RESEÑA DE LA METODOLOGÍA OCTAVE® 
 INTRODUCCIÓN 
En  el  mundo  actual,  el  disponer  de  equipos  de  comunicación  expuestos  a  internet  demanda  la 
necesidad  imperante  de  una  buena  configuración  y  además  segura  de  los  mismos  conforme  lo 
demanden los servicios que se están prestando en la red interna.  
 
Para este efecto es necesario considerar muchos aspectos de seguridad, entre los cuales se puede 
mencionar la necesidad cada vez más identificada de la gestión de un NIDS1 dentro de la red local y 
como parte de la seguridad perimetral de la red. 
 
Para este efecto, es en sumo necesario considerar un esquema de seguridad conforme lo muestra la 
Figura  A,  donde  se  puede  ver  que  existen  dos  NIDS  para  el  control  de  los  aplicativos  y  servidores 
internos y en la seguridad perimetral. 
 
 
 
  NIDS Srv HTTP FTP DNS SMTP
Atacante Administrador de Seguridad
  Servicios Públicos
 
 
 
Red Interna
  Internet Asegurada
 
Router
  Firewall
 
 
  NIDS Perimetral

 
 
  Mainframe Servicios Intranet

Figura A: Diagrama de seguridad sugerido 
 
Frente a este diagrama sugerido, se puede notar que un atacante tendrá dos sistemas que vulnerar 
frente  a  un  acceso  no  autorizado.  El  afinamiento  de  los  IPS  o  NIDS  que  pueden  detener 
efectivamente  un  acceso  no  autorizado  determinará  siempre  la  capacidad  de  respuesta  y 
autodefensa que tenga la red interna que se disponga en producción. 
 
En el gráfico se muestra que ambos NIDS trabajan en el bloqueo de las conexiones no autorizadas 
sobre  los  servicios  públicos  que  se  exponen  en  la  red  local  y  frente  a  internet.  Existe  también  un 
Firewall que es quién bloquea o permite accesos a los servidores dentro de la zona Desmilitarizada 
que dispone la red. 
 

                                                            
1
 NIDS: Network Intrusion Detection System ‐ Sistema de detección de intrusos en la red. 
Los  usuarios  internos  estarían  protegidos  por  el  NIDS  Perimetral  siempre  y  cuando  en  este  estén 
definidas reglas que permitan el análisis del tráfico que pasa por este equipo para evitar accesos no 
autorizados desde afuera para los usuarios internos. 
 
Teniendo en cuenta un esquema como el sugerido, se tendrá siempre una capacidad de autodefensa 
de  la  red  local  y  expuesta  al  internet  que  se  verá  limitada  únicamente  por  el  afinamiento  en  los 
equipos para control de accesos no autorizados (Firewall e IPS/NIDS). 
   
 

METODOLOGÍA PLANTEADA 
 
Para  realizar  la  evaluación  de  los  componentes  de  tecnologías  de  información  se  utilizará  una 
variante de la metodología OCTAVE2 , en la cual se analiza los riesgos únicamente sobre los activos 
de  información  considerados  como  críticos,  de  acuerdo  al  criterio  de  evaluación  sobre  el  cual  se 
anticipa el trabajo de consultoría y análisis. 
 
La  metodología  OCTAVE  (Operationally Critical Threat, Asset,  and  Vulnerability Evaluation)  se  basa 
fundamentalmente en la colaboración de personas que estén involucradas en los procesos clave de 
la organización para de este modo tener una perspectiva global de la situación de la empresa en lo 
que se refiere a políticas y prácticas actuales. De no tener algunas, estas se sugieren a partir de las 
expectativas de los usuarios y directores de cada área de la entidad. 
 
Esta metodología hace un balance entre Riesgo operacional, Prácticas de seguridad y Tecnología, el 
mismo se ilustra en la Figura B: 
 

 
Figura B: BALANCE DE LA METODOLOGÍA OCTAVE 
 
La Aproximación OCTAVE está manejada por dos de los aspectos: Riesgo Operacional y Prácticas de 
Seguridad. La Tecnología es examinada solo en relación a las prácticas de seguridad, permitiendo a la 
organización  refinar  la  vista  de  sus  prácticas  de  seguridad  actuales.  Utilizando  la  aproximación 
OCTAVE  la  Organización  puede  realizar  decisiones  de  protección  de  la  información  basadas  sobre 

                                                            
2
 OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation [http://www.cert.org/octave/] 
riesgos  a  la  confidencialidad,  integridad  y  disponibilidad  de  activos  críticos  relacionados  a  la 
información. 
 
La metodología como tal cumple lo siguiente: 
 
 Examinar infraestructura TIC en relación a activos críticos 
o Rutas de acceso 
o Nivel de protección de los activos 
 
 Identificar y analizar riesgos 
o Evaluar impacto de riesgos (Sugerencias a nivel recomendaciones) 
 
 Desarrollar plan de mitigación y estrategia de protección 
o Desarrollo de políticas institucionales 
 
Para  este  efecto,  se  consideraron  todas  las  variantes  posibles  que  puedan  aplicarse  dentro  del 
análisis propuesto para los activos críticos que posee la entidad a evaluar. 
Dentro de la metodología como tal se cumplen tres fases, las cuales se explican en la siguiente tabla 
 
FASE  DESCRIPCIÓN
 Activos críticos 
Fase 1   Requerimientos de activos críticos 
 Amenazas a activos críticos 
 Prácticas actuales de seguridad 
 Vulnerabilidades organizacionales 
 Componentes clave 
Fase 2   Vulnerabilidades tecnológicas 

 Riesgos para activos críticos 
Fase 3   Medidas de riesgos 
 Estrategia de protección 
 Plan de mitigación de riesgos 

Tabla 1.‐ Fases de la metodología OCTAVE 

Para  el  cumplimiento  de  las  fases,  se  supone  como  hecho  que  la  lista  de  activos  críticos,  los 
requerimientos,  amenazas  potenciales,  las  prácticas  actuales  de  seguridad  y  las  vulnerabilidades 
fueron las expuestas por parte del personal de la Institución.