OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Home         |           Metodologías de Análisis y Evaluación de Riesgo

Es una metodología de análisis de riesgos desarrollada en el año 2001 por el SEI (Software Engineering Institute operado por la Universidad Carnegie Mellon, que tiene por objeto facilitar la evaluación de riesgos en una organización, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad

Esta metodología se emplea por distintas agencias gubernamentales tales como el Departamento de defensa de Estados Unidos.

OCTAVE equilibra los siguientes aspectos:

• Riesgos operativos
• Practicas de seguridad
• Tecnología.

Características:

• Estudia la infraestructura de la información
• Es Autodirigido
• Flexible
• Diferente de los análisis tradicionales de riesgos enfocados a tecnología

Percibe los siguientes objetivos:

• Permitir la comprensión del manejo de los recursos
• Identificación y evaluación de los riesgos que afectan la seguridad dentro de una organización.
• Exige llevar la evaluación de la organización y del personal de la tecnología de información

Debe existir un equipo de Análisis el cual tiene las siguientes funciones:

• Identificación recursos importantes mediante encuestas y entrevistas
•  Enfoque actividades de análisis de riesgos
•  Relación de amenazas y vulnerabilidades
•  Evaluación riesgos
•  Creación estrategia de protección, planes de mitigación y diseño de políticas de seguridad

La metodología OCTAVE está compuesta en tres fases para examinar los problemas organizacionales y tecnológicos,  reuniendo una visión global de las necesidades de seguridad de la organización de la información. El método utiliza talleres para fomentar la discusión abierta y el intercambio de información sobre los activos, las prácticas de seguridad y estrategias.

Fases y su proceso:

Cada fase consta de varios procesos y cada proceso tiene uno o más talleres dirigidos o realizados por el equipo de análisis. Además existen algunas actividades de preparación necesarias que establecen una buena base para una evaluación exitosa, estas son:

• Obtener respaldo de la alta dirección: Este es el factor de éxito más crítico. Si los altos directivos apoyan el proceso, las personas de la organización participarán activamente en él.

• Seleccionar el equipo de análisis: Los miembros del equipo deben tener las habilidades suficientes para dirigir la evaluación. Ellos también necesitan saber cómo establecer una buena comunicación con los demás integrantes, ya que esto les permitirá aumentar sus conocimientos y habilidades.

• Alcance OCTAVE: La evaluación debe incluir importantes zonas de operaciones. Si el alcance es demasiado grande, será difícil de analizar todos los datos. Si es demasiado pequeño, los resultados pueden no ser tan significativos.

• Selección de los participantes: Los funcionarios procedentes de múltiples niveles de organización aportarán sus conocimientos. Es importante que estas personas puedan comprender sus zonas de operaciones

FASE 1: GENERAR PERFILES DE ACTIVOS BASADOS EN LA AMENAZA.

Esta es una evaluación organizacional y se refiere la Recopilación de información de los distintos niveles de la organización, y la consolidación y el análisis de esa información.

El equipo de análisis determina cuales activos son más importantes para la organización (activos críticos) e identifica lo que se está haciendo para proteger esos activos.

Los procesos de la fase 1 son:

Proceso 1: Identificar los conocimientos de Dirección

Este proceso despierta el conocimiento de los altos directivos. Estos gerentes fueron seleccionados durante la preparación de OCTAVE para proporcionar una buena muestra de la alta dirección de la organización.

Consta de las siguientes actividades:

• Identificar los elementos importantes: los altos directivos deben definir qué bienes son importantes para ellos y la organización, también priorizar los activos para identificar los cinco más importantes.
• Describir las áreas de preocupación: para los cinco activos más importantes, los altos directivos describen situaciones en las que tales activos se ven amenazados
• Definir los requerimientos de seguridad de los activos importantes: los altos directivos definen los requisitos de seguridad para los activos importantes.
• Identificar las estrategias actuales de protección y vulnerabilidades organizacionales: los altos directivos completan las encuestas basadas en el catálogo de prácticas, discuten sus respuestas para proporcionar más información sobre lo que se está y no se está haciendo bien en términos de seguridad.
• Revisar el alcance de la evaluación: las áreas operativas y sus gerentes de los talleres en el Proceso 2 se seleccionaron inicialmente durante las actividades de preparación para OCTAVE. Esta es una segunda oportunidad para los gerentes de alto nivel, habiendo participado en el proceso, para modificar o agregar áreas operativas y gerentes a la lista.

Proceso 2: Identificar los conocimientos en el área de gestión operativa.

Este  proceso estimula el conocimiento de los administradores de las áreas operativas. Estos son los responsables de las áreas seleccionadas en el momento de la definición del alcance de OCTAVE. Estas áreas operacionales proporcionar una buena sección transversal de la organización. 

El proceso 2 consta de las siguientes actividades:

• La identificación de los activos importantes: Los administradores de las áreas operativas definen qué bienes son importantes para ellos y la organización. También priorizar los activos para identificar los cinco más importantes.
• Descripción de las áreas de interés: Para los cinco activos más importantes, los gerentes de operaciones de la zona describen situaciones en las que tales activos se ven amenazados.
• Definición de los requisitos de seguridad para los activos importantes: Es responsabilidad de la zona de definir los requisitos de seguridad para los activos importantes.
• La identificación de las estrategias actuales de protección y vulnerabilidades de la organización: los gerentes operativos del área completan las encuestas basadas en el catálogo de prácticas, discuten sus respuestas para proporcionar información adicional sobre lo que se está haciendo bien y lo que no se está haciendo en términos de seguridad.
•  Verificación de los participantes del personal: Los miembros del personal de los talleres en el proceso 3 se seleccionaron inicialmente durante las actividades de preparación para OCTAVE. Esta es una segunda oportunidad para los administradores de las áreas operativas, habiendo participado en la preparación, para modificar o añadir personal a la lista.

Proceso 3: Identificar los conocimientos del personal

El proceso 3 estimula el conocimiento por parte del personal en general y el personal de las tecnología de la información (TI). 

Todo el proceso consiste en las siguientes actividades:

• La identificación de los activos importantes: los miembros del personal definen qué activos son importantes para ellos y la organización, priorizan los activos para identificar los cinco más importantes. El personal de TI, en particular, debe centrarse en cuáles son los activos que necesitan para hacer su trabajo.
• Descripción de las áreas de preocupación: para los cinco activos más importantes, los integrantes describen situaciones en las que tales activos se ven amenazados.
•  Definición de requisitos de seguridad para los activos importantes: los miembros del personal definir los requisitos de seguridad para los activos importantes.
• La identificación de las estrategias actuales de protección y vulnerabilidades de la organización: los integrantes completan las encuestas basadas en el catálogo de prácticas, discuten sus respuestas para proporcionar información adicional sobre lo que se está haciendo bien y lo que no se está haciendo en términos de seguridad. El personal en general y el personal de TI tienen diferentes encuestas.

Proceso 4: Crear perfil de Amenaza 

Este proceso integra toda la información recogida durante los talleres de recolección de conocimiento en los procesos 1 a 3 y crea perfiles de amenaza para un conjunto de activos críticos. En el proceso 4 las actividades son realizadas por el equipo de análisis (con miembros adicionales, si se desea).

Se compone de las siguientes actividades:

• Consolidación de datos preliminar: el equipo de análisis recoge las listas de activos, requisitos de seguridad y áreas de interés recogidos en los procesos de 1 a 3 en un formato utilizable 
• Selección de los activos críticos: de todos los activos identificados por los altos directivos y operativos, generales y personal de TI, los más críticos son elegidos por el equipo de análisis 
• Definición de los requisitos de seguridad para los activos críticos: el equipo de análisis refina cualquier información obtenida durante los procesos de 1 a 3 para llegar a un conjunto final de requisitos de seguridad.
• La determinación de las amenazas a los activos críticos: las áreas de interés definidas durante los procesos de 1 a 3 se refinan y se expanden los perfiles de amenaza.

FASE 2: IDENTIFICAR LAS VULNERABILIDADES DE LA INFRAESTRUCTURA


Se trata de una evaluación de la infraestructura de información. El equipo de análisis examina los principales componentes operacionales y sus debilidades (vulnerabilidades tecnológicas) que pueden dar lugar a una acción no autorizada contra los activos críticos.

Los procesos de la Fase 2 son:

Proceso 5: Identificar los componentes clave.

Este proceso identifica los componentes claves de la infraestructura que deben ser examinados en busca de vulnerabilidades tecnológicas para cada activo crítico. El equipo de análisis identifica los principales sistemas de tecnología de información y los componentes de cada activo crítico. Los casos específicos se seleccionan para su evaluación.

Este proceso consta de las siguientes actividades:

·  Componentes claves: Se identifican los componentes más importantes que están relacionados con cada activo crítico como firewalls, servidores, routers, sistemas de backup y almacenamiento de información, entre otros; a fin de visualizar todos los caminos de acceso al activo crítico y elementos que se puedan constituir en puntos de acceso no autorizado al activo evaluado.

Proceso 6: Evaluar los componentes seleccionados.

Durante este proceso cada componente es evaluado mediante diferentes técnicas (herramientas de detección de vulnerabilidades, equipo técnico de inspección) para identificar las debilidades que pueden llevar a accesos no autorizados sobre los activos críticos. Es una actividad muy técnica que, incluso, puede ser subcontratada a terceros dentro de la valoración de riesgos.

FASE 3. Estrategia y plan de desarrollo

En esta etapa el equipo de análisis identifica los riesgos sobre los diferentes activos críticos y decide qué acciones tomar. El equipo crea entonces una estrategia de protección y planes de mitigación, basados en la información recolectada.

Los procesos de la Fase 3 son:

Proceso 7: Análisis de Conducta de riesgo

Durante este Proceso, el equipo de análisis identifica el impacto de las amenazas a los activos críticos, crea criterios para evaluar esos riesgos, y evalúa los impactos sobre la base de esos criterios. Esto produce un perfil de riesgo de cada activo crítico.

Consta de las siguientes actividades:

·         Basados en la información de las etapas anteriores y particularmente en los perfiles de amenazas, se identifican los riesgos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo) de acuerdo con los criterios que deben definirse durante las fases anteriores. Estos criterios pueden basarse, a su vez, en aspectos como: pérdidas económicas, afectación de la imagen, generación de riesgo sobre vidas humanas, entre otros.

Proceso 8: Desarrollar una estrategia de protección

En este proceso el equipo de análisis crea una estrategia de protección para los planes de ordenamiento y mitigación para los activos críticos, basados en el análisis de la información recogida. Los altos directivos luego revisan, depuran y aprueban la estrategia y los planes.

Consta de las siguientes actividades:

·   Trabajo previo: Compilación de los resultados de las encuestas realizadas durante los talleres 1 a 3.

·      Revisar la información: La información de los procesos anteriores se revisa. Esto incluye las vulnerabilidades, prácticas, información sobre riesgos y requisitos de seguridad para los activos críticos.

·     Crear una estrategia de protección: La estrategia de protección se estructura en torno al catálogo de las prácticas. Se dirige a aquellas prácticas que el equipo de análisis considera que deben ser implementados o mejorados

·         Crear planes de mitigación

·        Crear lista de acciones a corto plazo, incluye las vulnerabilidades que requieren corrección inmediata.

RESULTADOS DE LA METODOLOGÍA OCTAVE

MÉTODOS OCTAVE

Tiene tres métodos que son:

1-Octave método original: este método se creó con grandes organizaciones, este método se centra en: identificar las amenazas de activos, identificar las vulnerabilidades y desarrollar una estrategia de protección.

2-Octave-s: Para pequeñas empresas

3-Octave-allegro: método simplificado para evaluar la seguridad de la información.

Método OCTAVE-S:

Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor de 100 personas o menos. Cumple con los mismos criterios que el método Octave pero está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. Octave-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias en esta versión de Octave son:

1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. Esta versión no comienza con el conocimiento formal sino con la obtención de talleres para recopilar información sobre los elementos importantes, los requisitos de seguridad, las amenazas y las prácticas de seguridad. El supuesto es que el equipo de análisis de esta información ya se conoce.

2. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Las pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad.

GUÍA DE IMPLEMENTACIÓN:

Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una evaluación. Incluye hojas de trabajo y orientaciones para cada actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se incluye aún la adaptación de orientación a reuniones o de información.

Método OCTAVE ALLEGRO:

Es una variante simplificada del método de Octave que se centra en los activos de la información. Igual que los anteriores métodos de Octave, Allegro se puede realizar de entrada en un taller de entorno colaborativo, pero también es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia.

Debido a que el enfoque principal de Octave Allegro es el activo de la información, la organización de otros importantes activos se identifican y evalúan en función de los activos de información a la que están conectados. Este proceso elimina la posible confusión sobre el alcance y reduce la posibilidad de que la recolección de datos y de análisis se realice para los activos que no estén claramente definidos, fuera del alcance de la evaluación, o que necesitan más de la descomposición.

Consta de ocho pasos organizados en cuatro fases:

• Fase 1: Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización, los objetivos y los factores críticos de éxito.
• Fase 2: Cada uno de los participantes crean un perfil de los activos críticos de información, que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores.
• Fase 3: Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores.
• Fase 4: Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación.

GUÍA DE IMPLEMENTACIÓN:

Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación, hojas de trabajo que acompaña al documento de la evaluación, materiales de apoyo para la identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.

  

__________________

Referencias Bibliográficas

CERT - Software Engineering Institute - Carnegie Mellon University. (s.f.). CERT. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Recuperado el 08 de Marzo de 2014, de http://www.cert.org/octave/

Autrey, A. C. (2001). OCTAVE Criteria Versión 2.0. ittsburgh: Carniege Mellon – Software Engineering Institute.

Autrey, A. C. (2003). Managing Information Security Risks. The OCTAVE Approach. S.L. Addison-Wesley.

Cardenas, E. (Agosto de 2012). Metodologías para el análisis de riesgos en Seguridad Informática. Recuperado el 08 de Marzo de 2014, de Blog Seguridad Informática: http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html

Duque, B. (s.f.). Metodologias de Gestion de Riesgos (Octave, Magerit, Dafp). Recuperado el 08 de Marzo de 2014, de http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

European Union Agency for Network and Information Security -Enisa. (s.f.). Inventory of Risk Management / Risk Assessment Methods. Recuperado el 08 de Marzo de 2014, de http://rm-inv.enisa.europa.eu/methods

Gomez, R. &. (Junio de 2010). Metodología y gobierno de la gestión de riesgos de tecnologías de la información. Recuperado el 03 de Marzo de 2014, de Revista de Ingeniería, Facultad de Ingeniería, Universidad de los Andes. Edicion 31.: http://www.scielo.org.co/scielo.php?pid=S0121-49932010000100012&script=sci_arttext

Muñoz, M. (Febrero de 2006). Introducción a octave. Recuperado el 08 de Marzo de 2014, de Asociación Colombiana de Ingenieros de Sistemas - ACIS: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-IVJNSI.pdf