Octave

OCTAVE ® (Operationally Critical Threat, Asset, and Vulnerability Evaluation SM ) is a

suite of tools, techniques, and methods for risk-based information security strategic
assessment and planning. OCTAVA ® (Operacionalmente amenazas críticas, Bienes, y la
vulnerabilidad de Evaluación SM) es un conjunto de herramientas, técnicas y métodos para la
seguridad de la información estratégica basada en la evaluación de riesgos y la
planificación.

OCTAVE Methods OCTAVA Métodos

There are three OCTAVE methods: Hay tres métodos OCTAVA:

 the original OCTAVE method, which forms the basis for the OCTAVE body of
knowledge el método original de OCTAVA, que constituye la base para el cuerpo
de conocimientos OCTAVA
 OCTAVE-S, for smaller organizations OCTAVA-S, para organizaciones más
pequeñas
 OCTAVE-Allegro, a streamlined approach for information security assessment and
assurance OCTAVA-Allegro, un método simplificado para la evaluación de
seguridad de la información y la garantía de

OCTAVE methods are founded on the OCTAVE criteria—a standard approach for a risk-
driven and practice-based information security evaluation. OCTAVA métodos se basan en
los criterios OCTAVA-un método estándar para una basada en la práctica y evaluación de
la seguridad basada en la información de riesgo. The OCTAVE criteria establish the
fundamental principles and attributes of risk management that are used by the OCTAVE
methods. Los criterios OCTAVA establecer los principios fundamentales y los atributos de
gestión de riesgos que son utilizados por los métodos de OCTAVA.

Features and benefits of OCTAVE methods Características y ventajas de los métodos

de OCTAVE

The OCTAVE methods are Los métodos son OCTAVA

 self-directed —Small teams of organizational personnel across business units and

IT work together to address the security needs of the organization. -Pequeño
dirigido equipos de la organización-a través de personal de las unidades de
negocio y de TI auto trabajar juntos para abordar las necesidades de seguridad de la
organización.
 flexible —Each method can be tailored to the organization's unique risk
environment, security and resiliency objectives, and skill level. Cada método
flexible se puede adaptar a una organización es único entorno de riesgo, la
seguridad y los objetivos de la resistencia, y el nivel de habilidad.
 evolved —OCTAVE moved the organization toward an operational risk-based view
of security and addresses technology in a business context. OCTAVA
 evolucionado-se trasladó a la organización hacia una basada en el riesgo visión
operativa de la seguridad y las direcciones de la tecnología en un contexto de
negocios.

OCTAVA Método
The OCTAVE Method was developed with large organizations in mind (300 employees
or more), but size is not the only consideration. El método fue desarrollado OCTAVA
con grandes organizaciones en cuenta (300 empleados o más), pero el tamaño no es
la única consideración. For example, large organizations generally have a multi-layered
hierarchy and are likely to maintain their own computing infrastructure, along with the
internal ability to run vulnerability evaluation tools and interpret results in relation to
critical assets. Por ejemplo, las grandes organizaciones suelen tener una jerarquía de
múltiples capas y es probable que mantengan su propia infraestructura informática,
junto con la capacidad interna para ejecutar las herramientas de evaluación de la
vulnerabilidad e interpretar los resultados en relación a los activos críticos.

The OCTAVE Method uses a three-phased approach to examine organizational and

technology issues, assembling a comprehensive picture of the organization's information
security needs. El método utiliza un OCTAVA-ejecución por etapas de tres a examinar las
cuestiones organizativas y de tecnología, montaje de una visión clara de la organización las
necesidades de información de seguridad del. It is comprised of a series of workshops,
either facilitated or conducted by an interdisciplinary analysis team of three to five of the
organization's own personnel. Se compone de una serie de talleres, facilitado o llevadas a
cabo por un equipo de análisis interdisciplinario de tres a cinco de la propia personal de la
organización. The method takes advantage of knowledge from multiple levels of the
organization, focusing on El método aprovecha el conocimiento de múltiples niveles de la
organización, centrándose en

 identifying critical assets and the threats to those assets identificar los elementos críticos y
las amenazas a los activos
 identifying the vulnerabilities, both organizational and technological, that expose those
threats, creating risk to the organization la identificación de las vulnerabilidades, tanto
organizativos y tecnológicos, que exponen a las amenazas, creando un riesgo a la
organización
 developing a practice-based protection strategy and risk mitigation plans to support the
organization's mission and priorities el desarrollo de una estrategia basada en la
protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la
organización y las prioridades

These activities are supported by a catalog of good or known practices, as well as surveys
and worksheets that can be used to elicit and capture information during focused
discussions and problem-solving sessions. Estas actividades son apoyadas por un catálogo
de buenas prácticas o conocidos, así como encuestas y hojas de cálculo que se puede
utilizar para obtener y captar información durante los debates se centraron y la solución de
sesiones-problema.

OCTAVE Method Implementation Guide Método OCTAVE Guía para la implementación

The OCTAVE Method Implementation Guide provides everything that an analysis team
needs to use the OCTAVE Method to conduct an evaluation in their organization. El
Método OCTAVE Guía para la implementación proporciona todo lo que un equipo de
análisis de necesidades para utilizar el Método OCTAVE para llevar a cabo una evaluación
de su organización. It includes a complete set of detailed processes, worksheets, and
instructions for each step in the method, as well as support material and guidance for
tailoring. Incluye un conjunto completo de procesos detallados, hojas de trabajo, y las
instrucciones para cada paso en el método, así como material de apoyo y orientación para la
confección.

OCTAVE Method Implementation Guide Table of Contents Método OCTAVE Guía

de Implementación de la Tabla de Contenidos

Introductory Material Method Material Método de Additional Materials

Material Introductorio Material Materiales adicionales

 Preparation guidance For each phase and process:  Asset profile workbook
Preparación de Para cada fase y proceso: Activos perfil libro
orientación  Catalog of practices
 Tailoring guidance  Summary Resumen Catálogo de las
Adaptación de  Detailed guidelines prácticas
orientación directrices detalladas  OCTAVE data flow
 Senior management  Worksheets Hojas de OCTAVA de flujo de
briefing La trabajo datos
 Complete example
administración  Slides and notes
superior de results Los resultados
Diapositivas y apuntes
información completos ejemplo
 Participants briefing
...and more ... Y más
Los participantes de
información

You can download the OCTAVE Method Implementation Guide. Puede descargar la
Octava Método Guía para la implementación.

Additional Guidance Orientaciones adicionales

Assessing Information Security Risk Using the OCTAVE Approach is a three-day training
course in which participants use a case study to perform each activity in the method as well
as learn about preparation, tailoring, OCTAVE-S, and OCTAVE Allegro. La evaluación de
la información de riesgos de seguridad mediante el enfoque OCTAVA es un día de curso
de capacitación y tres en el que los participantes usan un estudio de caso para llevar a cabo
cada actividad en el método, así como aprender sobre la preparación, confección,
OCTAVE-S, y Allegro OCTAVA.

Last updated July 30, 2008 Última actualización 30 de julio 2008