Metodología de Análisis de Riesgo Octave

May 8, 2018 | Author: Esperanza Pantita | Category: Safety, Decision Making, Information Security, Information, Technology
Share
Report this link


Comments



Description

METODOLOGÍA DE ANÁLISIS DE RIESGO OCTAVE1. INTRODUCCIÓN Operationally Critical Threats Assets and Vulnerability Evaluation. Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001. OCTAVE es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation“, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad, esta metodología se emplea por distintas agencias gubernamentales tales como el Departamento de defensa de Estados Unidos. Existen 3 versiones de la metodología OCTAVE: 1. La versión original de OCTAVE 2. La versión para pequeñas empresa OCTAVE-S 3. La versión simplificada de la herramienta OCTAVE-ALLEGRO Cuenta con 3 fases durante el proceso de desarrollo de la metodología: 1) La primera contempla la evaluación de la organización, se construyen los perfiles activo- amenaza, recogiendo los principales activos, así como las amenazas y requisitos como imperativos legales que puede afectar a los activos, las medidas de seguridad implantadas en los activos y las debilidades organizativas. 2) En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI. 3) En la última fase de desarrolla un plan y una estrategia de seguridad, siendo analizados los riesgos en esta fase en base al impacto que puede tener en la misión de la organización. https://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93- metodologias-ii/ OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica. El método OCTAVE permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización. Exige llevar la evaluación de la organización y del personal de la tecnología de la información por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad. El método OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos: wikispaces. Asset. Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta OCTAVE: Consolidación de la información y creación de perfiles de amenazas. relacionados con la práctica. integridady disponibilidadde los activos relacionados con la información crítica. Es una evaluación flexible que sepuede adaptar para la mayoría de las organizaciones. Exis-ten dos versiones: OCTAVE-S. La técnica aprovecha los conocimientos de las prácticas y los procesos relacionados con la seguridad de su organización para capturar el estado actual de la seguridad dentro de la organi-zación.  Identificación de la información a nivel gerencial.  Identificación de la información a nivel de usuario final.pdf 2. lo que le permite . Todos los aspectos de riesgo (activos. A diferencia de las evaluaciones centradas en latecnologíastípicas. El enfoque OCTAVE es impulsada por dos de los aspectos: el riesgo operativo y las prácticas de seguridad. lo que permite a una organización afinar la vista de sus prácticas de seguridad actuales. una organización toma decisiones de protección de la información basada en los riesgos para la confidencialidad. Al utilizar el enfoque OCTAVE. amenazas. https://auditoriauc20102mivi. fue desarrollada en el año 2001 por la universidad Carnegie Mellonpara el Departamento de defensa de los Estados Unidos.  Identificación de componentes claves. es una metodología simplificada para las organizaciones más pequeñas que tienen estructuras jerárquicas planas. 3. vulnerabilidadesy el impactosobrela organización) se tienen en cuenta en la toma de decisiones. las cuales están dirigidas a riesgo tecnológico y se centraron en cuestiones tácticas.  Identificación de la información a nivel operacional. OCTAVE es auto dirigido. DEFINICIÓN OCTAVE OCTAVE(Operationally Critical Threat. Los riesgos para los activos más críticos se utilizan para priorizar áreas de mejora y establecer la estrategia de seguridad de la organización. lo que significaque las personas de una organización asumen la responsabilidad de establecer la estrategia de seguridad de la organización. and Vulnerabi-lity Evaluation)es una técnica de valuación y planificación estratégica basada en el riesgo para la seguridad.  Evaluación de componentes seleccionados. es una versión más completa para las organizaciones gran-des o aquellos con estructuras de varios niveles. OCTAVE está dirigido a riesgo de la organización y se centró en temas estratégicos.  Desarrollo de estrategias de protección. La tecnología sólo se examina en relación con las prácticas de seguridad.com/file/view/Metodolog%C3%ACas+deGesti%C3%B 2n+de+Riesgos. HISTORIA Y EVOLUCIÓN.  Análisis de riesgos de los recursos críticos. y OCTAVE Allegro. exponen a las amenazas. . pero el tamaño no fue la única consideración. Octave-allegro: método simplificado para evaluar la seguridad de la información. identificar las vulnerabilidades y desarrollar una estrategia de protección. El método aprovecha el conocimiento de múltiples niveles de la organización. Octave-s: Para pequeñas empresas c. El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas. Identificar los elementos críticos y las amenazas a esos activos. las grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura informática. tanto organizativas y tecnológicas.es/61166530-Gestion-del-riesgo-con-base-en-iso27005-adaptando-octave- s. facilitados o llevados a cabo por un equipo de análisis interdisciplinario de tres a cinco personas de la propia organización. Se compone de una serie de talleres. Método OCTAVE: El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados. La identificación de las vulnerabilidades. VERSIONES DE OCTAVE Existen tres versiones que son: a. http://docplayer. este método se centra en: identificar las amenazas de activos. e. b. El desarrollo de una estrategia basada en la protección de prácticas y planes de h. centrándose en: d.html 4. Octave método original: este método se creó con grandes organizaciones.a una organización que coin-cida con unaestrategiade protección basadaen la práctica de sus riesgos de seguridad. g. creando un riesgo a la organización. mitigación de riesgos para apoyar la misión de la organización y las prioridades. junto con la capacidad interna para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los resultados en relación a los activos críticos. que f. Por ejemplo. monta una visión clara de la organización y sus necesidades de información y seguridad de la misma. Administración superior de Resumen. Cumple con los mismos criterios que el método Octave pero está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. Incluye hojas de trabajo y orientaciones para cada actividad. datos. proceso: Catálogo de prácticas. así como encuestas y hojas de cálculo que se puede utilizar para obtener y captar información durante los debates y la solución de sesiones-problema. Las dos principales diferencias en esta versión de Octave son: 1. Material Introductorio Material del Método Materiales Adicionales . Esta versión no comienza con el conocimiento formal sino con la obtención de talleres para recopilar información sobre los elementos importantes. la guía de preparación. Diapositivas y apuntes. GUÍA DE IMPLEMENTACIÓN: Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una evaluación. resultados. hojas de trabajo. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Método OCTAVE-S: Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor de 100 personas o menos. los requisitos de seguridad. Octave-S utiliza un proceso simplificado y más hojas de trabajo diferentes. Directrices detalladas. pero produce el mismo tipo de resultados. así como material de apoyo y orientación para la ejecución. Adaptación de la dirección. Incluye un conjunto completo de procesos detallados. Material Introductorio Material del Método Materiales Adicionales Preparación de la dirección. OCTAVE de flujo de información. Para cada fase y Libro perfil de Activos. y las instrucciones para cada paso en el método. 2. Participantes de Hojas de trabajo.Estas actividades son apoyadas por un catálogo de buenas prácticas. así como una introducción. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. El supuesto es que el equipo de análisis de esta información ya se conoce. GUÍA PARA LA IMPLEMENTACIÓN: Proporciona todo lo que un equipo de análisis de necesidades debe utilizar para llevar a cabo una evaluación de su organización. Las pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad. y un ejemplo completo. Completos ejemplos de información. No se incluye aún la adaptación de orientación a reuniones o de información. las amenazas y las prácticas de seguridad. que establece límites claros para el activo. pero también es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia. Para cada fase y Introducción. Este proceso elimina la posible confusión sobre el alcance y reduce la posibilidad de que la recolección de datos y de análisis se realice para los activos que no estén claramente definidos. Los ejemplos de proceso: Directrices. hojas de trabajo que acompaña al documento de la evaluación. Fase 4 . materiales de apoyo para la dentificación y análisis de riesgos. Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información. Preparación de Orientación. Método OCTAVE ALLEGRO: Es una variante simplificada del método de Octave que se centra en los activos de la información. Allegro se puede realizar de entrada en un taller de entorno colaborativo. la organización de otros importantes activos se identifican y evalúan en función de los activos de información a la que están conectados. Material Introductorio Material del Método Materiales Adicionales .Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación. identifica sus necesidades de seguridad. Fase 3 .Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización. Hojas de Trabajo. e identifica todos sus contenedores. y un ejemplo de una evaluación efectuada. los objetivos y los factores críticos de éxito. o que necesitan más de la descomposición. resultados completos. Consta de ocho pasos organizados en cuatro fases: Fase 1 . Igual que los anteriores métodos de Octave. GUÍA DE IMPLEMENTACIÓN: Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la información. Debido a que el enfoque principal de Octave Allegro es el activo de la información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación.Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores. fuera del alcance de la evaluación. wikispaces. 3. Ejemplos. .Introducción y Objetivo. contenedor del activo. ponderación de los riesgos y plano de reducción de los riesgos. Notas especiales Hojas de actividades. Información de guía del método para cada paso. Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas. conceptos. hojas de actividades. para cada tipo de Notas generales y riesgo. Ejemplo completo de Pasos de la Actividad. 2.pdf 5.com/file/view/Metodolog%C3%ACas+deGesti%C3%B 2n+de+Riesgos. Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos. amenazas. Antecedentes y Cuestionarios de riesgo definiciones. exigencias de seguridad y normas existentes. Actividades detalladas. Visión de organización: Donde se definen los siguientes elementos: activos. https://auditoriauc20102mivi. vulnerabilidades de organización. estrategia de protección. Incluyendo: Arboles de amenazas. FASES DE OCTAVE La metodología OCTAVE está compuesta en tres fases 1. com/2012/08/seguridad-informatica-la-seguridad. https://www. EJEMPLO DE OCTAVE 8. IMPLEMENTACIÓN DE OCTAVE 7. BIBLIOGRAFÍA.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93- metodologias-ii/ .html 6.http://msnseguridad.blogspot.securityartwork.
Copyright © 2024 DOKUMEN.SITE Inc.