OCTAVE se centra en el estudio de riesgos organizacionales, principalmente en los aspectos relacionados con el día a día de las empresas. La evaluación inicia a partir de la identificación de los activos relacionados con la información, definiendo este concepto con los elementos de TI que representan valor para la empresa (sistemas de información, software, archivos físicos o magnéticos, personas).
De esta forma, OCTAVE estudia la infraestructura de información y, más importante aún, la manera como dicha infraestructura se usa. Se considera que, con el fin de que una organización pueda cumplir su misión, los empleados de todos los niveles necesitan entender qué activos relacionados con la información son importantes y
cómo deben protegerlos.
El proceso de evaluación contemplado por OCTAVE se divide en tres fases:
- Construcción de perfiles de amenazas basadas en activos.
- Identificación de vulnerabilidades en la infraestructura.
- Desarrollo de estrategias y planes de seguridad.
El principal problema al que se está expuesto al hacer una evaluación de este tipo es que no se identifiquen oportunamente riesgos importantes, a los que eventualmente las organizaciones son vulnerables, por ello metodologías como OCTAVE minimizan este problema. Es importante que en el análisis se resalte lo valiosa que es la información, debido a que gran parte de los riesgos provienen de “costumbres” internas de las organizaciones.
No hay comentarios:
Publicar un comentario