Please enable JavaScript.
Coggle requires JavaScript to display documents.
Identificación de las necesidades en las organizaciones para la…
Identificación de las necesidades en las organizaciones para la complementación del Gobierno de TI
Metodología
OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation)
¿Qué es?
Es una metodología desarrollada por el CERT/CC2 , que tiene por objeto facilitar la evaluación de riesgos en una organización
Características
Se centra en el estudio de riesgos organizacionales [13] y se focaliza principalmente en los aspectos relacionados con el día a día de las empresas.
La evaluación inicia a partir de la identificación de los activos relacionados con la información, definiendo este concepto como los elementos de TI que representan valor para la empresa (sistemas de información, software, archivos físicos o magnéticos, personas, entre otros)
Es un estudio auto dirigido, desarrollado por un equipo interdisciplinario llamado el equipo de análisis, el cual se compone de personas de las áreas de negocio y del área de TI. Esta composición se explica con el hecho de que los funcionarios del negocio son los más indicados para identificar qué información es importante en los procesos del día a día y cómo se usa dicha información.
El equipo de análisis debe identificar los activos relacionados con la información que son de importancia para la organización
El análisis se focaliza sobre los activos que se identifican como críticos y la identificación del modo en que se relacionan dichos activos entre sí, las amenazas a las que están expuestos y las vulnerabilidades (organizacionales y tecnológicas)
Desarrollo de la evaluación
Fase 1- Construir perfiles de amenazas basados en los activos
La fase 1 se desarrolla en cuatro etapas. Las tres primeras son talleres realizados a diferentes niveles de la
organización: directivo, gerencial, operativo y de TI.
En la cuarta etapa se consolida la información recolectada en las etapas 1 a 3, verificando aspectos como
la completitud, coherencia y diferencias de apreciación en los diferentes niveles de la organización
Como resultado de esta fase se tendrán, entre otros,
los siguientes productos:
Activos críticos: Se identifican los activos relacionados con la información que son de mayor criticidad para la operación y subsistencia de la organización.
Requerimientos de seguridad para los activos críticos: Se identifican los aspectos que son importantes de proteger para cada activo. T
Perfiles de amenazas: un perfil de amenaza es una manera estructurada de mostrar las diferentes amenazas que se presentan sobre cada activo crítico.
Practicas actuales de seguridad: Se identifican las prácticas de seguridad en la organización. Esta identificación es la base sobre la que se construirá más adelante la estrategia de protección de la empresa
Fase 2- Identificar vulnerabilidades en la infraestructura
El equipo de análisis identifica los principales elementos de TI y los diferentes componentes que se
relacionan con cada activo crítico.
Componentes claves: Se identifican los componentes más importantes que están relacionados con cada activo crítico como firewalls, servidores, routers, sistemas de backup y almacenamiento de información, entre otros.
Vulnerabilidades tecnológicas actuales: Cada componente es evaluado mediante diferentes técnicas (herramientas de detección de vulnerabilidades, equipo técnico de inspección).
Fase 3- Desarrollar estrategias y planes de seguridad
En esta etapa el equipo de análisis identifica los riesgos sobre los diferentes activos críticos y decide qué acciones tomar.
Identificación y evaluación de riesgos: Basados en la información de las etapas anteriores y particularmente en los perfiles de amenazas, se identifican los riesgos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo) de acuerdo con los criterios que deben definirse durante las fases anteriores.
Estrategias de protección y planes de migración del riesgo: Se desarrollan los planes de mejora y los próximos pasos para proteger los activos críticos. Se determina qué se va a hacer para implementar los resultados de la evaluación