Metodología OCTAVE

 

Metodología OCTAVE

La metodología OCTAVE se corresponde con las siglas Operational Critical, Threat, Asset and Vulnerability Evaluation (evaluación operativa crítica, de amenazas, de activos y de vulnerabilidad). Se trata, por ello, de una metodología de análisis y gestión de riesgos. En el centro se encuentra el objetivo de garantizar los sistemas informáticos en el interior de una empresa u organización.

Mediante la aplicación de la metodología OCTAVE, varias personas que pertenezcan a sectores de negocios, de los departamentos de tecnologías de la información y del sector operativo trabajaran de manera conjunta. Esto se hará con el foco puesto en las necesidades que establezca la seguridad. En este sentido deberán estar equilibrados tres aspectos como son los riesgos operativos, la tecnología y las prácticas de seguridad.

Fase 1
La primera fase engloba los activos, las amenazas, las vulnerabilidades de la empresa u organización, las exigencias de seguridad y las normas existentes. Esta fase, a su vez, está compuesta por cuatro procesos diferenciados.

El primero de estos procesos consiste en la identificación del conocimiento de los altos directivos. En este punto se procederá a la recopilación de información de los niveles de seguridad, de los principales activos y sus posibles motivos de preocupación y de las estrategias de protección con las que cuente la empresa u organización en ese momento.

El segundo de los procesos se basa en la identificación del conocimiento, una vez más, de los directivos, pero en este caso de áreas operativas. Su meta principal a nivel operativo es la recolección de información.

El proceso número tres tiene que ver con la identificación del conocimiento del personal. Llegados a este punto se toma información de miembros de personal sobre requisitos de seguridad, de los principales activos y sus posibles motivos de preocupación y de las estrategias de protección con las que cuente la empresa u organización en ese momento. La participación en el mismo será por parte del personal del departamento de tecnología e información y del personal de planta.

El cuarto y último proceso de esta fase consiste en la composición de perfiles de amenaza. En este punto el equipo de análisis se encargará de evaluar la información recopilada en los procesos anteriores. Posteriormente ser pasará a seleccionar 5 activos críticos y sobre los mismos se definen requisitos y amenazas.

Fase 2

Esta segunda fase engloba los componentes claves y las vulnerabilidades técnicas. En ella se continua con los procesos comenzados en la fase anterior, permitiendo un desarrollo correcto del análisis y la gestión de los riesgos en el interior de la empresa u organización.

El quinto proceso comprende la identificación de componentes clave, sistemas importantes para activos críticos. Estos componentes clave serán los que se evalúen para las vulnerabilidades de la tecnología. El personal de tecnología de información y el equipo de análisis serán los encargados en función de las necesidades.

El sexto y último proceso de esta fase tiene que ver con la evaluación de los componentes que hayan sido seleccionados. En este proceso asimismo es posible la identificación de las vulnerabilidades de los componentes críticos.

Fase 3
Esta última fase, la tercera, engloba la evaluación de los riesgos y la ponderación de los mismos, la estrategia de protección y el plano de reducción de los riesgos. La fase número 3 de la metodología OCTAVE la componen dos procesos.

El proceso número siete está basado en la realización de un análisis de riesgos. En el mismo se identificarán los riesgos susceptibles de darse sobre los activos críticos de la empresa u organización.

El último proceso de todos, el ocho, constituye el desarrollo de una serie de estrategias de protección. En las mismas se definirán las acciones y planes a llevar a cabo para proteger los activos críticos. Estas por su parte necesitan de un estudio y aprobación antes de su ejecución.