Introduction to the OCTAVE Approach

Christopher Alberts
Audrey Dorofee James
Stevens Carol Woody

August 2003
Pittsburgh, PA 15213-3890

Introduction to the OCTAVE

Approach

Christopher Alberts
Audree Dorofee James
Stevens Carol Woody

August 2003

Networked Systems Survivability Program

Unlimited distribution subject to the copyright.

This report was prepared for the SEI Joint

Program Office HQ ESC/DIB 5 Eglin Street

Hanscom AFB, MA 01731-2116

The ideas and findings in this report should not be construed as an official DoD position. It is published in the interest of scientific and
technical information exchange.

FOR THE COMMANDER

Christos Scondras Chief of

Programs, XPK

Este trabajo es patrocinado por el Departamento de Defensa de Estados Unidos. El Instituto de Ingeniera de Software es un centro de investigacin y

desarrollo financiado federalmente patrocinado por el Departamento de Defensa de Estados Unidos. Copyright 2003 por la Universidad Carnegie

Mellon. SIN GARANTA

ESTA Carnegie Mellon University e ingeniera de software INSTITUTO DE MATERIAL SE SUMINISTRA "TAL CUAL".
Carnegie Mellon UNIVERSIDAD no ofrece garantas de CUALQUIER clase, expresada o implcita, A incluidas todas las
cuestiones, pero no limitado A, GARANTA DE APTITUD para el propsito o comerciabilidad, EXCLUSIVIDAD o resultados
obtenidos mediante el uso del material. Carnegie Mellon UNIVERSITY NO NINGUNA garanta de ningn tipo en materia de
libertad de la patente, marca registrada, o infraccin de copyright.

El uso de marcas registradas en este informe no pretende de ninguna manera infringir los derechos del titular de la marca. Uso interno. Permitida la reproduccin de

este documento y para preparar trabajos derivados de este documento para uso interno, bajo condicin de los derechos de autor y los estados "no ofrece ninguna

garanta" se incluye en todas las reproducciones y trabajos derivados. Uso externo. Las solicitudes de permiso para reproducir este documento o preparar trabajos

derivados de este documento para uso externo y comerciales deben dirigirse al Agente de Licencias SEI.

Este trabajo fue creado en el rendimiento de Federal Nmero de contrato de Gobierno F19628-00-C-0003 con la Universidad Carnegie Mellon para el funcionamiento del Software
Engineering Institute, un centro de investigacin y desarrollo financiados por el gobierno federal. El Gobierno de los Estados Unidos tiene una licencia del gobierno de propsito
libre de regalas para usar, duplicar o divulgar la obra, en su totalidad o en parte y en cualquier forma, y tener o permitir que otros lo hagan, para los propsitos del gobierno de
conformidad con la licencia de derechos de autor en virtud de la clusula 252.227-7013.

Para obtener informacin sobre la compra de copias en papel de los informes de SEI, por favor visite la seccin de publicaciones de nuestro sitio Web

(http://www.sei.cmu.edu/publications/pubweb.html).
Tabla de contenido

1 Propsito y alcance ............................................... ........................................... 1

2 What Is the OCTAVE Approach? ..................................................................... 3

2.1 Overview..................................................................................................... 3

2.2 What Is OCTAVE? ...................................................................................... 3

2.2.1 Key Characteristics of the OCTAVE Approach............................... 4

2.3 OCTAVE Criteria......................................................................................... 6

2.4 OCTAVE Is Part of a Continuum................................................................. 8

3 OCTAVE Method.............................................................................................. 11
3.1 OCTAVE Method Processes..................................................................... 11

3.2 Los materiales disponibles Apoyando el mtodo OCTAVE ............................... 12

4 Octava S ............................................... .................................................. ....... 15

4.1 Procesos OCTAVE-S .............................................. ................................ 15

4.2 Disponible octava S Materiales ............................................. .................... diecisis

5 La eleccin entre los mtodos .............................................. ..................... 19

6 Otros mtodos derivados ............................................... ............................... 23

7 Informacin Adicional................................................ .................................... 25

7.1.1 Formacin OCTAVA ................................................ ......................... 25
7.1.2 del libro: Managing Information Security Risks ................................. 25

References............................................................................................................... 27

de agosto de de 2003 yo
ii August 2003
List of Figures

Figure 1: OCTAVE Balances Three Aspects ........................................................... 4

Figure 2: OCTAVE Phases ...................................................................................... 5

Figure 3: The OCTAVE Criteria Supports Multiple Implementations ....................... 6

Figure 4: OCTAVE and Risk Management Activities ............................................... 9

August 2003 iii

iv August 2003
List of Tables

Table 1: Key Differences Between OCTAVE and Other Approaches..................... 4

Table 2: OCTAVE Principles and Attributes............................................................ 7

Table 3: Salidas OCTAVE ................................................ ...................................... 8

August 2003 v
vi de agosto de de 2003
Introduccin al Enfoque OCTAVE

1 Objetivo y alcance

Este documento describe la amenaza, de activos y Evaluacin de la vulnerabilidad de vista operativo crtico SM ( OCTAVA ), un

enfoque de la gestin de riesgos de seguridad de la informacin. Se presenta una visin general del enfoque de octava y

describe brevemente dos mtodos octava consistente desarrollados en el Instituto de Ingeniera de Software (SEI).

El enfoque general encarnado en OCTAVE se describe primero, seguida de una descripcin general de los dos mtodos: el

mtodo de octava para las grandes organizaciones y OCTAVE-S 1 para las organizaciones pequeas. La informacin se

proporciona para ayudar al lector a diferenciar entre los dos mtodos, incluyendo las caractersticas que definen la organizacin

de destino para cada mtodo, as como las restricciones y limitaciones de cada mtodo. Tambin se proporciona una serie de

preguntas para ayudar a los lectores a determinar qu mtodo es mejor para ellos. Los lectores son dirigidos al sitio Web

apropiado para descargar el mtodo de su eleccin.

Cabe sealar que algunas organizaciones pueden necesitar un hbrido o una combinacin de los dos mtodos, o una versin

completamente diferente de Octave. Un captulo final discute algunas de las posibles versiones alternativas.

OCTAVA se ha registrado en la Oficina de Patentes y Marcas de los Estados Unidos por la Carnegie Mellon Uni-

versidad.
SM Amenaza de vista operativo crtico, evaluacin de activos, y la vulnerabilidad es una marca de servicio de Carnegie
Mellon University.
1 Este documento se basa en la versin 2.0 del Mtodo de octava y Criterios de octava y la pre-

liminar o versin beta (Versin 0.9) de OCTAVE-S. OCTAVE-S no est tan ampliamente docu- mentado como el Mtodo OCTAVE. Slo
el conjunto mnimo de materiales necesarios para realizar OCTAVE-S se proporciona en la Versin 0.9. Los materiales adicionales sern
desarrollados y provistos de OCTAVE-S Versin 1.0 en una fecha posterior.

de agosto de de 2003 1
 Introduccin al Enfoque OCTAVE

2 de agosto de de 2003
Introduccin al Enfoque OCTAVE

2 Cul es el enfoque OCTAVA?

2.1 Informacin general

Una evaluacin eficaz del riesgo de seguridad de la informacin considera tanto las cuestiones organizativas y tecnolgicas, que

examina cmo las personas usan infraestructura informtica de su organizacin sobre una base diaria. La evaluacin es de vital

importancia para cualquier iniciativa de seguridad de superacin, ya que genera una vista de toda la organizacin de los riesgos de

seguridad de la informacin, proporcionando una base para la mejora.

2.2 Qu es OCTAVA?
Para una organizacin que busque comprender sus necesidades de seguridad de la informacin, octava es una tcnica de evaluacin y

planificacin estratgica basado en el riesgo para la seguridad. Octave es autodirigido, lo que significa que las personas de una organizacin

asumen la responsabilidad de establecer la estrategia de seguridad de la organizacin. La tcnica aprovecha el conocimiento de las prcticas y

los procesos relacionados con la seguridad de su organizacin de las personas para capturar el estado actual de la prctica de seguridad dentro

de la organizacin. Los riesgos para los activos ms importantes se utilizan para dar prioridad a las reas de mejora y establecer la estrategia de

seguridad de la organizacin.

Unlike the typical technology-focused assessment, which is targeted at technological risk and focused on tactical
issues, OCTAVE is targeted at organizational risk and focused on strategic, practice-related issues. It is a flexible
evaluation that can be tailored for most organizations. When applying OCTAVE, a small team of people from the
operational (or business) units and the information technology (IT) department work together to address the security
needs of the organization, balancing the three key aspects illustrated in Figure 1: operational risk, security practices,
and technology.

The OCTAVE approach is driven by two of the aspects: operational risk and security practices. Technology is
examined only in relation to security practices, enabling an organization to refine the view of its current security
practices. By using the OCTAVE approach, an organization makes information-protection decisions based on risks to
the confidentiality, integrity, and availability of critical information-related assets. All aspects of risk (assets, threats,
vulnerabilities, and organizational impact) are factored into decision making, enabling an organization to match a
practice-based protection strategy to its security risks. Table 1 summarizes key differences between OCTAVE and
other evaluations.

de agosto de de 2003 3
 Introduction to the OCTAVE Approach

Figure 1: OCTAVE Balances Three Aspects

Tabla 1: Diferencias fundamentales entre Octave y otros enfoques

OCTAVA otras evaluaciones

evaluacin organizacin sistema de evaluacin

Enfoque en las prcticas de seguridad Centrarse en la tecnologa

cuestiones estratgicas cuestiones tcticas

autodireccin expertos dirigido

2.2.1 Caractersticas clave del enfoque OCTAVE

Octave es auto dirigido, lo que requiere una organizacin para gestionar el proceso de evaluacin y tomar decisiones de proteccin

de la informacin. Un equipo interdisciplinario, llamado el equipo de anlisis, conduce la evaluacin. El equipo incluye a personas de

ambos las unidades de negocio y el departamento de TI, ya que ambas perspectivas son importantes cuando se caracteriza la visin

global, organizacional de riesgo para la seguridad de la informacin.

Octave es un enfoque de evaluacin de activos impulsada. equipos de anlisis

identificar los activos relacionados con la informacin (por ejemplo, informacin y sistemas) que son importantes para la organizacin

actividades de anlisis de riesgos se centran en aquellos activos juzgados como ms crticos para la organizacin

considerar las relaciones entre los activos crticos, las amenazas a esos activos y habilidades vulnerabilidad (tanto
organizativos y tecnolgicos) que puede exponer los activos a las amenazas

4 August 2003
Introduccin al Enfoque OCTAVE

evaluar los riesgos en un contexto operacional - la forma en que se utilizan para realizar negocios de una organizacin y cmo esos activos

estn en riesgo debido a las amenazas de seguridad

crear una estrategia de proteccin basada en la prctica para la mejora de la organizacin, as como la mitigacin de riesgos planea
reducir el riesgo para los activos crticos de la organizacin

Los aspectos organizativos, tecnolgicos y de anlisis de una evaluacin de riesgos de seguridad de informacin se complementan

con un enfoque en tres fases. OCTAVE se organiza alrededor de estos tres aspectos bsicos (ilustrados en la Figura 2), permitiendo

que el personal de la organizacin para montar una imagen global de las necesidades de seguridad de la informacin de la

organizacin. Las fases son

Fase 1: Construir perfiles de amenazas basada en activos - Esta es una evaluacin organizacional. El equipo de anlisis determina lo
que es importante para la organizacin (activos relacionados con la informacin) y lo que se est haciendo actualmente para proteger
esos activos. Posteriormente, el equipo selecciona aquellos activos que son ms importantes para la organizacin (activos crticos) y
describe los requisitos de seguridad para cada activo crtico. Por ltimo, se identifican las amenazas a cada activo crtico, crea- Ating
un perfil amenaza para ese activo.

Fase 2: Identificar las vulnerabilidades de la infraestructura - Esta es una evaluacin de la infraestructura de informacin. El equipo
de anlisis examina las rutas de acceso de red, la identificacin de clases de componentes de tecnologa de la informacin
relacionada con cada activo crtico. Posteriormente, el equipo de- termina el grado en que cada clase de componente es resistente
a los ataques de red.

Fase 3: Desarrollo de Estrategia de Seguridad y Planes - Durante esta parte de la evaluacin, el equipo de anlisis identifica
los riesgos de los activos crticos de la organizacin y decide qu hacer con ellos. El equipo crea una estrategia de
proteccin para la organizacin y planes de mitigacin para hacer frente a los riesgos de los activos crticos, sobre la base de
un anlisis de la informacin recogida.

Figura 2: Fases OCTAVE

de agosto de de 2003 5
 Introduccin al Enfoque OCTAVE

2.3 Criterios OCTAVE

Los elementos esenciales, o requisitos, del enfoque OCTAVE estn incorporados en un conjunto de criterios [Alberts 01b]. No

puede haber muchos mtodos coherentes con estos criterios, pero no es slo un conjunto de criterios de octava. En este

punto, se han desarrollado dos mtodos coherentes con los criterios. El mtodo OCTAVE, documentado en el OCTAVA

Mtodo gua de implementacin, v2.0 [ Alberts 01a], fue diseado con grandes organizaciones en mente, mientras Octave-S
fue desarrollado para organizaciones pequeas. Adems, otros podran definir mtodos para contextos especficos que son

consistentes con los criterios. La figura 3 ilustra estos puntos.

Figura 3: Los Criterios OCTAVE soportar mltiples implementaciones

Los criterios de octava son un conjunto de principios, atributos y salidas. Los principios son los conceptos fundamentales que

impulsan la naturaleza de la evaluacin, y que definen la filosofa detrs del proceso de evaluacin. Ellos dan forma al enfoque de

evaluacin y proporcionan la base para el proceso de evaluacin. Por ejemplo, la direccin s mismo es uno de los principios de la

OCTAVA. El concepto de auto-direccin significa que las personas dentro de la organizacin estn en la mejor posicin para dirigir

la evaluacin y tomar decisiones.

Los requisitos de la evaluacin estn incorporados en los atributos y salidas. Los atributos son las cualidades
distintivas, o caractersticas, de la evaluacin. Ellos son los requisitos que definen los elementos bsicos del
enfoque de octava y definen lo que es necesario hacer la

6 de agosto de de 2003
Introduccin al Enfoque OCTAVE

Evaluacin de un xito tanto en el proceso y las perspectivas de la organizacin. Los atributos se derivan de los
principios de octava. Por ejemplo, uno de los atributos de octava es que un equipo interdisciplinario (el equipo de
anlisis) atendido por personal de la organizacin principal la evaluacin. El principio detrs de la creacin de un equipo
de anlisis es auto-direccin.

Finalmente, las salidas son los resultados requeridos de cada fase de la evaluacin. Definen los resultados que un equipo

de anlisis debe alcanzar durante cada fase. Hay ms de un conjunto de actividades que pueden producir las salidas de

octava; por esta razn, no se especifica un conjunto nico de actividades. Las salidas definen los resultados que un equipo

de anlisis debe alcanzar durante la evaluacin y se organizan de acuerdo a las tres fases. Las tablas 2 y 3 enumeran los

principios, las actividades y productos del enfoque octava.

Tabla 2: Principios y Atributos OCTAVE

Principio Atributo

Direccin auto Anlisis RA.1 equipo RA.2 aumentar anlisis de las

capacidades del equipo

Medidas adaptables RA.3 catlogo de prcticas RA.4 Genrico

Amenaza perfil Catlogo RA.5 de

vulnerabilidades

Proceso definido RA.6 Defined Evaluation Activities RA.7

Documented Evaluation Results RA.8 Evaluation

Scope

Foundation for a Continuous Process RA.9 Next Steps RA.3 Catalog of

Practices

Forward-Looking View RA.10 Focus on Risk

Focus on the Critical Few RA.8 Evaluation Scope RA.11

Focused Activities

Integrated Management RA.12 Organizational and Technological Issues RA.13 Business and

Information Technology Participation RA.14 Senior Management

Participation

Open Communication RA.15 Collaborative Approach

Global Perspective RA.12 Organizational and Technological Issues RA.13 Business and

Information Technology Participation

de agosto de de 2003 7
 Introduction to the OCTAVE Approach

Principle Attribute

Teamwork RA.1 Analysis Team RA.2 Augment Analysis Team Skills RA.13 Business

and Information Technology Participation RA.15 Collaborative Approach

Table 3: OCTAVE Outputs

Fase Salida

Fase 1 RO1.1 activos crticos

Requisitos de seguridad para RO1.2 activos crticos RO1.3

Amenazas a las prcticas activos crticos de seguridad actual

RO1.4 RO1.5 actuales vulnerabilidades de organizacin

Fase 2 RO2.1 componentes clave RO2.2 actuales

vulnerabilidades Tecnologa

fase 3 Los riesgos a RO3.1 que analizan el riesgo

crtico Activos RO3.2 Proteccin RO3.3

Estrategia RO3.4 planes de mitigacin de

riesgo

2.4 octava es parte de un continuo

OCTAVA crea una vista de toda la organizacin de los riesgos actuales de seguridad de la informacin, proporcionando una instantnea en el

tiempo, o una lnea de base, que se puede utilizar para enfocar las actividades de mitigacin y mejora. Durante OCTAVE, un equipo de

anlisis realiza actividades a

identificar los riesgos de seguridad de informacin de la organizacin

analizar los riesgos para determinar las prioridades

plan para la mejora mediante el desarrollo de una estrategia de proteccin para la mejora de la organizacin y los planes de
mitigacin de riesgos para reducir el riesgo de los activos crticos de la organizacin

Una organizacin no mejorar a menos que se pone en prctica sus planes. Las siguientes actividades de mejora se realizan

despus de OCTAVE se ha completado. Despus de OCTAVE, el equipo de anlisis, u otro personal designado

8 August 2003
Introduccin al Enfoque OCTAVE

plan cmo poner en prctica la estrategia de proteccin y mitigacin de riesgos mediante el desarrollo de planes de planes de accin
detallados (Esta actividad puede incluir un anlisis detallado de costes y beneficios entre las estrategias y acciones, y que se traduce

en planes de ejecucin detallados.)

implementar los planes de accin detallados

monitor los planes de accin para la programacin y para la eficacia (Esta actividad incluye riesgos Toring moni- para cualquier
cambio.)

controlar variations in plan execution by taking appropriate corrective actions

An information security risk evaluation is part of an organizations activities for managing information security risks.
OCTAVE is an evaluation activity, not a continuous process. Thus, it has a defined beginning and end. Figure 4
shows the relationship among these activities and where OCTAVE fits in. Note that risk management activities define
a plan-do-check-act
cycle.

Figure 4: OCTAVE and Risk Management Activities

Peridicamente, una organizacin tendr que reset su lnea de base mediante la realizacin de otra octava. El tiempo entre las

evaluaciones puede ser predeterminado (por ejemplo, anual) o en funcin de los grandes eventos (por ejemplo, de reorganizacin

corporativa o rediseo de infraestructura informtica de una organizacin). Entre las evaluaciones, una organizacin puede identificar

peridicamente nuevos riesgos, analizar estos riesgos en relacin con los riesgos existentes, y desarrollar planes de mitigacin para ellos.

de agosto de de 2003 9
 Introduccin al Enfoque OCTAVE

10 de agosto de de 2003
Introduccin al Enfoque OCTAVE

3 Mtodo OCTAVE

El mtodo fue desarrollado OCTAVE con grandes organizaciones en mente (por ejemplo, 300 empleados o ms). El tamao no es la nica

consideracin cuando se decide utilizar el Mtodo de OCTAVA. Las grandes organizaciones suelen tener una jerarqua de capas mltiples

y con frecuencia son estufa de hilo (disjuntos) o distribuidos geogrficamente. Formales actividades de recopilacin de datos para

determinar cules son los activos relacionados con la informacin son importantes, cmo se utilizan, y cmo se les amenaza convertirse en

una parte esencial de la realizacin de octava en las grandes organizaciones. Por ltimo, una gran organizacin es probable que mantener

su propia infraestructura de computacin y tienen la capacidad interna para ejecutar herramientas de evaluacin de vulnerabilidad e

interpretar los resultados en relacin con sus activos crticos. Esta seccin presenta el Mtodo OCTAVA. Tambin se describen los

materiales que estn disponibles para llevar a cabo el mtodo de OCTAVE.

3.1 Procesos OCTAVA Mtodo

El Mtodo OCTAVE comprende las tres fases requeridas por los criterios de octava. Los procesos en aquellas fases se

describen a continuacin:

Fase 1: Construir perfiles de amenazas basada en activos - Las dos funciones principales de esta fase se estn reuniendo

informacin de toda la organizacin y elaboracin de perfiles de amenaza para los activos crticos.

- Proceso 1: identificar los conocimientos Alta Direccin - El equipo de anlisis recoge in-
formacin sobre los activos importantes, los requisitos de seguridad, amenazas y fortalezas actuales de la organizacin y

las vulnerabilidades de un conjunto representativo de los altos directivos.

- Proceso 2: identificar los conocimientos rea Operativa - El equipo de anlisis recoge informa-

macin acerca de los activos importantes, los requisitos de seguridad, amenazas y fortalezas actuales de la organizacin y las

vulnerabilidades de los gerentes de las reas operativas seleccionadas.

- Proceso 3: Identificar el Conocimiento Personal El equipo de anlisis recopila informacin acerca

activos importantes, los requisitos de seguridad, amenazas, fortalezas y vulnerabilidades actuales de la organizacin y del

personal en general y miembros del personal de TI de las reas operativas seleccionadas.

- Proceso 4: Crear perfiles de amenazas - El equipo de anlisis selecciona cuatro y cincuenta y siete in- crtica

activos y relacionados con la formacin, se definen los perfiles de amenaza para esos activos.

Fase 2: Identificar las vulnerabilidades de la infraestructura - Durante esta fase, el equipo de anlisis evala los componentes clave

de los sistemas que soportan los activos crticos para las vulnerabilidades tecnolgicas.

de agosto de de 2003 11
 Introduccin al Enfoque OCTAVE

- Proceso 5: identificar los componentes clave - un conjunto representativo de los componentes clave de

the systems that support or process the critical information-related assets are identified, and an
approach for evaluating them is defined.
Process 6: Evaluate Selected Components Tools are run to evaluate the selected
components, and the results are analyzed to refine the threat profiles (for networkaccess threats) for
the critical assets.

Phase 3: Develop Security Strategy and Plans The primary purpose of this phase is to evaluate risks to critical
assets and develop an organizational protection strategy and risk mitigation plans.

Process 7: Conduct Risk Analysis An organizational set of impact evaluation crite-

ria are defined to establish a common basis for determining the impact value (high, medium, or low) due to
threats to critical assets. All active risks are evaluated for impact. Note that probability is not currently
included but can be added to this method. 2

Process 8: Develop Protection Strategy The team develops an organization-wide

protection strategy focused on improving the organizations security practices as well as mitigation plans to
reduce the important risks to critical assets.

3.2 Available Materials Supporting the OCTAVE Method

The OCTAVE Method is documented in the OCTAVE Method Implementation Guide

(OMIG), available for downloading from the following web site < http://www.cert.org/octave > Sitio Web. Esta gua
contiene 18 volmenes de informacin tanto en Microsoft Word y PowerPoint. La lista siguiente describe
brevemente el contenido de cada volumen (desde el Volumen 1 de la OMIG).

Volumen 1: Introduccin: Este volumen incluye una descripcin de OCTAVE, orientacin sobre cmo utilizar la gua, algunas

sugerencias relativas a la formacin equipo de anlisis, y un formulario de comentarios.

Volumen 2: Actividades preliminares: Este volumen contiene directrices para la preparacin de hacer una octava, incluyendo la

seleccin del equipo de anlisis y los participantes, programacin, y la logstica. Tambin en este volumen se encuentra la

adaptacin de alto nivel de orientacin y sesiones de informacin para los altos directivos y participantes.

Los volmenes de 3 - 12: El Proceso OCTAVA: Estos volmenes proporcionar un conjunto completo de informacin
para las tres fases y ocho procesos del Mtodo OCTAVE.

Volumen 13: Despus de la evaluacin: Esta es una breve seccin de orientacin y un ejemplo de lo que debe hacer

despus de la evaluacin ha terminado.

2 OCTAVA-S tiene una versin cualitativa de la probabilidad de que se puede integrar en el OCTAVE

Mtodo, si se desea. Las futuras revisiones al mtodo OCTAVE contendrn probablemente alguna forma de op- cional, la estimacin de la
probabilidad cualitativa.

12 de agosto de de 2003
Introduccin al Enfoque OCTAVE

Volumen 14: Bibliografa y glosario: Esto proporciona un tiempo, pero no exhaustiva, de referencias, sitios
Web y otras fuentes de informacin relativa a la seguridad de la informacin, prcticas y normas. Un glosario
proporciona definiciones de los trminos clave utilizados en la gua.

Volumen 15: Apndice A: OCTAVA catlogo de prcticas: Este volumen ofrece un conjunto de buenas prcticas de
seguridad de la informacin contra la cual una organizacin evala s durante el mtodo de OCTAVA.

Volumen 16: Apndice B: OCTAVA Flujo de datos: Este volumen contiene un diagrama que muestra el flujo de datos, en

formato conciso, todas las actividades, entradas, salidas, y hojas de trabajo en el mtodo OCTAVE.

Volumen 17: Apndice C: Ejemplo completo Resultados: Esto proporciona el conjunto completo de resultados de ejemplo (que

tambin se encuentran en piezas ms pequeas a lo largo de la gua).

Volumen 18: Apndices D y E: Libros Blancos: Dos papeles, Idea general del mtodo OCTAVE y Los
perfiles de amenazas octava, se proporcionan en este volumen.

Adems de la descarga sin costo, una versin en papel y / o la versin de CD-ROM del OMIG tambin se pueden comprar.

Consulte la < http://www.cert.org/octave > Sitio Web para obtener informacin adicional.

de agosto de de 2003 13
 Introduccin al Enfoque OCTAVE

14 de agosto de de 2003
Introduccin al Enfoque OCTAVE

4 OCTAVE-S

Nota: Esta seccin se basa en la versin preliminar o beta (Versin 0.9) de OCTAVE-S. Los materiales adicionales sern
desarrollados y provistos de Versin 1.0 en una fecha posterior. OCTAVE-S no est tan ampliamente documentado como el
Mtodo OCTAVE. El conjunto mnimo de materiales necesarios para realizar OCTAVE-S se proporciona en la versin beta.

OCTAVE-S was developed and tested for small organizations, ranging from 20 to 80 people. It is designed for

organizations that can empower a team of three to five people to conduct all evaluation activities, without the need for

formal data-gathering activities. For example, a 200-person company that has a single location might be able to

assemble a team of 5 people that has sufficient insight into the entire organization. On the other hand, a company with

90 people at multiple sites, with an extremely stove piped structure of 9 divisions may require the OCTAVE Method to

ensure that sufficient data are gathered from across the organization. Another defining difference in OCTAVE-S

relates to the Phase 2 evaluation of the computing infrastructure. Small organizations often outsource, in part or in

total, the maintenance of their computer systems. For these companies, running evaluation tools and making sense

out of the results would be a significant burden on their resources. OCTAVE-S may identify the need for this type of

analysis, but Phase 2 in OCTAVE-S is an abbreviated inspection and review of the processes used to secure the

organizations computing infrastructure. OCTAVE-S also includes an optional, qualitative version of probability. It

requires some knowledge of an actors motivation (when appropriate) as well as some history of previous security

incidents and problems. While it is optional, organizations may be interested to see what types of data they should be

collecting to establish a reasonably confident measure of probability for information security risks.

4.1 OCTAVE-S Processes

OCTAVE-S has the same three phases described in the OCTAVE approach and in the OCTAVE Method.
However, the processes are somewhat different from the OCTAVE Method.

Phase 1: Build Asset-Based Threat Profiles During this phase, organizational information is identified and
used to define threat profiles for three to five critical informationrelated assets.

de agosto de de 2003 15
 Introduction to the OCTAVE Approach

Process S1: Identify Organizational Information The analysis team identifies the
organizations important information-related assets, defines a set of impact evaluation criteria, and
defines the current state of the organizations security practices.
Process S2: Create Threat Profiles The analysis team selects three to five critical in-
formation-related assets and defines the security requirements and threat profiles for those assets.

Phase 2: Identify Infrastructure Vulnerabilities During this phase, the analysis team takes a high-level review of
their infrastructure and technology-related practices to refine the threat profiles.

Process S3: Examine the Computing Infrastructure in Relation to Critical Assets

The analysis team analyzes the access paths in the systems that support the critical assets and
determines how well their technology-related processes are protecting those assets.

Phase 3: Develop Security Strategy and Plans During this phase, the risks to critical assets are evaluated
and an organizational protection strategy and risk mitigation plans are defined.

Process S4: Identify and Analyze Risks The analysis team evaluates all active risks
for impact and, optionally, probability.
Process S5: Develop Protection Strategy and Mitigation Plans The team develops
an organization-wide protection strategy and risk mitigation plans based on security practices.

4.2 Available OCTAVE-S Materials

The OCTAVE Method is documented in the OCTAVE-S Implementation Guide, available for downloading from the
following web site: <http:// www.cert.org/octave >. This guide contains 10 volumes of information in both Microsoft
Word and PowerPoint. The following list briefly describes the contents of each volume.

Volume 1: Introduction to OCTAVE-S This volume provides a basic description of OCTAVE-S and advice
on how to use the guide.

Volume 2: Preparation Guidelines This volume contains background and guidance for preparing to conduct an
OCTAVE-S evaluation.

Volume 3: Method Guidelines - Este volumen incluye una gua detallada para cada actividad OCTAVE-S.

Volumen 4: Hojas de trabajo de organizacin - Este volumen contiene hojas de trabajo para toda la informacin a nivel de

organizacin que se recopilan y analizan durante la octava S.

Volumen 5: Hojas de trabajo activo crtico para la Informacin - Este volumen proporciona hojas de datos de los documentos relacionados

con los activos crticos categorizados como informacin.

16 August 2003
Introduccin al Enfoque OCTAVE

Volumen 6: Activos Crticos Hojas de trabajo para los Sistemas - Este volumen proporciona hojas de datos de los documentos relacionados

con los activos crticos categorizados como sistemas.

Volumen 7: Hojas de trabajo activo crtico para aplicaciones - Este volumen proporciona hojas de datos de los documentos relacionados

con los activos clasificados como crticos aplicaciones.

Volumen 8: Hojas de trabajo activo fundamental para las personas This volume provides worksheets to document data

related to critical assets categorized as people.

Volume 9: Strategy and Plans Worksheets This volume contains worksheets to record the current and
desired protection strategy and the risk mitigation plans.

Volume 10: Example Scenario This volume contains a detailed scenario illustrating a completed set of
worksheets.

de agosto de de 2003 17
 Introduction to the OCTAVE Approach

18 August 2003
Introduction to the OCTAVE Approach

5 Choosing Between the Methods

The OCTAVE Method is structured for an analysis team with some understanding of IT and security issues,
employing an open, brainstorming approach for gathering and analyzing information. On the other hand, OCTAVE-S
is more structured. Security concepts are embedded in OCTAVE-S worksheets, allowing for their use by less
experienced practitioners. Experienced teams may find OCTAVE-S too constraining, while inexperienced teams
may become lost using the OCTAVE Method.

Mientras que slo dos mtodos se han desarrollado por el SEI, algunos usuarios pueden encontrar que ninguno de estos mtodos

es exactamente lo que necesitan. Muchos mtodos que integran piezas de los dos mtodos para algo que es intermedio son

posibles. Mientras los mtodos adaptados siguen cumpliendo los criterios de octava, que todava se consideran ser las

evaluaciones de octava consistente. La siguiente lista de preguntas debe ser utilizado para ayudar a decidir qu mtodo es el ms

adecuado para su organizacin. Estas preguntas son slo directrices, no un proceso de toma blanco y negro. Es posible que los

resultados no son claros, en cuyo caso, ambos mtodos deben ser descargados u obtenidos y revisados en detalle o una prueba

piloto para determinar su idoneidad. Para utilizar la tabla, considere cada pregunta. Si su respuesta es s, mira a ver qu columna

est marcada, el mtodo de octava o de octava S.

Pregunta OCTAVE OCTAVE-S

Method

Size and complexity of the organization

Is your organization small? Does your organization have a flat or simple hierarchical structure?

Are you a large company (300 or more employees)? Do you have a complex structure or

geographically-dispersed divisions?

Structured or Open-Ended Method

Do you prefer a more structured method using fill-in-the-blanks, checklists, and redlines, but

not as easy to tailor?

Do you prefer a more open-ended methodology that is easy to tailor and adapt to your own

preferences?

August 2003 19
 Introduction to the OCTAVE Approach

Question OCTAVE OCTAVE-S

Method

Analysis team composition

Can you find a group of three to five people for the analysis team who have a broad and deep

understanding of the company and also possess most of the following skills?

problem-solving ability

analytical ability

ability to work in a team

al menos un miembro con capacidad de liderazgo

capacidad para pasar unos das trabajando en este mtodo se puede encontrar un grupo de 3-5 personas

para el equipo de anlisis que tienen algn conocimiento de al menos parte de la empresa y tambin poseen la

mayor parte de las siguientes habilidades?

la capacidad de resolucin de problemas

Habilidad analtica

capacidad para trabajar en equipo

al menos un miembro con capacidad de liderazgo

al menos un miembro que entiende la infraestructura informtica y de cmo ejecutar e interpretar las

herramientas de vulnerabilidad

capacidad para pasar unas semanas trabajando en este mtodo

los recursos de TI

Do you outsource all or most of your information technology functions? Do you have a relatively

simple information technology infrastructure that is well understood by at least one individual in

your organization? Do you manage your own computing infrastructure and are familiar with

running vulnerability evaluation tools?

Do you have a complex computing infrastructure that is well understood by one or more

individuals in your organization?

Are you able to run, comprehend, and interpret the results of vulnerability evaluation tools within

the context of information-related assets (i.e., can you tell if a particular vulnerability means a

particular asset is exposed to unwanted modification or destruction)? Are you able to use the

expertise of a current service provider to interpret results?

Using a Beta-version method

Est dispuesto a utilizar una versin beta de un mtodo (es decir, utilizar un mtodo que puede no tener toda la

orientacin que pueda necesitar)?

20 August 2003
Introduccin al Enfoque OCTAVE

El usuario no puede obtener una indicacin clara de manera consistente el mtodo a utilizar. Si ese es el caso, seleccionar la que est

ms cerca de lo que necesita. Tambin puede que desee ver en el otro mtodo para determinar si un cierto grado de sastrera har

que el mtodo seleccionado ms adecuado para su organizacin.

Una palabra de precaucin: Algunos podran considerar posible el uso de octava S dentro de los proyectos individuales, lneas de

negocio o departamentos, y luego rodar la informacin hasta obtener una perspectiva de toda la organizacin en lugar de utilizar

el mtodo de OCTAVA. Si bien este enfoque es tericamente posible, no hay experiencia en este momento la definicin de cmo

esto se lleva a cabo.

de agosto de de 2003 21
 Introduccin al Enfoque OCTAVE

22 de agosto de de 2003
Introduccin al Enfoque OCTAVE

6 Otros mtodos derivados

El Instituto de Ingeniera de Software ha desarrollado dos mtodos que cumplen con los criterios de octava. Otras
organizaciones estn desarrollando sus propias versiones nicas de mtodos octava consistente. Estos pueden ser especficos
de un dominio, tales como la comunidad mdica, especfico de una norma o prctica, como la Ley de Portabilidad del Seguro
Mdico (HIPAA) o ISO 3 17799, o pueden incorporar herramientas propietarias adicionales y procesos que amplan el alcance de
OCTAVE.

En la medida en que estos otros mtodos octava consistentes son de libre acceso, que se har referencia en el sitio web de
OCTAVA. mtodos patentados se pueden obtener slo de la organizacin en desarrollo especfico.

3 Organizacin Internacional para la Estandarizacin

de agosto de de 2003 23
 Introduccin al Enfoque OCTAVE

24 de agosto de de 2003
Introduccin al Enfoque OCTAVE

7 Informacin adicional

Formacin 7.1.1 OCTAVE

El taller de capacitacin de tres das, Formacin OCTAVE, proporciona la formacin bsica necesaria para llevar a cabo una evaluacin

OCTAVE, utilizando el Mtodo de octava o de octava S. Dado que el mtodo OCTAVE tiene un alcance ms amplio y ms actividades

complejas, es utilizado como el ncleo del curso. Los diferentes aspectos de la octava S se discuten y los materiales son revisados

mtodo para instruir a los estudiantes sobre la implementacin diferente. Si bien no es necesario para todos, este curso es

recomendado para personas que desean una profunda experiencia en la realizacin de las diversas actividades que llevan a cabo antes

de OCTAVE uno en su propia organizacin.

Un curso de formacin de instructor de dos das tambin se proporciona para los socios de transicin y dems licencia para ensear y llevar a cabo

las evaluaciones de octava para sus clientes.

7.1.2 del libro: Gestin de Riesgos de Seguridad de Informacin

Los materiales disponibles para la descarga para el Mtodo de octava y octava S son materiales de referencia para el uso mientras que la

realizacin de la evaluacin. Para facilitar la comprensin y la lectura, el libro Addison-Wesley, Gestin de Riesgos Seguridad de la

Informacin [ Alberts 02], proporciona una base slida para la comprensin del enfoque de octava y el Mtodo OCTAVE, as como varias

variaciones opcionales. El libro puede proporcionar conocimiento bsico para los usuarios OCTAVE que optan por no tomar el entrenamiento.

Tambin se utiliza como el texto del ncleo durante la clase de entrenamiento.

de agosto de de 2003 25
 Introduccin al Enfoque OCTAVE

26 de agosto de de 2003
Introduccin al Enfoque OCTAVE

referencias

[Alberts 01a] Alberts, Christopher y Dorofee, Audrey. OCTAVA Mtodo gua de implementacin
v2.0. Pittsburgh, PA: Instituto de Ingeniera de Software de la Universidad Carnegie
Mellon, 2001. < http://www.cert.org/octave >.

[01b Alberts] Alberts, Christopher y Dorofee, Audrey. OCTAVA Criterios v2.0.

(CMU / SEI-2001-TR-020, ADA 396654). Pittsburgh, PA: Instituto de Ingeniera de
Software de la Universidad Carnegie Mellon, 2001. < http://www.sei.cmu.edu/publications/documents/01.reports/01tr

0.html >.

[Alberts 02] Alberts, Christopher y Dorofee, Audrey. Gestin de riesgos de seguridad de

informacin. Boston, MA: Addison-Wesley, 2002.

de agosto de de 2003 27