Escolar Documentos
Profissional Documentos
Cultura Documentos
Christopher Alberts
Audrey Dorofee James
Stevens Carol Woody
August 2003
Pittsburgh, PA 15213-3890
Christopher Alberts
Audree Dorofee James
Stevens Carol Woody
August 2003
The ideas and findings in this report should not be construed as an official DoD position. It is published in the interest of scientific and
technical information exchange.
Este trabajo es patrocinado por el Departamento de Defensa de Estados Unidos. El Instituto de Ingeniera de Software es un centro de investigacin y
desarrollo financiado federalmente patrocinado por el Departamento de Defensa de Estados Unidos. Copyright 2003 por la Universidad Carnegie
ESTA Carnegie Mellon University e ingeniera de software INSTITUTO DE MATERIAL SE SUMINISTRA "TAL CUAL".
Carnegie Mellon UNIVERSIDAD no ofrece garantas de CUALQUIER clase, expresada o implcita, A incluidas todas las
cuestiones, pero no limitado A, GARANTA DE APTITUD para el propsito o comerciabilidad, EXCLUSIVIDAD o resultados
obtenidos mediante el uso del material. Carnegie Mellon UNIVERSITY NO NINGUNA garanta de ningn tipo en materia de
libertad de la patente, marca registrada, o infraccin de copyright.
El uso de marcas registradas en este informe no pretende de ninguna manera infringir los derechos del titular de la marca. Uso interno. Permitida la reproduccin de
este documento y para preparar trabajos derivados de este documento para uso interno, bajo condicin de los derechos de autor y los estados "no ofrece ninguna
garanta" se incluye en todas las reproducciones y trabajos derivados. Uso externo. Las solicitudes de permiso para reproducir este documento o preparar trabajos
derivados de este documento para uso externo y comerciales deben dirigirse al Agente de Licencias SEI.
Este trabajo fue creado en el rendimiento de Federal Nmero de contrato de Gobierno F19628-00-C-0003 con la Universidad Carnegie Mellon para el funcionamiento del Software
Engineering Institute, un centro de investigacin y desarrollo financiados por el gobierno federal. El Gobierno de los Estados Unidos tiene una licencia del gobierno de propsito
libre de regalas para usar, duplicar o divulgar la obra, en su totalidad o en parte y en cualquier forma, y tener o permitir que otros lo hagan, para los propsitos del gobierno de
conformidad con la licencia de derechos de autor en virtud de la clusula 252.227-7013.
Para obtener informacin sobre la compra de copias en papel de los informes de SEI, por favor visite la seccin de publicaciones de nuestro sitio Web
(http://www.sei.cmu.edu/publications/pubweb.html).
Tabla de contenido
3 OCTAVE Method.............................................................................................. 11
3.1 OCTAVE Method Processes..................................................................... 11
References............................................................................................................... 27
de agosto de de 2003 yo
ii August 2003
List of Figures
August 2003 v
vi de agosto de de 2003
Introduccin al Enfoque OCTAVE
1 Objetivo y alcance
Este documento describe la amenaza, de activos y Evaluacin de la vulnerabilidad de vista operativo crtico SM ( OCTAVA ), un
enfoque de la gestin de riesgos de seguridad de la informacin. Se presenta una visin general del enfoque de octava y
describe brevemente dos mtodos octava consistente desarrollados en el Instituto de Ingeniera de Software (SEI).
El enfoque general encarnado en OCTAVE se describe primero, seguida de una descripcin general de los dos mtodos: el
mtodo de octava para las grandes organizaciones y OCTAVE-S 1 para las organizaciones pequeas. La informacin se
proporciona para ayudar al lector a diferenciar entre los dos mtodos, incluyendo las caractersticas que definen la organizacin
de destino para cada mtodo, as como las restricciones y limitaciones de cada mtodo. Tambin se proporciona una serie de
preguntas para ayudar a los lectores a determinar qu mtodo es mejor para ellos. Los lectores son dirigidos al sitio Web
Cabe sealar que algunas organizaciones pueden necesitar un hbrido o una combinacin de los dos mtodos, o una versin
completamente diferente de Octave. Un captulo final discute algunas de las posibles versiones alternativas.
OCTAVA se ha registrado en la Oficina de Patentes y Marcas de los Estados Unidos por la Carnegie Mellon Uni-
versidad.
SM Amenaza de vista operativo crtico, evaluacin de activos, y la vulnerabilidad es una marca de servicio de Carnegie
Mellon University.
1 Este documento se basa en la versin 2.0 del Mtodo de octava y Criterios de octava y la pre-
liminar o versin beta (Versin 0.9) de OCTAVE-S. OCTAVE-S no est tan ampliamente docu- mentado como el Mtodo OCTAVE. Slo
el conjunto mnimo de materiales necesarios para realizar OCTAVE-S se proporciona en la Versin 0.9. Los materiales adicionales sern
desarrollados y provistos de OCTAVE-S Versin 1.0 en una fecha posterior.
de agosto de de 2003 1
Introduccin al Enfoque OCTAVE
2 de agosto de de 2003
Introduccin al Enfoque OCTAVE
Una evaluacin eficaz del riesgo de seguridad de la informacin considera tanto las cuestiones organizativas y tecnolgicas, que
examina cmo las personas usan infraestructura informtica de su organizacin sobre una base diaria. La evaluacin es de vital
importancia para cualquier iniciativa de seguridad de superacin, ya que genera una vista de toda la organizacin de los riesgos de
2.2 Qu es OCTAVA?
Para una organizacin que busque comprender sus necesidades de seguridad de la informacin, octava es una tcnica de evaluacin y
planificacin estratgica basado en el riesgo para la seguridad. Octave es autodirigido, lo que significa que las personas de una organizacin
asumen la responsabilidad de establecer la estrategia de seguridad de la organizacin. La tcnica aprovecha el conocimiento de las prcticas y
los procesos relacionados con la seguridad de su organizacin de las personas para capturar el estado actual de la prctica de seguridad dentro
de la organizacin. Los riesgos para los activos ms importantes se utilizan para dar prioridad a las reas de mejora y establecer la estrategia de
seguridad de la organizacin.
Unlike the typical technology-focused assessment, which is targeted at technological risk and focused on tactical
issues, OCTAVE is targeted at organizational risk and focused on strategic, practice-related issues. It is a flexible
evaluation that can be tailored for most organizations. When applying OCTAVE, a small team of people from the
operational (or business) units and the information technology (IT) department work together to address the security
needs of the organization, balancing the three key aspects illustrated in Figure 1: operational risk, security practices,
and technology.
The OCTAVE approach is driven by two of the aspects: operational risk and security practices. Technology is
examined only in relation to security practices, enabling an organization to refine the view of its current security
practices. By using the OCTAVE approach, an organization makes information-protection decisions based on risks to
the confidentiality, integrity, and availability of critical information-related assets. All aspects of risk (assets, threats,
vulnerabilities, and organizational impact) are factored into decision making, enabling an organization to match a
practice-based protection strategy to its security risks. Table 1 summarizes key differences between OCTAVE and
other evaluations.
de agosto de de 2003 3
Introduction to the OCTAVE Approach
Octave es auto dirigido, lo que requiere una organizacin para gestionar el proceso de evaluacin y tomar decisiones de proteccin
de la informacin. Un equipo interdisciplinario, llamado el equipo de anlisis, conduce la evaluacin. El equipo incluye a personas de
ambos las unidades de negocio y el departamento de TI, ya que ambas perspectivas son importantes cuando se caracteriza la visin
identificar los activos relacionados con la informacin (por ejemplo, informacin y sistemas) que son importantes para la organizacin
actividades de anlisis de riesgos se centran en aquellos activos juzgados como ms crticos para la organizacin
considerar las relaciones entre los activos crticos, las amenazas a esos activos y habilidades vulnerabilidad (tanto
organizativos y tecnolgicos) que puede exponer los activos a las amenazas
4 August 2003
Introduccin al Enfoque OCTAVE
evaluar los riesgos en un contexto operacional - la forma en que se utilizan para realizar negocios de una organizacin y cmo esos activos
crear una estrategia de proteccin basada en la prctica para la mejora de la organizacin, as como la mitigacin de riesgos planea
reducir el riesgo para los activos crticos de la organizacin
Los aspectos organizativos, tecnolgicos y de anlisis de una evaluacin de riesgos de seguridad de informacin se complementan
con un enfoque en tres fases. OCTAVE se organiza alrededor de estos tres aspectos bsicos (ilustrados en la Figura 2), permitiendo
que el personal de la organizacin para montar una imagen global de las necesidades de seguridad de la informacin de la
Fase 1: Construir perfiles de amenazas basada en activos - Esta es una evaluacin organizacional. El equipo de anlisis determina lo
que es importante para la organizacin (activos relacionados con la informacin) y lo que se est haciendo actualmente para proteger
esos activos. Posteriormente, el equipo selecciona aquellos activos que son ms importantes para la organizacin (activos crticos) y
describe los requisitos de seguridad para cada activo crtico. Por ltimo, se identifican las amenazas a cada activo crtico, crea- Ating
un perfil amenaza para ese activo.
Fase 2: Identificar las vulnerabilidades de la infraestructura - Esta es una evaluacin de la infraestructura de informacin. El equipo
de anlisis examina las rutas de acceso de red, la identificacin de clases de componentes de tecnologa de la informacin
relacionada con cada activo crtico. Posteriormente, el equipo de- termina el grado en que cada clase de componente es resistente
a los ataques de red.
Fase 3: Desarrollo de Estrategia de Seguridad y Planes - Durante esta parte de la evaluacin, el equipo de anlisis identifica
los riesgos de los activos crticos de la organizacin y decide qu hacer con ellos. El equipo crea una estrategia de
proteccin para la organizacin y planes de mitigacin para hacer frente a los riesgos de los activos crticos, sobre la base de
un anlisis de la informacin recogida.
de agosto de de 2003 5
Introduccin al Enfoque OCTAVE
puede haber muchos mtodos coherentes con estos criterios, pero no es slo un conjunto de criterios de octava. En este
punto, se han desarrollado dos mtodos coherentes con los criterios. El mtodo OCTAVE, documentado en el OCTAVA
Mtodo gua de implementacin, v2.0 [ Alberts 01a], fue diseado con grandes organizaciones en mente, mientras Octave-S
fue desarrollado para organizaciones pequeas. Adems, otros podran definir mtodos para contextos especficos que son
Los criterios de octava son un conjunto de principios, atributos y salidas. Los principios son los conceptos fundamentales que
impulsan la naturaleza de la evaluacin, y que definen la filosofa detrs del proceso de evaluacin. Ellos dan forma al enfoque de
evaluacin y proporcionan la base para el proceso de evaluacin. Por ejemplo, la direccin s mismo es uno de los principios de la
OCTAVA. El concepto de auto-direccin significa que las personas dentro de la organizacin estn en la mejor posicin para dirigir
Los requisitos de la evaluacin estn incorporados en los atributos y salidas. Los atributos son las cualidades
distintivas, o caractersticas, de la evaluacin. Ellos son los requisitos que definen los elementos bsicos del
enfoque de octava y definen lo que es necesario hacer la
6 de agosto de de 2003
Introduccin al Enfoque OCTAVE
Evaluacin de un xito tanto en el proceso y las perspectivas de la organizacin. Los atributos se derivan de los
principios de octava. Por ejemplo, uno de los atributos de octava es que un equipo interdisciplinario (el equipo de
anlisis) atendido por personal de la organizacin principal la evaluacin. El principio detrs de la creacin de un equipo
de anlisis es auto-direccin.
Finalmente, las salidas son los resultados requeridos de cada fase de la evaluacin. Definen los resultados que un equipo
de anlisis debe alcanzar durante cada fase. Hay ms de un conjunto de actividades que pueden producir las salidas de
octava; por esta razn, no se especifica un conjunto nico de actividades. Las salidas definen los resultados que un equipo
de anlisis debe alcanzar durante la evaluacin y se organizan de acuerdo a las tres fases. Las tablas 2 y 3 enumeran los
Principio Atributo
vulnerabilidades
Scope
Practices
Focused Activities
Integrated Management RA.12 Organizational and Technological Issues RA.13 Business and
Participation
Global Perspective RA.12 Organizational and Technological Issues RA.13 Business and
de agosto de de 2003 7
Introduction to the OCTAVE Approach
Principle Attribute
Teamwork RA.1 Analysis Team RA.2 Augment Analysis Team Skills RA.13 Business
Fase Salida
vulnerabilidades Tecnologa
riesgo
tiempo, o una lnea de base, que se puede utilizar para enfocar las actividades de mitigacin y mejora. Durante OCTAVE, un equipo de
plan para la mejora mediante el desarrollo de una estrategia de proteccin para la mejora de la organizacin y los planes de
mitigacin de riesgos para reducir el riesgo de los activos crticos de la organizacin
Una organizacin no mejorar a menos que se pone en prctica sus planes. Las siguientes actividades de mejora se realizan
despus de OCTAVE se ha completado. Despus de OCTAVE, el equipo de anlisis, u otro personal designado
8 August 2003
Introduccin al Enfoque OCTAVE
plan cmo poner en prctica la estrategia de proteccin y mitigacin de riesgos mediante el desarrollo de planes de planes de accin
detallados (Esta actividad puede incluir un anlisis detallado de costes y beneficios entre las estrategias y acciones, y que se traduce
monitor los planes de accin para la programacin y para la eficacia (Esta actividad incluye riesgos Toring moni- para cualquier
cambio.)
An information security risk evaluation is part of an organizations activities for managing information security risks.
OCTAVE is an evaluation activity, not a continuous process. Thus, it has a defined beginning and end. Figure 4
shows the relationship among these activities and where OCTAVE fits in. Note that risk management activities define
a plan-do-check-act
cycle.
Peridicamente, una organizacin tendr que reset su lnea de base mediante la realizacin de otra octava. El tiempo entre las
evaluaciones puede ser predeterminado (por ejemplo, anual) o en funcin de los grandes eventos (por ejemplo, de reorganizacin
corporativa o rediseo de infraestructura informtica de una organizacin). Entre las evaluaciones, una organizacin puede identificar
peridicamente nuevos riesgos, analizar estos riesgos en relacin con los riesgos existentes, y desarrollar planes de mitigacin para ellos.
de agosto de de 2003 9
Introduccin al Enfoque OCTAVE
10 de agosto de de 2003
Introduccin al Enfoque OCTAVE
3 Mtodo OCTAVE
El mtodo fue desarrollado OCTAVE con grandes organizaciones en mente (por ejemplo, 300 empleados o ms). El tamao no es la nica
consideracin cuando se decide utilizar el Mtodo de OCTAVA. Las grandes organizaciones suelen tener una jerarqua de capas mltiples
y con frecuencia son estufa de hilo (disjuntos) o distribuidos geogrficamente. Formales actividades de recopilacin de datos para
determinar cules son los activos relacionados con la informacin son importantes, cmo se utilizan, y cmo se les amenaza convertirse en
una parte esencial de la realizacin de octava en las grandes organizaciones. Por ltimo, una gran organizacin es probable que mantener
su propia infraestructura de computacin y tienen la capacidad interna para ejecutar herramientas de evaluacin de vulnerabilidad e
interpretar los resultados en relacin con sus activos crticos. Esta seccin presenta el Mtodo OCTAVA. Tambin se describen los
describen a continuacin:
Fase 1: Construir perfiles de amenazas basada en activos - Las dos funciones principales de esta fase se estn reuniendo
informacin de toda la organizacin y elaboracin de perfiles de amenaza para los activos crticos.
- Proceso 1: identificar los conocimientos Alta Direccin - El equipo de anlisis recoge in-
formacin sobre los activos importantes, los requisitos de seguridad, amenazas y fortalezas actuales de la organizacin y
- Proceso 2: identificar los conocimientos rea Operativa - El equipo de anlisis recoge informa-
macin acerca de los activos importantes, los requisitos de seguridad, amenazas y fortalezas actuales de la organizacin y las
activos importantes, los requisitos de seguridad, amenazas, fortalezas y vulnerabilidades actuales de la organizacin y del
- Proceso 4: Crear perfiles de amenazas - El equipo de anlisis selecciona cuatro y cincuenta y siete in- crtica
activos y relacionados con la formacin, se definen los perfiles de amenaza para esos activos.
Fase 2: Identificar las vulnerabilidades de la infraestructura - Durante esta fase, el equipo de anlisis evala los componentes clave
de los sistemas que soportan los activos crticos para las vulnerabilidades tecnolgicas.
de agosto de de 2003 11
Introduccin al Enfoque OCTAVE
- Proceso 5: identificar los componentes clave - un conjunto representativo de los componentes clave de
the systems that support or process the critical information-related assets are identified, and an
approach for evaluating them is defined.
Process 6: Evaluate Selected Components Tools are run to evaluate the selected
components, and the results are analyzed to refine the threat profiles (for networkaccess threats) for
the critical assets.
Phase 3: Develop Security Strategy and Plans The primary purpose of this phase is to evaluate risks to critical
assets and develop an organizational protection strategy and risk mitigation plans.
Volumen 1: Introduccin: Este volumen incluye una descripcin de OCTAVE, orientacin sobre cmo utilizar la gua, algunas
Volumen 2: Actividades preliminares: Este volumen contiene directrices para la preparacin de hacer una octava, incluyendo la
seleccin del equipo de anlisis y los participantes, programacin, y la logstica. Tambin en este volumen se encuentra la
adaptacin de alto nivel de orientacin y sesiones de informacin para los altos directivos y participantes.
Los volmenes de 3 - 12: El Proceso OCTAVA: Estos volmenes proporcionar un conjunto completo de informacin
para las tres fases y ocho procesos del Mtodo OCTAVE.
Volumen 13: Despus de la evaluacin: Esta es una breve seccin de orientacin y un ejemplo de lo que debe hacer
2 OCTAVA-S tiene una versin cualitativa de la probabilidad de que se puede integrar en el OCTAVE
Mtodo, si se desea. Las futuras revisiones al mtodo OCTAVE contendrn probablemente alguna forma de op- cional, la estimacin de la
probabilidad cualitativa.
12 de agosto de de 2003
Introduccin al Enfoque OCTAVE
Volumen 14: Bibliografa y glosario: Esto proporciona un tiempo, pero no exhaustiva, de referencias, sitios
Web y otras fuentes de informacin relativa a la seguridad de la informacin, prcticas y normas. Un glosario
proporciona definiciones de los trminos clave utilizados en la gua.
Volumen 15: Apndice A: OCTAVA catlogo de prcticas: Este volumen ofrece un conjunto de buenas prcticas de
seguridad de la informacin contra la cual una organizacin evala s durante el mtodo de OCTAVA.
Volumen 16: Apndice B: OCTAVA Flujo de datos: Este volumen contiene un diagrama que muestra el flujo de datos, en
formato conciso, todas las actividades, entradas, salidas, y hojas de trabajo en el mtodo OCTAVE.
Volumen 17: Apndice C: Ejemplo completo Resultados: Esto proporciona el conjunto completo de resultados de ejemplo (que
Volumen 18: Apndices D y E: Libros Blancos: Dos papeles, Idea general del mtodo OCTAVE y Los
perfiles de amenazas octava, se proporcionan en este volumen.
Adems de la descarga sin costo, una versin en papel y / o la versin de CD-ROM del OMIG tambin se pueden comprar.
Consulte la < http://www.cert.org/octave > Sitio Web para obtener informacin adicional.
de agosto de de 2003 13
Introduccin al Enfoque OCTAVE
14 de agosto de de 2003
Introduccin al Enfoque OCTAVE
4 OCTAVE-S
Nota: Esta seccin se basa en la versin preliminar o beta (Versin 0.9) de OCTAVE-S. Los materiales adicionales sern
desarrollados y provistos de Versin 1.0 en una fecha posterior. OCTAVE-S no est tan ampliamente documentado como el
Mtodo OCTAVE. El conjunto mnimo de materiales necesarios para realizar OCTAVE-S se proporciona en la versin beta.
OCTAVE-S was developed and tested for small organizations, ranging from 20 to 80 people. It is designed for
organizations that can empower a team of three to five people to conduct all evaluation activities, without the need for
formal data-gathering activities. For example, a 200-person company that has a single location might be able to
assemble a team of 5 people that has sufficient insight into the entire organization. On the other hand, a company with
90 people at multiple sites, with an extremely stove piped structure of 9 divisions may require the OCTAVE Method to
ensure that sufficient data are gathered from across the organization. Another defining difference in OCTAVE-S
relates to the Phase 2 evaluation of the computing infrastructure. Small organizations often outsource, in part or in
total, the maintenance of their computer systems. For these companies, running evaluation tools and making sense
out of the results would be a significant burden on their resources. OCTAVE-S may identify the need for this type of
analysis, but Phase 2 in OCTAVE-S is an abbreviated inspection and review of the processes used to secure the
organizations computing infrastructure. OCTAVE-S also includes an optional, qualitative version of probability. It
requires some knowledge of an actors motivation (when appropriate) as well as some history of previous security
incidents and problems. While it is optional, organizations may be interested to see what types of data they should be
collecting to establish a reasonably confident measure of probability for information security risks.
Phase 1: Build Asset-Based Threat Profiles During this phase, organizational information is identified and
used to define threat profiles for three to five critical informationrelated assets.
de agosto de de 2003 15
Introduction to the OCTAVE Approach
Process S1: Identify Organizational Information The analysis team identifies the
organizations important information-related assets, defines a set of impact evaluation criteria, and
defines the current state of the organizations security practices.
Process S2: Create Threat Profiles The analysis team selects three to five critical in-
formation-related assets and defines the security requirements and threat profiles for those assets.
Phase 2: Identify Infrastructure Vulnerabilities During this phase, the analysis team takes a high-level review of
their infrastructure and technology-related practices to refine the threat profiles.
Phase 3: Develop Security Strategy and Plans During this phase, the risks to critical assets are evaluated
and an organizational protection strategy and risk mitigation plans are defined.
Process S4: Identify and Analyze Risks The analysis team evaluates all active risks
for impact and, optionally, probability.
Process S5: Develop Protection Strategy and Mitigation Plans The team develops
an organization-wide protection strategy and risk mitigation plans based on security practices.
Volume 1: Introduction to OCTAVE-S This volume provides a basic description of OCTAVE-S and advice
on how to use the guide.
Volume 2: Preparation Guidelines This volume contains background and guidance for preparing to conduct an
OCTAVE-S evaluation.
Volume 3: Method Guidelines - Este volumen incluye una gua detallada para cada actividad OCTAVE-S.
Volumen 4: Hojas de trabajo de organizacin - Este volumen contiene hojas de trabajo para toda la informacin a nivel de
Volumen 5: Hojas de trabajo activo crtico para la Informacin - Este volumen proporciona hojas de datos de los documentos relacionados
16 August 2003
Introduccin al Enfoque OCTAVE
Volumen 6: Activos Crticos Hojas de trabajo para los Sistemas - Este volumen proporciona hojas de datos de los documentos relacionados
Volumen 7: Hojas de trabajo activo crtico para aplicaciones - Este volumen proporciona hojas de datos de los documentos relacionados
Volumen 8: Hojas de trabajo activo fundamental para las personas This volume provides worksheets to document data
Volume 9: Strategy and Plans Worksheets This volume contains worksheets to record the current and
desired protection strategy and the risk mitigation plans.
Volume 10: Example Scenario This volume contains a detailed scenario illustrating a completed set of
worksheets.
de agosto de de 2003 17
Introduction to the OCTAVE Approach
18 August 2003
Introduction to the OCTAVE Approach
The OCTAVE Method is structured for an analysis team with some understanding of IT and security issues,
employing an open, brainstorming approach for gathering and analyzing information. On the other hand, OCTAVE-S
is more structured. Security concepts are embedded in OCTAVE-S worksheets, allowing for their use by less
experienced practitioners. Experienced teams may find OCTAVE-S too constraining, while inexperienced teams
may become lost using the OCTAVE Method.
Mientras que slo dos mtodos se han desarrollado por el SEI, algunos usuarios pueden encontrar que ninguno de estos mtodos
es exactamente lo que necesitan. Muchos mtodos que integran piezas de los dos mtodos para algo que es intermedio son
posibles. Mientras los mtodos adaptados siguen cumpliendo los criterios de octava, que todava se consideran ser las
evaluaciones de octava consistente. La siguiente lista de preguntas debe ser utilizado para ayudar a decidir qu mtodo es el ms
adecuado para su organizacin. Estas preguntas son slo directrices, no un proceso de toma blanco y negro. Es posible que los
resultados no son claros, en cuyo caso, ambos mtodos deben ser descargados u obtenidos y revisados en detalle o una prueba
piloto para determinar su idoneidad. Para utilizar la tabla, considere cada pregunta. Si su respuesta es s, mira a ver qu columna
Method
Is your organization small? Does your organization have a flat or simple hierarchical structure?
Are you a large company (300 or more employees)? Do you have a complex structure or
geographically-dispersed divisions?
Do you prefer a more structured method using fill-in-the-blanks, checklists, and redlines, but
Do you prefer a more open-ended methodology that is easy to tailor and adapt to your own
preferences?
August 2003 19
Introduction to the OCTAVE Approach
Method
Can you find a group of three to five people for the analysis team who have a broad and deep
understanding of the company and also possess most of the following skills?
problem-solving ability
analytical ability
capacidad para pasar unos das trabajando en este mtodo se puede encontrar un grupo de 3-5 personas
para el equipo de anlisis que tienen algn conocimiento de al menos parte de la empresa y tambin poseen la
Habilidad analtica
al menos un miembro que entiende la infraestructura informtica y de cmo ejecutar e interpretar las
herramientas de vulnerabilidad
los recursos de TI
Do you outsource all or most of your information technology functions? Do you have a relatively
simple information technology infrastructure that is well understood by at least one individual in
your organization? Do you manage your own computing infrastructure and are familiar with
Do you have a complex computing infrastructure that is well understood by one or more
Are you able to run, comprehend, and interpret the results of vulnerability evaluation tools within
the context of information-related assets (i.e., can you tell if a particular vulnerability means a
particular asset is exposed to unwanted modification or destruction)? Are you able to use the
Est dispuesto a utilizar una versin beta de un mtodo (es decir, utilizar un mtodo que puede no tener toda la
20 August 2003
Introduccin al Enfoque OCTAVE
El usuario no puede obtener una indicacin clara de manera consistente el mtodo a utilizar. Si ese es el caso, seleccionar la que est
ms cerca de lo que necesita. Tambin puede que desee ver en el otro mtodo para determinar si un cierto grado de sastrera har
Una palabra de precaucin: Algunos podran considerar posible el uso de octava S dentro de los proyectos individuales, lneas de
negocio o departamentos, y luego rodar la informacin hasta obtener una perspectiva de toda la organizacin en lugar de utilizar
el mtodo de OCTAVA. Si bien este enfoque es tericamente posible, no hay experiencia en este momento la definicin de cmo
de agosto de de 2003 21
Introduccin al Enfoque OCTAVE
22 de agosto de de 2003
Introduccin al Enfoque OCTAVE
El Instituto de Ingeniera de Software ha desarrollado dos mtodos que cumplen con los criterios de octava. Otras
organizaciones estn desarrollando sus propias versiones nicas de mtodos octava consistente. Estos pueden ser especficos
de un dominio, tales como la comunidad mdica, especfico de una norma o prctica, como la Ley de Portabilidad del Seguro
Mdico (HIPAA) o ISO 3 17799, o pueden incorporar herramientas propietarias adicionales y procesos que amplan el alcance de
OCTAVE.
En la medida en que estos otros mtodos octava consistentes son de libre acceso, que se har referencia en el sitio web de
OCTAVA. mtodos patentados se pueden obtener slo de la organizacin en desarrollo especfico.
de agosto de de 2003 23
Introduccin al Enfoque OCTAVE
24 de agosto de de 2003
Introduccin al Enfoque OCTAVE
7 Informacin adicional
El taller de capacitacin de tres das, Formacin OCTAVE, proporciona la formacin bsica necesaria para llevar a cabo una evaluacin
OCTAVE, utilizando el Mtodo de octava o de octava S. Dado que el mtodo OCTAVE tiene un alcance ms amplio y ms actividades
complejas, es utilizado como el ncleo del curso. Los diferentes aspectos de la octava S se discuten y los materiales son revisados
mtodo para instruir a los estudiantes sobre la implementacin diferente. Si bien no es necesario para todos, este curso es
recomendado para personas que desean una profunda experiencia en la realizacin de las diversas actividades que llevan a cabo antes
Un curso de formacin de instructor de dos das tambin se proporciona para los socios de transicin y dems licencia para ensear y llevar a cabo
Los materiales disponibles para la descarga para el Mtodo de octava y octava S son materiales de referencia para el uso mientras que la
realizacin de la evaluacin. Para facilitar la comprensin y la lectura, el libro Addison-Wesley, Gestin de Riesgos Seguridad de la
Informacin [ Alberts 02], proporciona una base slida para la comprensin del enfoque de octava y el Mtodo OCTAVE, as como varias
variaciones opcionales. El libro puede proporcionar conocimiento bsico para los usuarios OCTAVE que optan por no tomar el entrenamiento.
de agosto de de 2003 25
Introduccin al Enfoque OCTAVE
26 de agosto de de 2003
Introduccin al Enfoque OCTAVE
referencias
[Alberts 01a] Alberts, Christopher y Dorofee, Audrey. OCTAVA Mtodo gua de implementacin
v2.0. Pittsburgh, PA: Instituto de Ingeniera de Software de la Universidad Carnegie
Mellon, 2001. < http://www.cert.org/octave >.
0.html >.
de agosto de de 2003 27