TCNICAS DE ANALISIS DE

RIESGOS
OCTAVE Y MAGERIT

Ramiro Jose Verbel De La Rosa

Rajove668@hotmail.com
 1

1. Contenido.

2. Introduccin. .................................................................................... 2
3. OCTAVE. .......................................................................................... 2
3.1. Historia y Evolucin. ...................................................................... 3
3.2. Descripcin General De OCTAVE. ....................................................... 4
3.3. Mtodos. .................................................................................... 4
3.3.1. Mtodo OCTAVE. ..................................................................... 4
3.3.2. Mtodo OCTAVE-S: ................................................................... 5
3.3.3. Mtodo OCTAVE ALLEGRO: ......................................................... 6
3.3.4. Caractersticas y Ventajas de los Mtodos. ...................................... 7
3.3.5. Fases. .................................................................................. 8
4. MAGERIT. ......................................................................................... 8
4.1. Historia y Evolucin. ...................................................................... 8
4.2. Descripcin General de MAGERIT. ...................................................... 9
4.3. Organizacin de las Guas. .............................................................. 10
4.3.1. El Mtodo. ............................................................................ 10
4.3.2. Catlogo de Elementos. ............................................................ 11
4.3.3. Gua de Tcnicas. ................................................................... 11
4.4. Evaluacin, Certificacin, Auditora y Acreditacin. ................................ 12
4.5. Derechos de Utilizacin. ................................................................ 13
5. Bibliografa ..................................................................................... 13
 2

2. Introduccin.
Se conoce como gestin de riesgos, la cual se encuentra en el mbito econmico financiero
implantado en proceso de control interno el cual hace referencia a un concepto universal
conocido por mucho tiempo que carece de un marco referencial comn. Anteriormente
los sistemas de control interno se limitaban a las actividades de contabilidad y finanzas
sin vnculos ni relaciones establecidas, no se consideraba el control interno un instrumento
capaz de lograr la eficiencia y eficacia en la gestin de riesgos

Gestionar los riesgos de manera correcta constituye en una preocupacin de la alta

gerencia, segn afirma Bernens (1997) "la grieta pequea ms grande en la armadura
corporativa es la direccin de riesgos". La gestin de riesgos se facilita cuando las
entidades desarrollan sus actividades sobre la base de sistemas de control interno acorde
con las exigencias actuales.

En el presente documento se presenta una descripcin de las metodologas de gestin de

riesgos, en el cual sern abarcadas: OCTAVE y MAGERIT.

3. OCTAVE.
Una evaluacin efectiva de riesgos en la seguridad de la informacin considera tanto los
temas organizacionales como los tcnicos, examina cmo la gente emplea la
infraestructura en forma diaria. La evaluacin es de vital importancia para cualquier
iniciativa de mejora en seguridad, porque genera una visin a lo ancho de la organizacin
de los riesgos de seguridad de la informacin, proveyndonos de una base para mejorar a
partir de all.

Para que una empresa comprenda cules son las necesidades de seguridad de la
informacin, OCTAVE es una tcnica de planificacin y consultora estratgica en
seguridad basada en el riesgo.

En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los
riesgos tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo
organizacional y el foco son los temas relativos a la estrategia y a la prctica.

Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de
negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos
 3

dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos,

Prcticas de seguridad Y Tecnologa.

3.1. Historia y Evolucin.

OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La

tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las
compaas tomar decisiones de proteccin de informacin basados en los riesgos de
confidencialidad, integridad y disponibilidad de los bienes relacionados a la informacin
crtica.

El mtodo OCTAVE permite la comprensin del manejo de los recursos, identificacin y

evaluacin de riesgos que afectan la seguridad dentro de una organizacin.

Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la

informacin por parte del equipo de anlisis mediante el apoyo de un patrocinador
interesado en la seguridad.

El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales
y tecnolgicos:

Identificacin de la informacin a nivel gerencial.

Identificacin de la informacin a nivel operacional.
Identificacin de la informacin a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta
OCTAVE:

Consolidacin de la informacin y creacin de perfiles de amenazas.

Identificacin de componentes claves.
Evaluacin de componentes seleccionados.
Anlisis de riesgos de los recursos crticos.
Desarrollo de estrategias de proteccin.
 4

3.2. Descripcin General De OCTAVE.

Hay tres mtodos OCTAVE:

Los mtodos de OCTAVE se basan en los criterios del estndar con un enfoque en la
prctica y evaluacin de la seguridad basada en la informacin de riesgo. Estos criterios
establecen los principios fundamentales y los atributos de gestin de riesgos que son
utilizados por los mtodos de OCTAVE.

3.3. Mtodos.

3.3.1. Mtodo OCTAVE.

El mtodo fue desarrollado teniendo en cuenta grandes organizaciones de 300 o ms

empleados, pero el tamao no fue la nica consideracin. Por ejemplo, las grandes
organizaciones suelen tener una jerarqua de mltiples capas y es probable que mantengan
su propia infraestructura informtica, junto con la capacidad interna para ejecutar
herramientas de evaluacin de la vulnerabilidad e interpretar los resultados en relacin a
los activos crticos.

El mtodo utiliza una ejecucin en tres fases que examina las cuestiones organizacionales
y tecnolgicas, monta una visin clara de la organizacin y sus necesidades de informacin
y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a
cabo por un equipo de anlisis interdisciplinario de tres a cinco personas de la propia
organizacin. El mtodo aprovecha el conocimiento de mltiples niveles de la
organizacin, centrndose en:

Identificar los elementos crticos y las amenazas a esos activos.

La identificacin de las vulnerabilidades, tanto organizativas y tecnolgicas, que
exponen a las amenazas, creando un riesgo a la organizacin.
El desarrollo de una estrategia basada en la proteccin de prcticas y planes de
mitigacin de riesgos para apoyar la misin de la organizacin y las prioridades.

Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y
hojas de clculo que se puede utilizar para obtener y captar informacin durante los
debates y la solucin de sesiones-problema.
 5

Gua Para la Implementacin:

Proporciona todo lo que un equipo de anlisis de necesidades debe utilizar para llevar a
cabo una evaluacin de su organizacin. Incluye un conjunto completo de procesos
detallados, hojas de trabajo, y las instrucciones para cada paso en el mtodo, as como
material de apoyo y orientacin para la ejecucin.

Material Introductorio Material del Mtodo Materiales Adicionales

Para cada fase y
Libro perfil de activos.
Preparacin de la proceso:
Catlogo de prcticas.
introduccin. Resumen.
OCTAVE de flujo de
Adaptacin de la direccin. Directrices
datos.
Administracin superior de la detalladas.
Completos ejemplos de
informacin. Hojas de trabajo.
resultados.
Participantes de informacin. Diapositivas y
Y ms
apuntes.

3.3.2. Mtodo OCTAVE-S:

Fue desarrollado en respuesta a las necesidades de organizaciones ms pequeas

alrededor de 100 personas o menos. Cumple con los mismos criterios que el mtodo
OCTAVE pero est adaptado a los limitados medios y restricciones nicas de las pequeas
organizaciones. OCTAVE-S utiliza un proceso simplificado y ms hojas de trabajo
diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias en
esta versin de OCTAVE son:

1. OCTAVE-S requiere un pequeo equipo de 3-5 personas que entienden la amplitud y

profundidad de la empresa. Esta versin no comienza con el conocimiento formal sino con
la obtencin de talleres para recopilar informacin sobre los elementos importantes, los
requisitos de seguridad, las amenazas y las prcticas de seguridad. El supuesto es que el
equipo de anlisis de esta informacin ya se conoce.

2. OCTAVE-S incluye slo una exploracin limitada de la infraestructura informtica. Las

pequeas empresas con frecuencia externalizan sus procesos de TI por completo y no
tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.
 6

Gua de Implementacin:

Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una
evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la
adaptacin de orientacin a reuniones o de informacin.

Material Introductorio Material del Mtodo Materiales Adicionales

Para cada fase y
proceso:
Introduccin
Resumen. Los ejemplos de resultados
Preparacin de
Directrices completos.
Orientacin.
detalladas.
Hojas de trabajo.

3.3.3. Mtodo OCTAVE ALLEGRO:

Es una variante simplificada del mtodo de OCTAVE que se centra en los activos de la
informacin. Igual que los anteriores mtodos de OCTAVE, Allegro se puede realizar de
entrada en un taller de entorno colaborativo, pero tambin es muy apropiado para las
personas que desean realizar la evaluacin de riesgo sin una amplia participacin de la
organizacin o experiencia.

Debido a que el enfoque principal de OCTAVE Allegro es el activo de la informacin, la

organizacin de otros importantes activos se identifican y evalan en funcin de los activos
de informacin a la que estn conectados. Este proceso elimina la posible confusin sobre
el alcance y reduce la posibilidad de que la recoleccin de datos y de anlisis se realice
para los activos que no estn claramente definidos, fuera del alcance de la evaluacin, o
que necesitan ms de la descomposicin.

Consta de ocho pasos organizados en cuatro fases:

Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin del riesgo con
las directrices de la organizacin: la misin de la organizacin, los objetivos y los factores
crticos de xito.
 7

Fase 2 Cada uno de los participantes crean un perfil de los activos crticos de
informacin, que establece lmites claros para el activo, identifica sus necesidades de
seguridad, e identifica todos sus contenedores.

Fase 3 - Los participantes identifican las amenazas a la informacin de cada activo en el

contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los activos de informacin
y empiezan a desarrollar planes de mitigacin.

Gua de Implementacin:

Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de
la informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin,
hojas de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para
la identificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.

Material
Material del Mtodo Materiales Adicionales
Introductorio
Actividades detalladas, mtodo
Informacin de gua de
para cada paso, incluyendo:
contenedor del activo
Antecedentes y definiciones.
rboles de amenazas.
Introduccin y Notas generales y conceptos.
Cuestionario de riesgo
objetivo Pasos de la actividad.
para cada tipo.
Ejemplos.
Ejemplo completo de
Hojas especiales.
hojas de actividades.
Hojas de actividades.

3.3.4. Caractersticas y Ventajas de los Mtodos.

Es dirigido a equipos pequeos de trabajo a travs de las unidades de negocio y de TI de

la organizacin con el fin de trabajar juntos para abordar las necesidades de seguridad de
la organizacin.

Cada mtodo se puede adaptar a una organizacin en un nico entorno de riesgo, la

seguridad, resistencia a los objetivos y el nivel de habilidad.
 8

OCTAVE traslad a la organizacin hacia una visin basada en el riesgo operativo de la

seguridad y las direcciones de la tecnologa en un contexto de negocios.

3.3.5. Fases.

VSAN: Valoracin de Seguridad de Alto Nivel.

VSA: Valoracin de Seguridad de Aplicaciones.
VSR: Valoracin de Seguridad de Redes.
VSS: Valoracin de Seguridad de Servidores.
VST: Valoracin de Seguridad de Telecomunicaciones

4. MAGERIT.
MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo
Superior de Administracin Electrnica, como respuesta a la percepcin de que la
Administracin, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologas de la informacin para el cumplimiento de su misin.

La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso
de las tecnologas de la informacin, que supone unos beneficios evidentes para los
usuarios; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.

Interesa a todos aquellos que trabajan con informacin digital y sistemas informticos
para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son
valiosos, MAGERIT les permitir saber cunto valor est en juego y les ayudar a
protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es,
simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una
aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la
arbitrariedad del analista.

4.1. Historia y Evolucin.

Actualmente se encuentra en la versin 2.0, el periodo transcurrido desde la publicacin

de la primera versin de MAGERIT (1997), el anlisis de riesgos se ha venido consolidando
como paso necesario para la gestin de la seguridad.
 9

En MAGERIT v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta
evolucin.

En particular se reconocer lo que se denominaba submodelo de elementos: activos,

amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha
sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran
las fases fundamentales de anlisis y gestin. Se ha corregido y ampliado lo que se
denominaba subestados de seguridad dndole el nuevo nombre de dimensiones e
introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de
procesos aparece bajo el epgrafe de estructuracin del proyecto de anlisis y gestin de
riesgos.

Si bien MAGERIT v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede
decir lo mismo de los detalles tcnicos de los sistemas de informacin con los que se
trabaja. Se intenta una puesta al da; pero ante todo se intenta diferenciar lo que es
esencial (y permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce
en parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas
y salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por
progreso tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas
cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms
xito tengan los sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr
interesados en abusar de ellos o, simplemente, destruirlos.

As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se
puedan adaptar los detalles a cada momento.

Por otro lado el paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de
este punto. En la v2.0 de MAGERIT aparece en el captulo de Desarrollo de Sistemas
Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el
proceso de desarrollo de sistemas de informacin completos.

4.2. Descripcin General de MAGERIT.

MAGERIT persigue los siguientes objetivos:

Concientizar a los responsables de los sistemas de informacin de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.
 10

Ofrecer un mtodo sistemtico para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control.
Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o
acreditacin, segn corresponda en cada caso.

4.3. Organizacin de las Guas.

La versin 2 de MAGERIT se ha estructurado en tres libros: El Mtodo, un "Catlogo de

Elementos" y una "Gua de Tcnicas".

4.3.1. El Mtodo.

Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de
riesgos, y proporciona una serie de aspectos prcticos.

El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para
gestionar su mitigacin. Es una presentacin netamente conceptual.

El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de
riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente

Pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de
anlisis y gestin de riesgos est bajo control en todo momento.

El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en

el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los
riesgos desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos
que las propias aplicaciones introducen en el sistema.

Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de

la experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin
realmente efectivos.

Los apndices recogen material de consulta:

Glosario
Referencias bibliogrficas consideradas para el desarrollo de esta metodologa
Referencias al marco legal que encuadra las tareas de anlisis y gestin
 11

El marco normativo de evaluacin y certificacin

Las caractersticas que se requieren de las herramientas, presentes o futuras, para
soportar el proceso de anlisis y gestin de riesgos
Una gua comparativa de cmo MAGERIT versin 1 ha evolucionado en esta versin
2.
Se desarrolla un caso prctico como ejemplo.

4.3.2. Catlogo de Elementos.

Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos, dimensiones de

valoracin de los activos, criterios de valoracin de los activos, amenazas tpicas sobre los
sistemas de informacin y salvaguardas a considerar para proteger sistemas de
informacin.

Se persiguen dos objetivos:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido
de ofrecerles elementos estndar a los que puedan adscribirse rpidamente, centrndose
en lo especfico del sistema objeto del anlisis.

2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y
unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por
diferentes equipos.

Cada seccin incluye una notacin XML que se emplear para publicar regularmente los
elementos en un formato estndar capaz de ser procesado automticamente por
herramientas de anlisis y gestin.

Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte
de la misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia
base de partida para avanzar rpidamente sin distracciones ni olvidos.

4.3.3. Gua de Tcnicas.

Se trata de una gua de consulta que proporciona algunas tcnicas que se emplean
habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos: tcnicas
especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico,
rboles de ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de
 12

datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos, sesiones de

trabajo (entrevistas, reuniones y presentaciones) y valoracin Delphi.

Es una gua de consulta. Segn el lector avance por las tareas del proyecto, se le
recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una
introduccin, as como proporcionar referencias para que el lector profundice en las
tcnicas presentadas.

4.4. Evaluacin, Certificacin, Auditora y Acreditacin.

El anlisis de riesgos es una piedra angular de los procesos de evaluacin, certificacin,

auditora y acreditacin que formalizan la confianza que merece un sistema de
informacin. Dado que no hay dos sistemas de informacin iguales, la evaluacin de cada
sistema concreto requiere amoldarse a los componentes que lo constituyen. En anlisis de
riesgos proporciona una visin singular de cmo es cada sistema, qu valor posee, a qu
amenazas est expuesto y de qu salvaguardas se ha dotado. Es pues el anlisis de riesgos
pas obligado para poder llevar a cabo todas las tareas mencionadas, que se relacionan
segn el siguiente esquema:
 13

4.5. Derechos de Utilizacin.

MAGERIT es una metodologa de carcter pblico, perteneciente al Ministerio de la

Presidencia de Espaa; su utilizacin no requiere autorizacin previa del mismo.

5. Bibliografa

Amaya, H. C. (14 de Mayo de 2013). welivesecurity. Obtenido de MAGERIT: metodologa

prctica para gestionar riesgos: http://www.welivesecurity.com/la-
es/2013/05/14/MAGERIT-metodologia-practica-para-gestionar-riesgos/
Benitez, A. F. (2 de Marzo de 2015). Prezi. Obtenido de Metodologia de Analisis de
Riesgo OCTAVE: https://prezi.com/38p8cjhldc0n/metodologia-de-analisis-de-
riesgo-OCTAVE/
Ochoa, B. R. (13 de Octubre de 2010). auditoriauc20102mivi. Obtenido de Metodologias
de Gestin de Riesgos:
https://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+de
Gesti%C3%B2n+de+Riesgos.pdf