Metodología OCTAVE (Operationally Critical Threat,
Asset and Vulnerability Evaluation)
Operationally
Critical Threats Assets and Vulnerability Evaluation.Es un método de evaluación
y de gestión de los riesgos para garantizar la seguridad del sistema
informativo, desarrollado por el estándar internacional ISO270001.
El
núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y
resultados) a partir de los cuales se pueden desarrollar diversas metodologías.
Octave
Tiene dos objetivos específicos que son:
Desmitificar la falsa creencia: La Seguridad Informática es un asunto
meramente técnico
Presentar los principios básicos y la estructura de las mejores prácticas
internacionales que guían los asuntos no técnicos.
Octave
divide los activos en dos tipos que son:
Sistemas, (Hardware. Software y Datos)
Personas
La
metodología OCTAVE está compuesta en tres fases:
Visión de organización: Donde se definen los siguientes elementos: activos,
vulnerabilidades de organización, amenazas, exigencias de seguridad y normas
existentes.
Visión tecnológica: se clasifican en dos componentes o elementos:
componentes claves y vulnerabilidades técnicas.
Planificación de las medidas y reducción de los riesgos: se clasifican en
los siguientes elementos: evaluación de los riesgos, estrategia de proteccion,
ponderacion de los riesgos y plano de reduccion de los riesgos.
Las
fases del proceso OCTAVE pueden resumirse en el siguiente gráfico:
