Cramm es la metodología
de análisis de riesgos desarrollado por el Centro de informática y la Agencia Nacional
de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.
El significado del acrónimo proviene de CCTARisk
Analysis and Management Method.
Su versión inicial data de 1987 y la versión vigente
es la 5.2.
Luego, Cramm puede definirse como una Metodología:
v Para
el análisis y gestión de riesgos.
v Que
aplica sus conceptos de una manera formal, disciplinada y estructurada.
v Orientada
a proteger la confidencialidad, integridad y disponibilidad de un sistema y de
sus activos.
v Que,
aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y
cualitativas, y por ésto se considera mixta.
Cramm incluye una
amplia gama de herramientas de evaluación de riesgo que son totalmente
compatibles con 27001 y ISO que se ocupan de tareas como:
v Activos
de modelado de dependencia
v Evaluación
de impacto empresarial
v Identificación
y evaluación de amenazas y vulnerabilidades
v Evaluar
los niveles de riesgo
v La
identificación de los controles necesarios y justificados sobre la base de la
evaluación del riesgo.
v Un
enfoque flexible para la evaluación de riesgos.
ALCANCE
CRAMM es aplicable a
todo tipo de sistemas y redes de información y se puede aplicar en todas las
etapas del ciclo de vida del sistema de información, desde la planificación y
viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede
utilizar siempre que sea necesario para identificar la seguridad y/o requisitos
de contingencia para un sistema de información o de la red. Esto puede incluir:
v Durante
la planificación de la estrategia se hace un análisis de riesgos de alto nivel
que puede ser necesaria para identificar los requisitos de seguridad general o
de emergencia para la organización, los costos relativos y las implicaciones de
su implementación.
v En
la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede ser
requerido para identificar los requisitos de seguridad general, la contingencia
y los costos asociados de las distintas opciones.
v Durante
el análisis del negocio detallado y de entornos técnicos donde los problemas de
seguridad o contingencia asociados con la opción tomada pueden ser investigados
o refinados.
v Antes
de la ejecución, para garantizar que todos los requerimientos físicos, el
personal, técnicas y contramedidas de seguridad se han identificado e
implementado.
v En
cualquier momento durante la ejecución, donde existe preocupación por los
problemas de seguridad o contingencia, por ejemplo. En respuesta a una amenaza
nueva, mayor o después de un fallo de seguridad Cramm herramientas de
evaluación de riesgos se puede utilizar para responder a las preguntas
individuales, para buscar en las organizaciones, procesos, aplicaciones y
sistemas o para investigar las infraestructuras completas u organizaciones. Los
usuarios tienen la opción de una herramienta de evaluación de riesgos rápido o
un análisis completo, más riguroso.
Las herramientas de
evaluación de riesgos son muy flexibles y le permiten explorar diferentes temas
y responder a muchas preguntas diferentes. Ejemplo incluyen:
v La
determinación de si existe un requisito para los controles específicos, por
ejemplo. Autenticación fuerte, cifrado, de protección de energía o de redundancia
de hardware.
v Identificar
las funciones de seguridad necesarias para una nueva aplicación.
v El
desarrollo de los requisitos de seguridad para un outsourcing o acuerdo de
servicios gestionados.
v Revise
los requisitos de seguridad física y ambiental en un nuevo sitio.
v Examinar
las consecuencias de permitir a los usuarios conectarse a Internet
v Demostrar
el cumplimiento de la legislación como la Ley de Protección de Datos.
v Desarrollar una política de seguridad de un nuevo sistema.
v Desarrollar una política de seguridad de un nuevo sistema.
v Auditoría
de la idoneidad y el estado de los controles de seguridad en un sistema
existente.
v Demostrar
que un auditor de la norma ISO 27001 que la evaluación de un "ISO 27001
compatible con" riesgo ha llevado a cabo y que los controles de seguridad
apropiados se han identificado.
v La
evaluación de los resultados.
Cramm contiene una variedad de herramientas para ayudar a evaluar los resultados de una evaluación de riesgos, incluyendo:
v La
determinación de la prioridad relativa de los controles
v Grabación
de los costos estimados de la aplicación de los controles
v Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría si"
v Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría si"
v Volver
de seguimiento a través de la evaluación de riesgos para demostrar la
justificación de controles específicos.
Uno de los principales
aspectos de Cramm, es el soporte que proporciona la herramienta informática que
la soporta, con una base de datos de:
v Más
de 400 tipos de Activos.
v Más
de 25 tipos de Impacto.
v 38
tipos de Amenaza.
v 7
Tipos de medida del Riesgo.
v Más
de 3500 salvaguardas.
Actualmente, Cramm soporta tres tipos de revisiones:
v CRAMM
Expert
v CRAMM
Express
v BS7799
DESCRIPCIÓN
DE LA METODOLOGÍA
La mayoría de los
software de gestión de riesgos usados hoy día centran su atención en proteger
los bienes más costosos de la organización, sin embargo, no en todos los casos
es la mejor. Cramm es un software que realiza un análisis de riesgos cualitativos
asociados con una herramienta de gestión.
La herramienta, que ha
sometida a revisiones importantes (actualmente en versión 4), es posteriormente
comercializada y ahora distribuidas por una firma del Reino Unido, Insight
Consulting, como "Cramm Manager" (Junto a la U. K. Servicio de
Seguridad).
Cramm proporciona un
enfoque disciplinado y organizado que abarca tanto técnicas (por ejemplo, el
hardware y software) y no técnicas (por ejemplo, físicos y humanos) los
aspectos de seguridad.
Con el fin de evaluar
estos componentes, CRAMM se divide en tres etapas:
1. Identificación y
valoración de activos
2. De amenazas y
evaluación de la vulnerabilidad
3. Contramedidas
selección y recomendación
Con respecto a esto,
Cramm calcula los riesgos para cada grupo de activos contra las amenazas a las
que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con
valores predefinidos comparando los valores de activos a las amenazas y niveles
de vulnerabilidad. En esta escala, "1" indica una línea de base de
bajo nivel de exigencia de seguridad y el “7 " indica un requisito de
seguridad muy alto.
Basándose en los
resultados del análisis de riesgos, Cramm produce una serie de contramedidas
aplicable al sistema o red que se consideran necesarias para gestionar los
riesgos identificados. El perfil de seguridad recomendado a continuación, se
compara con los existentes para Contramedidas, luego de identificar las áreas
de debilidad o de mayor exposición.
1.
Identificación
y valoración de activos
Cramm permite al
analista a identificar la física (por ejemplo, el hardware de TI), software
(ej. paquetes de aplicaciones), los datos (por ejemplo, la información
contenida en el sistema de TI) y los activos de localización que componen el
sistema de información. Cada uno de estos activos pueden ser valorados.
Los activos físicos se
valoran en términos de costo de reemplazo. Los datos y activos de software se
valoran en términos del impacto que se produciría si la información fuera a
estar disponible, destruida, divulgada o modificada.
2.
De amenazas y evaluación de la vulnerabilidad
Después de haber
comprendido la magnitud de los problemas potenciales, el siguiente paso es
identificar qué tan probable que estos problemas se produzcan. Cramm cubre toda
la gama de amenazas deliberadas o accidentales que puedan afectar a los
sistemas de información, incluyendo:
v Piratería
v Los
virus
v Los
fallos del equipo o software
v Daños
intencionales o el terrorismo
v Los
errores por parte de personas
v Esta
etapa concluye con el cálculo del nivel del riesgo subyacente o real.
3.
Contramedidas selección y recomendación
Cramm contiene una gran
biblioteca de las contramedidas que consta de más de 3000 medidas detalladas
organizados en más de 70 agrupaciones lógicas. El software que utiliza Cramm,
toma en cuenta las medidas de los riesgos determinados durante la etapa
anterior y los compara con el nivel de seguridad (un nivel de umbral asociado
con cada contramedida) con el fin de identificar si los riesgos son suficientemente
grandes para justificar la instalación de una determinada contramedida. Cramm
ofrece una serie de servicios de ayuda, incluyendo marcha atrás.
Las funciones de
priorización y presentación de informes para ayudar en la complementación de las
contramedidas y la gestión activa de los riesgos identificados.
Las principales
actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en
el siguiente gráfico:
HERRAMIENTAS
PARA LA CONTINUIDAD DEL NEGOCIO
Cramm proporciona
herramientas para respaldar los siguientes procesos clave en la gestión de la
continuidad del negocio:
v Identificación
de los objetivos de recuperación del negocio.
v Identificación
de los grupos clave de personal y el tiempo dentro del cual debe ser
operacional siguiendo una ruptura del negocio.
v Valoración
de riesgos.
v Identificación
de opciones para lograr los objetivos de la continuidad del negocio, incluyendo
back-up, capacidad para adaptarse y dispositivos de reserva.
tomado de: http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM
