OCTAVE (Operational, Critical, Threat, Asset and VulnerabilityEvaluation)

Es un mtodo de evaluacin y de gestin de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estndar internacional ISO27001.

Es una evaluacin efectiva de riesgos en la seguridad de la informacin, considera tanto los temas organizacionales como los tcnicos, examina cmo la gente emplea la infraestructura en forma diaria. La evaluacin es de vital importancia para cualquier iniciativa de mejora en seguridad, porque genera una visin a lo ancho de la organizacin de los riesgos de seguridad de la informacin, proveyndonos de una base para mejorar a partir de all. Para que una empresa comprenda cules son las necesidades de seguridad de la informacin, OCTAVE es una tcnica de planificacin y consultora estratgica en seguridad basada en el riesgo. En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los riesgos tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la prctica. Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prcticas de seguridad Y Tecnologa. OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las compaas tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la informacin crtica. El mtodo Octave permite la comprensin del manejo de los recursos, identificacin y evaluacin de riesgos que afectan la seguridad dentro de una organizacin. Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la informacin por parte del equipo de anlisis mediante el apoyo de un patrocinador interesado en la seguridad. El mtodo Octave se enfoca en tres fases para examinar los problemas organizacionales y tecnolgicos: 1- Identificacin de la informacin a nivel gerencial 2- Identificacin de la informacin a nivel operacional 3- Identificacin de la informacin a nivel de usuario final Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta Octave: 4- Consolidacin de la informacin y creacin de perfiles de amenazas 5- Identificacin de componentes claves 6- Evaluacin de componentes seleccionados 7.-Anlisis de riesgos de los recursos crticos 8- Desarrollo de estrategias de proteccin