METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS
CRAMM
CRAMM
Desarrollada por el Reino Unido y es utilizada comúnmente por los países que conforman la Organización del Tratado del Atlántico Norte (OTAN), siendo de uso común en Europa.
El acrónimo proviene de CCTA Risk Analysis and Management Method.
Su versión inicial data de 1987 y la versión vigente es la 5.2.
CRAMM
Puede definirse como una Metodología:
•Para el análisis y gestión de riesgos.•Que aplica sus conceptos de una manera formal, disciplinada y estructurada.•Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos.•Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se considera mixta.
CRAMM
Incluye una amplia gama de herramientas de evaluación de riesgo que son totalmente compatibles con 27001 y ISO que se ocupan de tareas como:
•Activos de modelado de dependencia•Evaluación de impacto empresarial•Identificación y evaluación de amenazas y vulnerabilidades•Evaluar los niveles de riesgo•La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo.•Un enfoque flexible para la evaluación de riesgos.
CRAMM
Es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión.
Proporciona un enfoque disciplinado y organizado que abarca tanto técnicas (por ejemplo, el hardware y software) y no técnicas (por ejemplo, físicos y humanos) los aspectos de seguridad.
CRAMM
Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:
•Identificación y valoración de activos•De amenazas y evaluación de la vulnerabilidad•Contramedidas selección y recomendación
CRAMM
-Primera etapa: recoge la definición global de los objetivos de seguridad.
- Definición del alcance - Identificación y evaluación de los activos físicos y software
implicados- Determinación del valor de los datos en cuanto a impacto
en el negocio y la identificación.- Segunda etapa: el análisis de riesgos, identificando.
- Amenazas que afecta al sistema - Vulnerabilidades que explotan dichas amenazas
- Cálculo de los riesgos de materialización de las mismas.
CRAMM
-Tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.
-Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.
CRAMM
Matriz de riesgo
1 7
"1" indica una línea de base de bajo nivel de exigencia de seguridad
“7 " indica un requisito de seguridad muy alto.
CRAMMLas principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:
CRAMM
BIENES
VULNERABILIDADES
AMENAZASRIESGOS
AUDITORIA
EJECUCION
CONTRAMEDIDAS
ANALISYS
GESTIÓN
CRAMMLas principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:
Gracias por su atención
ALFREDO SANCHEZ CONTRERASRAUL FRANCISCO OTERO GUTIERREZ
SEPTIEMBRE, 2013