METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS

CRAMM

CRAMM

Desarrollada por el Reino Unido y es utilizada comúnmente por los países que conforman la Organización del Tratado del Atlántico Norte (OTAN), siendo de uso común en Europa.

El acrónimo proviene de CCTA Risk Analysis and Management Method.

Su versión inicial data de 1987 y la versión vigente es la 5.2.

CRAMM

Puede definirse como una Metodología:

•Para el análisis y gestión de riesgos.•Que aplica sus conceptos de una manera formal, disciplinada y estructurada.•Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos.•Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se considera mixta.

CRAMM

Incluye una amplia gama de herramientas de evaluación de riesgo que son totalmente compatibles con 27001 y ISO que se ocupan de tareas como:

•Activos de modelado de dependencia•Evaluación de impacto empresarial•Identificación y evaluación de amenazas y vulnerabilidades•Evaluar los niveles de riesgo•La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo.•Un enfoque flexible para la evaluación de riesgos.

CRAMM

Es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión.

Proporciona un enfoque disciplinado y organizado que abarca tanto técnicas (por ejemplo, el hardware y software) y no técnicas (por ejemplo, físicos y humanos) los aspectos de seguridad.

CRAMM

Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:

•Identificación y valoración de activos•De amenazas y evaluación de la vulnerabilidad•Contramedidas selección y recomendación

CRAMM

-Primera etapa: recoge la definición global de los objetivos de seguridad.

- Definición del alcance - Identificación y evaluación de los activos físicos y software

implicados- Determinación del valor de los datos en cuanto a impacto

en el negocio y la identificación.- Segunda etapa: el análisis de riesgos, identificando.

- Amenazas que afecta al sistema - Vulnerabilidades que explotan dichas amenazas

- Cálculo de los riesgos de materialización de las mismas.

CRAMM

-Tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.

-Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.

CRAMM

Matriz de riesgo

1 7

"1" indica una línea de base de bajo nivel de exigencia de seguridad

“7 " indica un requisito de seguridad muy alto.

CRAMMLas principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:

CRAMM

BIENES

VULNERABILIDADES

AMENAZASRIESGOS

AUDITORIA

EJECUCION

CONTRAMEDIDAS

ANALISYS

GESTIÓN

CRAMMLas principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:

Gracias por su atención

alfredosanchezc@ufps.edu.co

ALFREDO SANCHEZ CONTRERASRAUL FRANCISCO OTERO GUTIERREZ

SEPTIEMBRE, 2013