiles de amenaza. En este punto el equipo de análisis se encargará de evaluar la información recopilada en los procesos anteriores. Posteriormente ser pasará a seleccionar 5 activos críticos y sobre los mismos se definen requisitos y amenazas.

 

Fase 2

Esta segunda fase engloba los componentes claves y las vulnerabilidades técnicas. En ella se continua con los procesos comenzados en la fase anterior, permitiendo un desarrollo correcto del análisis y la gestión de los riesgos en el interior de la empresa u organización.

El quinto proceso comprende la identificación de componentes clave, sistemas importantes para activos críticos. Estos componentes clave serán los que se evalúen para las vulnerabilidades de la tecnología. El personal de tecnología de información y el equipo de análisis serán los encargados en función de las necesidades.

El sexto y último proceso de esta fase tiene que ver con la evaluación de los componentes que hayan sido seleccionados. En este proceso asimismo es posible la identificación de las vulnerabilidades de los componentes críticos.

 

Fase 3

Esta última fase, la tercera, engloba la evaluación de los riesgos y la ponderación de los mismos, la estrategia de protección y el plano de reducción de los riesgos. La fase número 3 de la metodología OCTAVE la componen dos procesos.

El proceso número siete está basado en la realización de un análisis de riesgos. En el mismo se identificarán los riesgos susceptibles de darse sobre los activos críticos de la empresa u organización.

El último proceso de todos, el ocho, constituye el desarrollo de una serie de estrategias de protección. En las mismas se definirán las acciones y planes a llevar a cabo para proteger los activos críticos. Estas por su parte necesitan de un estudio y aprobación antes de su ejecución.

 

Software ISO 27001

La norma ISO 27001 2013, junto con el resto de estándares internacionales que componen su familia, establecen los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla. Por su parte, el Software ISOTools Excellence para la norma ISO 27001 2013 da solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una empresa u organización.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba