Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
RESEÑA DE LA METODOLOGÍA OCTAVE®
INTRODUCCIÓN
En el mundo actual, el disponer de equipos de comunicación expuestos a internet demanda la
necesidad imperante de una buena configuración y además segura de los mismos conforme lo
demanden los servicios que se están prestando en la red interna.
Para este efecto es necesario considerar muchos aspectos de seguridad, entre los cuales se puede
mencionar la necesidad cada vez más identificada de la gestión de un NIDS1 dentro de la red local y
como parte de la seguridad perimetral de la red.
Para este efecto, es en sumo necesario considerar un esquema de seguridad conforme lo muestra la
Figura A, donde se puede ver que existen dos NIDS para el control de los aplicativos y servidores
internos y en la seguridad perimetral.
NIDS Srv HTTP FTP DNS SMTP
Atacante Administrador de Seguridad
Servicios Públicos
Red Interna
Internet Asegurada
Router
Firewall
NIDS Perimetral
Mainframe Servicios Intranet
Figura A: Diagrama de seguridad sugerido
Frente a este diagrama sugerido, se puede notar que un atacante tendrá dos sistemas que vulnerar
frente a un acceso no autorizado. El afinamiento de los IPS o NIDS que pueden detener
efectivamente un acceso no autorizado determinará siempre la capacidad de respuesta y
autodefensa que tenga la red interna que se disponga en producción.
En el gráfico se muestra que ambos NIDS trabajan en el bloqueo de las conexiones no autorizadas
sobre los servicios públicos que se exponen en la red local y frente a internet. Existe también un
Firewall que es quién bloquea o permite accesos a los servidores dentro de la zona Desmilitarizada
que dispone la red.
1
NIDS: Network Intrusion Detection System ‐ Sistema de detección de intrusos en la red.
Los usuarios internos estarían protegidos por el NIDS Perimetral siempre y cuando en este estén
definidas reglas que permitan el análisis del tráfico que pasa por este equipo para evitar accesos no
autorizados desde afuera para los usuarios internos.
Teniendo en cuenta un esquema como el sugerido, se tendrá siempre una capacidad de autodefensa
de la red local y expuesta al internet que se verá limitada únicamente por el afinamiento en los
equipos para control de accesos no autorizados (Firewall e IPS/NIDS).
METODOLOGÍA PLANTEADA
Para realizar la evaluación de los componentes de tecnologías de información se utilizará una
variante de la metodología OCTAVE2 , en la cual se analiza los riesgos únicamente sobre los activos
de información considerados como críticos, de acuerdo al criterio de evaluación sobre el cual se
anticipa el trabajo de consultoría y análisis.
La metodología OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se basa
fundamentalmente en la colaboración de personas que estén involucradas en los procesos clave de
la organización para de este modo tener una perspectiva global de la situación de la empresa en lo
que se refiere a políticas y prácticas actuales. De no tener algunas, estas se sugieren a partir de las
expectativas de los usuarios y directores de cada área de la entidad.
Esta metodología hace un balance entre Riesgo operacional, Prácticas de seguridad y Tecnología, el
mismo se ilustra en la Figura B:
Figura B: BALANCE DE LA METODOLOGÍA OCTAVE
La Aproximación OCTAVE está manejada por dos de los aspectos: Riesgo Operacional y Prácticas de
Seguridad. La Tecnología es examinada solo en relación a las prácticas de seguridad, permitiendo a la
organización refinar la vista de sus prácticas de seguridad actuales. Utilizando la aproximación
OCTAVE la Organización puede realizar decisiones de protección de la información basadas sobre
2
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation [http://www.cert.org/octave/]
riesgos a la confidencialidad, integridad y disponibilidad de activos críticos relacionados a la
información.
La metodología como tal cumple lo siguiente:
Examinar infraestructura TIC en relación a activos críticos
o Rutas de acceso
o Nivel de protección de los activos
Identificar y analizar riesgos
o Evaluar impacto de riesgos (Sugerencias a nivel recomendaciones)
Desarrollar plan de mitigación y estrategia de protección
o Desarrollo de políticas institucionales
Para este efecto, se consideraron todas las variantes posibles que puedan aplicarse dentro del
análisis propuesto para los activos críticos que posee la entidad a evaluar.
Dentro de la metodología como tal se cumplen tres fases, las cuales se explican en la siguiente tabla
FASE DESCRIPCIÓN
Activos críticos
Fase 1 Requerimientos de activos críticos
Amenazas a activos críticos
Prácticas actuales de seguridad
Vulnerabilidades organizacionales
Componentes clave
Fase 2 Vulnerabilidades tecnológicas
Riesgos para activos críticos
Fase 3 Medidas de riesgos
Estrategia de protección
Plan de mitigación de riesgos
Tabla 1.‐ Fases de la metodología OCTAVE
Para el cumplimiento de las fases, se supone como hecho que la lista de activos críticos, los
requerimientos, amenazas potenciales, las prácticas actuales de seguridad y las vulnerabilidades
fueron las expuestas por parte del personal de la Institución.