Introducción

Octave es una metodología de análisis de riesgo orientado a activos, que apunta a dos

aspectos diferentes las cuales son el riesgo operativo y las practicas de seguridad, permitiendo

a las compañías tomar decisiones de protección de información basados en los riesgos de

confidencialidad, integridad y disponibilidad relacionados a la información crítica.

Octave nos da una perspectiva amplia sobre los riesgos y partir de ellos tener una base

para mejorar la seguridad, para poder tener este tipo de información octave tiene tres fases:

gerencial, operacional, usuario final, y cada una conlleva sus procesos.

Octave es una metodología que ha ido creciendo y cuenta con dos tipos: método octave’s,

método octave allegro, cada una de estas se adecua a un tipo de organización.

Historia y evolución

Octave (Operationally Critical Theart, Asset, and Vulnerability Evaluation),

es una técnica de evaluación y planificación estratégica basada en el riesgo orientada a los

activos para la seguridad, fue desarrollada en el año 2001 por el CERT(Coordination Center,

del Software Engineering Institute de la Universidad Carnegie Mellon de Pensilvania) para el

Departamento de defensa de los Estados Unidos.

Principalmente fue desarrollada pensando en grandes empresas, pero esto cambio con el

tiempo lo cual hizo que este método sea más flexible y sacaron dos versiones Octave’s la cual

fue propuesta para pequeñas organizaciones, Octave Allegro es una versión mas completa y

esta dirigida a las grandes organizaciones.

Definición de OCTAVE

(hernan, 2013) menciona que OCTAVE:

“El objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la

estrategia y a la práctica”

El Operationally Critical Threats Assets and Vulnerability Evaluation (Elementos de

Amenazas Operacionalmente Críticos y Evaluación de Vulnerabilidad) es una técnica de

planificacion y de asesoramiento estratégica en seguridad basada en riesgo se puede aplicar

Octave a un conjunto de individuos que pueden ir desde los sectores operativos o de negocios

hasta los departamentos de tecnología de la información (TI) siendo una evaluación efectiva

de riesgos en la seguridad de la información, tres aspectos notorios: Riesgos Operativos,

Prácticas de seguridad Y Tecnología. añadiendo que Octave divide los activos en dos tipos

que son: Sistemas, (Hardware. Software y Datos) y Personas.

(Mendra, 2012) hace énfasis en el significado de octave y define algunos puntos clave:

“Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del

sistema informativo, desarrollado por el estándar internacional ISO270001.”

Octave tiene algunos objetivos, en este caso se nombrarán dos:

1- Desmitificar la amañada aceptación: La Seguridad Informática es un asunto

meramente técnico.

2- Presentar los principios básicos y la estructura de las mejores prácticas internacionales

que guían los asuntos no técnicos.

Versiones de Octave

(Mperez, 2014) hace referencia que hay estas versiones de la metodología Octave

Existen tres métodos OCTAVE

2
Los métodos de OCTAVE se fundamentan en los principios estándar “con un enfoque en la

práctica y evaluación de la seguridad basada en la información de riesgo. Estos criterios

establecen los principios fundamentales y los atributos de gestión de riesgos que son

utilizados por los métodos de OCTAVE”. Procedemos a nombrar estas tres versiones:

 La versión original de OCTAVE

 La versión para pequeñas empresa OCTAVE-S

 La versión simplificada de la herramienta OCTAVE-ALLEGRO

OCTAVE fue creada tomando en cuenta a grandes organizaciones de muchos trabajadores,

pero esta no fue la única apreciación “El método utiliza una ejecución en tres fases que

examina las cuestiones organizacionales y tecnológicas, monta una visión clara de la

organización y sus necesidades de información y seguridad de la misma”

(Caralli, 2012) Menciona que realizan algunas de las versiones de octave:

OCTAVE-S paralelamente con los criterios de OCTAVE, el enfoque OCTAVE-S consiste en

tres fases similares. A pesar de ello, OCTAVE-S es creado por una agrupacion de análisis

que posee un amplio conocimiento de la organización. Por lo tanto, “OCTAVE-S no depende

de talleres de obtención de conocimiento formal para reunir información porque se supone

que el equipo de análisis (típicamente compuesto de tres a cinco personas) tiene

conocimiento práctico de los activos importantes relacionados con la información, los

requisitos de seguridad, amenazas y prácticas de seguridad de la organización”.

OCTAVE-ALLEGRO “El enfoque OCTAVE Allegro que se presenta en este informe

técnico está diseñado para permitir evaluación amplia del entorno de riesgo operacional de

una organización con el objetivo de producir resultados más robustos sin la necesidad de un

amplio conocimiento de evaluación de riesgos” se puede realizar de entrada en un taller de

entorno participativo, pero también es muy apropiado para los individuas que quieran hacer la

evaluación de riesgo sin una amplia participación de la organización o experiencia. Es decir

3
que este enfoque difiere de los enfoques anteriores de OCTAVE al dirigirse principalmente

en los activos de información en el contexto de cómo se usan. Consta de fases que evalúan

participantes, creación de perfil de activos críticos, las amenazas que cada activo podría

enfrentar y la identificación de los riesgos para los activos de información.

Fases de Octave

Según (Mendra, 2012) menciona las siguientes fases:

Cuenta con 3 fases:

1) Evaluación de la organización: “Recoge los principales activos, las amenazas y

requisitos que pueden afectar a los activos, medidas de seguridad implantadas en los activos y

las debilidades organizativas”. recolecta una información concisa de tos activos participativos

en la organización y los evalúa para tal vez evitar danos

2) Identificación de vulnerabilidades a nivel de infraestructura de TI.se verifican las

vulnerabilidades en componentes o adecuaciones pertenecientes al TI

3) Desarrolla un plan y una estrategia de seguridad, “analizando los riesgos en base al

impacto que pueden tener en la misión de la organización”. Con el análisis de riesgos se

puede prevenir realizando labores para el impacto no se de o sea menos fuerte Además se

desarrollan planes para mitigar los riesgos prioritarios y una estrategia de protección para la

organización.

Imagen 1, Fases Octave.

Fuente: http://apuntesseguridadit.blogspot.com/2014/03/octave-o-perationally-c-ritical-t-hreat.html

4
Implementación Octave

Según (OCHOA, 2014)menciona las implementaciones de cada versión:

1) Método OCTAVE: “proporciona todo lo que un equipo de análisis de necesidades debe

utilizar para llevar a cabo una evaluación de su organización.” contiene un conjunto completo

de procesos detallados, hojas de trabajo, y las instrucciones para cada paso en el método, así

como material de apoyo y orientación para la ejecución.

Imagen 2, Método Octave

Fuente:
https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

2)Método OCTAVE-S: “proporciona la mayor parte de lo que necesita un equipo de análisis

para llevar a cabo una evaluación.” contiene hojas de trabajo y orientaciones para cada

actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se

incluye aún la adaptación de orientación a reuniones o de información.

Imagen 3, Método Octave-S

Fuente:
https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

5
3)Método OCTAVE ALLEGRO: “Contiene todos los recursos necesarios para llevar a

cabo una evaluación de seguridad de la información.” Contiene paso a paso las instrucciones

detalladas para realizar la evaluación, hojas de trabajo que acompaña al documento de la

evaluación, materiales de apoyo para la identificación y análisis de riesgos, y un ejemplo de

una evaluación efectuada.

Imagen 4, Método Octave Allegro

Fuente:
https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

6
Ejemplo de OCTAVE

Método OCTAVE ALLEGRO (MORALES, 2017) :

1.Establecer criterio de medición de riesgos: “Los criterios de medición del riesgo son un

conjunto de medidas cualitativas para evaluar los efectos de un riesgo realizado y constituir la

base de una evaluación del riesgo de los activos de la información.”

Imagen 5, Criterio medición de riesgos

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la organización

Imagen 6, Priorización de riesgos

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

2. Desarrollar un Perfil de los Activos Informáticos: “Se enfoca en desarrollar un perfil

para cada uno de los activos informáticos de la organización. El perfil consiste en describir

7
para cada uno de ellos, sus características únicas, sus cualidades y valor. Este perfil no debe

dar a lugar a información ambigua, y garantiza que los requerimientos de seguridad para ese

activo queden claramente definidos.”

Actividad 1 Capturar información de fondo

El propósito de este paso es recopilar información, sobre la persona que está completando el

perfil de activos de información.

Actividad 2 - Definir el activo de información

El propósito de este paso es caracterizar un activo de información. Antes de que cualquier

tipo de actividad de análisis pueda realizarse en un activo de información, la organización

debe entender y acordar lo que contiene un bien de información.

Actividad 3 - Identificar al propietario del activo

El propósito de esta actividad es identificar y documentar el propietario del activo de

información es importante porque el propietario debe trabajar con el individuo o grupo.

Actividad 4 - Identificar Contenedores

El propósito de este paso es capturar una lista de todos los contenedores en los que el activo

se almacena, transporta o procesa y la lista asociada de los gestores de dichos contenedores.

Actividad 5 - Identificar los requisitos de seguridad

El propósito de este paso es capturar los requisitos específicos de seguridad de la

información del activo.

Actividad 6 - Determinar la Valoración del Activo de Información

Antes de que se puedan evaluar los riesgos para un activo de información, se debe conocer el

valor tangible e intangible del activo.

8
2.1 Desarrollo del perfilamiento de los activos: “Para el desarrollo del modelo se tomaron

en cuenta los perfiles de información más relevantes de la compañía en las siguientes tablas

se les realizo un análisis según las 6 actividades relacionadas anteriormente.”

• Intranet
• Plataforma de recaudo
• Sistema de documentación de clientes
• Centro de negocios
• Bases de datos
• Correo electrónico
• Sistema de Administración inmobiliaria

2.2 Perfilamiento del activo correo electrónico:

Imagen 7, Perfilamientos de los activos

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

3. Identificar los Contenedores de los Activos Informáticos: “Se enfoca en identificar los

contenedores de los activos informáticos. "Un contenedor es el lugar donde estos activos son

guardados, procesados y transportados". Pueden residir dentro o fuera de la organización,

pero todo aquello que los amenace, incide directamente sobre ellos”

9
 Imagen 8, Contenedores de los activos de información

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Para el desarrollo de este modelo se tienen en cuenta los contenedores más utilizados por la

compañía, realizando una pequeña descripción e indicando el directamente responsable sobre

el contenedor

Imagen 9, Contenedores internos de la organización

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Imagen 10, Contenedores internos de la organización

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Imagen 11, Contenedores internos de la organización

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

10
4. Identificar las áreas de preocupación: “La identificación de áreas de preocupación inicia

con la elaboración de los perfiles de riesgos de los activos de información, el cual contiene un

componente denominado amenaza a través de una ecuación de riesgo.”

Imagen 12, Calculo de las áreas de preocupación

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Se realiza un análisis sobre las posibles condiciones o situaciones que se pueden representar y

poner en peligro los activos de información de la organización, "estos escenarios en el mundo

real se denominan área de preocupación y se pueden representar en amenazas y causar

resultados indeseables para la compañía.

Imagen 13, áreas de preocupación de los activos de información

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

11
4.1. Áreas de preocupación sistema de digitalizador de documentos

Imagen 14, Área de preocupación exposición de los activos de información, acceso no autorizado a los sistemas informáticos

en el Sistema de Digitalizador de Documentos

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

5. Identificar Escenarios De Amenaza: “Identificación de Escenarios de Amenazas, en este

paso las áreas de preocupación se expanden en escenarios de amenaza.”

Imagen 15, Escenarios de amenazas

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

La probabilidad es necesaria para determinar que escenarios son más propensos a ocurrir

12
 Imagen 16, Probabilidad

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

Imagen 17, Árbol de amenaza del activo de información sistema de documentación de clientes (4)

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

6. Identificación de Riesgos: “se capturan las consecuencias para una organización si se

realiza una amenaza, completando la imagen de riesgo. Una amenaza puede tener múltiples

impactos potenciales en una organización.”

13
 Imagen 18, Tabla de consecuencias del activo de información (4. la Intranet)

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

7. Análisis de Riesgos: “En este paso se mide cualitativamente el grado en que la

organización se ve afectada por una amenaza mediante el cálculo de una puntuación para

cada riesgo de cada activo de información. La información del puntaje se utiliza para

determinar qué riesgos se necesita mitigar inmediatamente y para dar prioridad a las acciones

de mitigación para el resto de los riesgos en el paso ocho de la metodología OCTAVE

Allegro.”

14
 Imagen 19, Puntaje para determinar riesgos según el área de preocupación exposición de los activos de

información, acceso no autorizado a los sistemas informáticos del activo intranet

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

8. Enfoque de mitigación: “En OCTAVE Allegro se puede hacer uso de la matriz de riesgo

relativo, un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y

el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento

con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que

pertenecen al grupo 1 deberían ser tratados con mayor prioridad:”

Imagen 20, Matriz de riesgo relativo

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

La puntuación del riesgo se agrupa como se muestra en la siguiente figura

Imagen 21, Enfoque de mitigación según el grupo

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

A continuación, se realiza el análisis de la mitigación de riesgos de cada uno de los activos.

15
 Imagen 22, Mitigación de riesgo según el activo Intranet

Fuente: http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.pdf

16
 Bibliografía

Caralli, R. A. (2012). Obtenido de file:///C:/Users/General/Downloads/2007_005_001_14885.pdf

hernan, G. c. (2013). Auditoriaac.com. Obtenido de

https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3
%B2n+de+Riesgos.pdf

Mendra. (2012). seguridad en redes. Obtenido de

https://seguridadenlasredes.wordpress.com/2010/08/12/metodologias-de-analisis-de-
riesgos-magerit-y-octave/

MORALES, S. M. (2017). Obtenido de

http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena20
17.pdf

Mperez. (28 de noviembre de 2014). comparaciondemetodologias.blogspot.com. Obtenido de

http://comparaciondemetodologias.blogspot.com/2014/11/metodologia-octave-
fuedesarrollada-por.html

OCHOA, B. R. (2014). Obtenido de

https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3
%B2n+de+Riesgos.pdf

17