Octave PDF

Preview

Summary

Trabajo sobre la metodología octave, historia, características, herramientas, etc...

Description

METODÓLOGIA OCTAVE

RICARDO ANDRES CARMONA ARAUJO

UNIVERSIDAD POPULAR DEL CESAR FACULTAD DE TECNOLOGIAS E INGENIERÍA INGENIERIA DE SISTEMAS VALLEDUPAR 2019

OCTAVE Una evaluación efectiva de riesgos en la seguridad de la información considera tanto los temas organizacionales como los técnicos, examina cómo la gente emplea la infraestructura en forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en seguridad, porque genera una visión a lo ancho de la organización de los riesgos de seguridad de la información, proveyéndonos de una base para mejorar a partir de allí. Para que una empresa comprenda cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo. En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica. Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prácticas de seguridad Y Tecnología. HISTORIA Y EVOLUCIÓN OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica. El método OCTAVE permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización. Exige llevar la evaluación de la organización y del personal de la tecnología de la información por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad. El método OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos: Identificación de la información a nivel gerencial. Identificación de la información a nivel operacional. Identificación de la información a nivel de usuario final. Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta OCTAVE: Consolidación de la información y creación de perfiles de amenazas. Identificación de componentes claves. Evaluación de componentes seleccionados.

Análisis de riesgos de los recursos críticos. Desarrollo de estrategias de protección. DESCRIPCIÓN GENERAL DE OCTAVE Hay tres métodos OCTAVE: Los métodos de OCTAVE se basan en los criterios del estándar con un enfoque en la práctica y evaluación de la seguridad basada en la información de riesgo. Estos criterios establecen los principios fundamentales y los atributos de gestión de riesgos que son utilizados por los métodos de OCTAVE. Método OCTAVE: El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados, pero el tamaño no fue la única consideración. Por ejemplo, las grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable que mantengan su propia infraestructura informática, junto con la capacidad interna para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los resultados en relación a los activos críticos. El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una visión clara de la organización y sus necesidades de información y seguridad de la misma. Se compone de una serie de talleres, facilitados o llevados a cabo por un equipo de análisis interdisciplinario de tres a cinco personas de la propia organización. El método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en: Identificar los elementos críticos y las amenazas a esos activos. La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización. El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades. Estas actividades son apoyadas por un catálogo de buenas prácticas, así como encuestas y hojas de cálculo que se puede utilizar para obtener y captar información durante los debates y la solución de sesiones-problema. GUÍA PARA LA IMPLEMENTACIÓN: Proporciona todo lo que un equipo de análisis de necesidades debe utilizar para llevar a cabo una evaluación de su organización. Incluye un conjunto completo de procesos detallados, hojas de trabajo, y las instrucciones para cada paso en el método, así como material de apoyo y orientación para la ejecución.

Método OCTAVE-S: Fue desarrollado en respuesta a las necesidades de organizaciones más pequeñas alrededor de 100 personas o menos. Cumple con los mismos criterios que el método Octave pero está adaptado a los limitados medios y restricciones únicas de las pequeñas organizaciones. Octave-S utiliza un proceso simplificado y más hojas de trabajo diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias en esta versión de Octave son: 1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa. Esta versión no comienza con el conocimiento formal sino con la obtención de talleres para recopilar información sobre los elementos importantes, los requisitos de seguridad, las amenazas y las prácticas de seguridad. El supuesto es que el equipo de análisis de esta información ya se conoce. 2. Octave-S incluye sólo una exploración limitada de la infraestructura informática. Las pequeñas empresas con frecuencia externalizan sus procesos de TI por completo y no tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de vulnerabilidad. GUÍA DE IMPLEMENTACIÓN: Proporciona la mayor parte de lo que necesita un equipo de análisis para llevar a cabo una evaluación. Incluye hojas de trabajo y orientaciones para cada actividad, así como una introducción, la guía de preparación, y un ejemplo completo. No se incluye aún la adaptación de orientación a reuniones o de información.

Método OCTAVE ALLEGRO:

Es una variante simplificada del método de Octave que se centra en los activos de la información. Igual que los anteriores métodos de Octave, Allegro se puede realizar de entrada en un taller de entorno colaborativo, pero también es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia. Debido a que el enfoque principal de Octave Allegro es el activo de la información, la organización de otros importantes activos se identifica y evalúan en función de los activos de información a la que están conectados. Este proceso elimina la posible confusión sobre el alcance y reduce la posibilidad de que la recolección de datos y de análisis se realice para los activos que no estén claramente definidos, fuera del alcance de la evaluación, o que necesitan más de la descomposición. Consta de ocho pasos organizados en cuatro fases: Fase 1 - Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización: la misión de la organización, los objetivos y los factores críticos de éxito. Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información, que establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos sus contenedores. Fase 3 - Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores. Fase 4 - Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación. GUÍA DE IMPLEMENTACIÓN: Contiene todos los recursos necesarios para llevar a cabo una evaluación de seguridad de la información. Incluye paso a paso las instrucciones detalladas para realizar la evaluación, hojas de trabajo que acompaña al documento de la evaluación, materiales de apoyo para la identificación y análisis de riesgos, y un ejemplo de una evaluación efectuada.

CARACTERÍSTICAS Y VENTAJAS DE LOS MÉTODOS Es dirigido a equipos pequeños de trabajo a través de las unidades de negocio y de TI de la organización con el fin de trabajar juntos para abordar las necesidades de seguridad de la organización. Cada método se puede adaptar a una organización en un único entorno de riesgo, la seguridad, resistencia a los objetivos y el nivel de habilidad. Octave trasladó a la organización hacia una visión basada en el riesgo operativo de la seguridad y las direcciones de la tecnología en un contexto de negocios.

Objetivo: Desarrollar una perceptiva de seguridad dentro de una organización teniendo en cuenta perspectivas de todos los niveles para asegurarse que las soluciones puedan implementarse con facilidad. Funciones: octave clasifica a los componentes de la empresa en activos y los ordena de acuerdo a su importancia en amenaza y vulnerabilidad

Caso de estudio:

Introducción: La empresa integrar soluciones informáticas específicamente diseñada para la industria de alimentos y bebidas, hotelería y comercio general. Estas soluciones de hardware, software y servicios especializados dan como resultados sistemas escalables de punto de ventas(POS), sistemas administrativos y de control (Back Office) y aplicación de administración y consolidación de recursos en oficinas corporativas (head office) Por lo que proporcionan la información para la adecuada toma de decisiones en el ámbito operativo, financiero y de planeación. Situación actual. Asociación de consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración de software de punto de venta y help desk para los mercados de, mexico, panamá, costa rica y puerto rico con lo que suman 450 restaurantes para atender en sus diferentes regiones.

Asociación de consejero. Al percatarse que sus políticas y procesos de los sistemas de administra tiene vulnerabilidades, se dio a la tarea de llevar a cabo un programa de gestión de riesgos en el cual el primer punto de la gestión es la planeación del riesgo, para lo cual se requiere un análisis de riesgos con el fin de conocer no solo algunas, sino todas las vulnerabilidades que se tiene, así como los riesgos que conlleva y el posible impacto que tendría. Objetivo. Para poder minimizar los riesgos y brindar un servicio de mejor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello el cliente toma decisiones estratégicas. Se utilizará la metodología octave para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y valuando los activos de la información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad. Alcance. Se realizará un análisis del riesgo sobre los activos de información que se emplean tanto en la administración de los puntos de venta como en el sistema de gestión de puntos de venta backoffice y headoffice, tanto en aplicativos, repositorios de datos y hardware. Metodología Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. Fases de OCTAVE Establecer criterios de medición de riesgos. Desarrollar un perfil de activos de información. Identificar contenedores de activos de información. identificar áreas de preocupación. Identificar escenarios de amenaza.

Identificar riesgos. Analizar riesgos. Seleccionar un enfoque de mitigación. Activos Críticos Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realiza a mano. Riesgos Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. No existe antivirus en las laptops de Help Desk. Se puede ejecutar en la PC del BackOffice una sesión de SQL. Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. Implementación de alguna promoción en POS y funcionamiento.

que esta afecte su

No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos

Amenazas Hacer que los POS sean inoperantes

Robo de base de datos Robo de logs de transacciones de TC Manipulación de datos en inventario de los restaurantes Manipulación de ventas en POS, por medio de clave de soporte Virus o software malicioso

1. Establecer criterios de medición del riesgo

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la

evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

Reputación/confianza del cliente Financiera Productividad Seguridad/salud Multas/penas legales Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa. Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el personal encargado de generar los criterios de medición del riesgo. En la siguiente imagen se muestra un ejemplo de un área de impacto para los criterios de “Reputación y confianza del cliente”:

Una característica de OCTAVE Allegro es que emplea hojas de trabajo para registrar toda la información que se genera durante su aplicación. Esto se traduce en una ventaja, ya que algunos estándares de seguridad requieren que el proceso de evaluación de riesgos sea documentado.

Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la organización, por lo que el orden puede variar de una empresa a otra. La categoría más importante recibe el puntaje más alto y la menos importante recibe la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de impacto y solo utiliza las descritas en OCTAVE Allegro:

HOJA DE TRABAJO ALLEGRO 7 Prioridad 5 4 3 2 1 N/A

PRIORIDAD DE LAS ÁREAS DE IMPACTO Área de impacto Reputación y confianza del cliente Financiera Productividad Seguridad y salud Multas y penas legales Definido por el usuario

2. Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

También, se debe asignar un custodio a cada uno de estos activos de información, el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

3. Identificar contenedores de activos de información

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos, por tales características, también son los lugares donde se aplican los controles de seguridad.

De acuerdo con este método, pueden ser del tipo técnico, físico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

4. Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso 2.

Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuenci...