Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
RIESGOS
OCTAVE Y MAGERIT
1. Contenido.
2. Introduccin. .................................................................................... 2
3. OCTAVE. .......................................................................................... 2
3.1. Historia y Evolucin. ...................................................................... 3
3.2. Descripcin General De OCTAVE. ....................................................... 4
3.3. Mtodos. .................................................................................... 4
3.3.1. Mtodo OCTAVE. ..................................................................... 4
3.3.2. Mtodo OCTAVE-S: ................................................................... 5
3.3.3. Mtodo OCTAVE ALLEGRO: ......................................................... 6
3.3.4. Caractersticas y Ventajas de los Mtodos. ...................................... 7
3.3.5. Fases. .................................................................................. 8
4. MAGERIT. ......................................................................................... 8
4.1. Historia y Evolucin. ...................................................................... 8
4.2. Descripcin General de MAGERIT. ...................................................... 9
4.3. Organizacin de las Guas. .............................................................. 10
4.3.1. El Mtodo. ............................................................................ 10
4.3.2. Catlogo de Elementos. ............................................................ 11
4.3.3. Gua de Tcnicas. ................................................................... 11
4.4. Evaluacin, Certificacin, Auditora y Acreditacin. ................................ 12
4.5. Derechos de Utilizacin. ................................................................ 13
5. Bibliografa ..................................................................................... 13
2
2. Introduccin.
Se conoce como gestin de riesgos, la cual se encuentra en el mbito econmico financiero
implantado en proceso de control interno el cual hace referencia a un concepto universal
conocido por mucho tiempo que carece de un marco referencial comn. Anteriormente
los sistemas de control interno se limitaban a las actividades de contabilidad y finanzas
sin vnculos ni relaciones establecidas, no se consideraba el control interno un instrumento
capaz de lograr la eficiencia y eficacia en la gestin de riesgos
3. OCTAVE.
Una evaluacin efectiva de riesgos en la seguridad de la informacin considera tanto los
temas organizacionales como los tcnicos, examina cmo la gente emplea la
infraestructura en forma diaria. La evaluacin es de vital importancia para cualquier
iniciativa de mejora en seguridad, porque genera una visin a lo ancho de la organizacin
de los riesgos de seguridad de la informacin, proveyndonos de una base para mejorar a
partir de all.
Para que una empresa comprenda cules son las necesidades de seguridad de la
informacin, OCTAVE es una tcnica de planificacin y consultora estratgica en
seguridad basada en el riesgo.
En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los
riesgos tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo
organizacional y el foco son los temas relativos a la estrategia y a la prctica.
Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de
negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos
3
El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales
y tecnolgicos:
Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta
OCTAVE:
Los mtodos de OCTAVE se basan en los criterios del estndar con un enfoque en la
prctica y evaluacin de la seguridad basada en la informacin de riesgo. Estos criterios
establecen los principios fundamentales y los atributos de gestin de riesgos que son
utilizados por los mtodos de OCTAVE.
3.3. Mtodos.
El mtodo utiliza una ejecucin en tres fases que examina las cuestiones organizacionales
y tecnolgicas, monta una visin clara de la organizacin y sus necesidades de informacin
y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a
cabo por un equipo de anlisis interdisciplinario de tres a cinco personas de la propia
organizacin. El mtodo aprovecha el conocimiento de mltiples niveles de la
organizacin, centrndose en:
Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y
hojas de clculo que se puede utilizar para obtener y captar informacin durante los
debates y la solucin de sesiones-problema.
5
Proporciona todo lo que un equipo de anlisis de necesidades debe utilizar para llevar a
cabo una evaluacin de su organizacin. Incluye un conjunto completo de procesos
detallados, hojas de trabajo, y las instrucciones para cada paso en el mtodo, as como
material de apoyo y orientacin para la ejecucin.
Gua de Implementacin:
Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una
evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la
adaptacin de orientacin a reuniones o de informacin.
Es una variante simplificada del mtodo de OCTAVE que se centra en los activos de la
informacin. Igual que los anteriores mtodos de OCTAVE, Allegro se puede realizar de
entrada en un taller de entorno colaborativo, pero tambin es muy apropiado para las
personas que desean realizar la evaluacin de riesgo sin una amplia participacin de la
organizacin o experiencia.
Fase 1 - Evaluacin de los participantes desarrollando criterios de medicin del riesgo con
las directrices de la organizacin: la misin de la organizacin, los objetivos y los factores
crticos de xito.
7
Fase 2 Cada uno de los participantes crean un perfil de los activos crticos de
informacin, que establece lmites claros para el activo, identifica sus necesidades de
seguridad, e identifica todos sus contenedores.
Fase 4 - Los participantes identifican y analizan los riesgos para los activos de informacin
y empiezan a desarrollar planes de mitigacin.
Gua de Implementacin:
Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de
la informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin,
hojas de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para
la identificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.
Material
Material del Mtodo Materiales Adicionales
Introductorio
Actividades detalladas, mtodo
Informacin de gua de
para cada paso, incluyendo:
contenedor del activo
Antecedentes y definiciones.
rboles de amenazas.
Introduccin y Notas generales y conceptos.
Cuestionario de riesgo
objetivo Pasos de la actividad.
para cada tipo.
Ejemplos.
Ejemplo completo de
Hojas especiales.
hojas de actividades.
Hojas de actividades.
3.3.5. Fases.
4. MAGERIT.
MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo
Superior de Administracin Electrnica, como respuesta a la percepcin de que la
Administracin, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologas de la informacin para el cumplimiento de su misin.
La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso
de las tecnologas de la informacin, que supone unos beneficios evidentes para los
usuarios; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.
Interesa a todos aquellos que trabajan con informacin digital y sistemas informticos
para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son
valiosos, MAGERIT les permitir saber cunto valor est en juego y les ayudar a
protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es,
simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una
aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la
arbitrariedad del analista.
En MAGERIT v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta
evolucin.
Si bien MAGERIT v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede
decir lo mismo de los detalles tcnicos de los sistemas de informacin con los que se
trabaja. Se intenta una puesta al da; pero ante todo se intenta diferenciar lo que es
esencial (y permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce
en parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas
y salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por
progreso tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas
cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms
xito tengan los sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr
interesados en abusar de ellos o, simplemente, destruirlos.
As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se
puedan adaptar los detalles a cada momento.
Por otro lado el paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de
este punto. En la v2.0 de MAGERIT aparece en el captulo de Desarrollo de Sistemas
Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el
proceso de desarrollo de sistemas de informacin completos.
4.3.1. El Mtodo.
Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de
riesgos, y proporciona una serie de aspectos prcticos.
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y para
gestionar su mitigacin. Es una presentacin netamente conceptual.
El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y gestin de
riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente
Pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de
anlisis y gestin de riesgos est bajo control en todo momento.
Glosario
Referencias bibliogrficas consideradas para el desarrollo de esta metodologa
Referencias al marco legal que encuadra las tareas de anlisis y gestin
11
1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido
de ofrecerles elementos estndar a los que puedan adscribirse rpidamente, centrndose
en lo especfico del sistema objeto del anlisis.
2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y
unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por
diferentes equipos.
Cada seccin incluye una notacin XML que se emplear para publicar regularmente los
elementos en un formato estndar capaz de ser procesado automticamente por
herramientas de anlisis y gestin.
Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte
de la misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia
base de partida para avanzar rpidamente sin distracciones ni olvidos.
Se trata de una gua de consulta que proporciona algunas tcnicas que se emplean
habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos: tcnicas
especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico,
rboles de ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de
12
Es una gua de consulta. Segn el lector avance por las tareas del proyecto, se le
recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una
introduccin, as como proporcionar referencias para que el lector profundice en las
tcnicas presentadas.
5. Bibliografa