Conceptos

CRAMM es un mtodo de anlisis de riesgos desarrollada por la organizacin

gubernamental britnica CCTA (Central de Comunicacin y la Agencia de
Telecomunicaciones), que ahora se llama Zhe Oficina de Comercio
Gubernamental (OGC). Una herramienta que tiene el mismo nombre soporta el
mtodo: CRAMM. El mtodo CRAMM es bastante difcil de utilizar sin la
herramienta CRAMM. Las primeras versiones de CRAMM (mtodo y herramienta)
se basan en las mejores prcticas de las organizaciones gubernamentales
britnicas.

La metodologa CRAMM (Metodologa de Anlisis y Gestin de Riesgos) permite

un anlisis cualitativo y cuantitativo de la situacin actual de la organizacin para
lo cual se apoya en una matriz en donde las filas representan los diferentes
activos de informacin y las columnas los riesgos que amenazan la integridad,
confidencialidad y disponibilidad de estos activos.

Permite identificar, medir y reducir al mnimo los ataques a los que estn
expuestas las organizaciones da a da y es definida como una metodologa que
aplica los conceptos de manera formal, estructurada y disciplinada protegiendo los
principios de seguridad de la informacin de un sistema y de sus activos

Proporciona informacin acerca de las caractersticas de funcionamiento del

sistema y una identificacin profunda y clara de los activos que se encuentran ms
expuestos.

En forma genrica, las metodologas de administracin de riesgos se resumen

en identificar los activos, identificar las amenazas y finalmente determinar la forma
en que se manejen los riesgos.

Independientemente de que metodologa de administracin de riesgos se trate de

implementar, el punto crtico dentro de este proceso es la evaluacin objetiva del
riesgo, por ello en el resto de este trabajo estudiaremos a fondo la evaluacin de
riesgos.

Cada una de las metodologas anteriormente expuestas ofrece un mtodo

sistematizado para identificar y analizar los riesgos, adems de planificar las
medidas necesarias para reducirlos y brindan herramientas que faciliten su
anlisis

CRAMM sigue un formato rgido:

Utiliza reuniones, entrevistas y cuestionarios para la recoleccin de datos.
 Identifica y clasifica los activos de TI en una de tres categoras: 1) los
datos, 2) la aplicacin / software 3) activos fsicos (edificios, equipos,
personal, etc.)
Requiere que considerar el impacto de la prdida de confidencialidad,
integridad y disponibilidad (CIA) del activo.
Expresa la vulnerabilidad (la probabilidad de que se puede producir una
amenaza) como: muy alta, alta, media, baja o muy baja.
Expresa Riesgo (la probabilidad de que una amenaza podra aprovechar la
vulnerabilidad) como: alta, media o baja.

Es un mtodo estructurado

La misma se estructura en un conjunto de tres finalidades:

Mejorar la seguridad en los sistemas de informacin.

Justificar el presupuesto asignado al resguardo de la informacin.
Demostrar la credibilidad de la informacin mediante los anlisis
efectuados.

- Coherente para la identificacin y la evaluacin de riesgos en redes y

sistemas de informacin.

Identificacin de activos

Definicin global de los objetivos de seguridad.

Para obtener lo mejor de CRAMM, hay que identificar a las personas correctas,
obtener informacin til, evitar empantanarse en detalle, evitar ser impulsado por
CRAMM, identificar el equipo clave para la empresa, iniciar las amenazas y de las
vulnerabilidades de la identificacin y evaluacin temprana y, finalmente, iniciar el
proceso de las contramedidas temprano.

Los activos fsicos se valoran en trminos de costo de reemplazo. Los datos y

activos de software se valoran en trminos del impacto que se producira si la
informacin fuera a estar disponible, destruida, divulgada o modificada.

Anlisis y evaluacin de riesgos

Herramientas para evaluar riegos

Determinar la prioridad relativa de los controles
Costos estimados de la aplicacin de los controles
Contramedidas

Mecanismos de identificacin y autentificacin

Mecanismos de seguridad en la comunicacin
Mecanismos de control de acceso
Mecanismos de copias de seguridad backup

Herramientas con la cual puede responder estas preguntas

Desarrollar polticas de seguridad para un nuevo sistema

Determinar si existe un requisito para los controles especficos
Examinar las consecuencias de conectarse a internet
Estado de los controles de seguridad de un sistema
Demostrar el cumplimiento de la ley de proteccin de datos

Alcance

En cualquier momento de la ejecucin donde existan problemas de

seguridad
Planificacin de estrategias:
o En la etapa del estudio de la factibilidad
o Anlisis del negocio detallado y entornos tcnicos donde se tenga
problemas de seguridad

Objetivos de modelo
HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO

Cramm proporciona herramientas para respaldar los siguientes procesos clave en

la gestin de la continuidad del negocio:

Anlisis del impacto del negocio.

Identificacin de los objetivos de recuperacin del negocio.
Identificacin de los grupos clave de personal y el tiempo dentro del cual
debe ser operacional siguiendo una ruptura del negocio.
Las facilidades mnimas y servicios requeridos por estos grupos de
personal.
Valoracin de riesgos.
 Identificacin de opciones para lograr los objetivos de la continuidad del
negocio, incluyendo back-up, capacidad para adaptarse y dispositivos de
reserva.

Quienes usan CRAMM

La OTAN, el Ejrcito de Holanda y numerosas organizaciones de todo el

mundo la utilizan actualmente.
En la actualidad CRAMM es el mtodo preferido de anlisis de riesgos del
gobierno del Reino Unido, pero CRAMM tambin se utiliza en muchos
pases fuera del Reino Unido.

mbitos de aplicacin

Organizaciones pblicas y privadas

Organizaciones medianas o ms maduras pueden usar: CRAMM,
CRAMM es especialmente apropiado para grandes organizaciones, como
organismos gubernamentales y la industria

- En su modelo no tiene contemplado los procesos o los recursos

Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los riesgos

Criterios de aceptacin de riesgos y objetivos pertinentes para la organizacin. Los
resultados deben orientar y determinar las Acciones de gestin apropiadas y
prioridades para la gestin Seguridad de la informacin y para la implementacin
de controles Seleccionados para protegerse contra estos riesgos.
Todos nos enfrentamos a riesgos todos los das - que van desde lo mundano,
como " Voy a trabajar hoy? "A riesgos que pueden afectar el resto de nuestras
vidas, como" debo Aplicar para ese trabajo? "- El riesgo es algo con que todos
vivimos y sentimos que practicamos y entender. En el entorno de los Sistemas de
Informacin, las nuevas prcticas empresariales -como subcontratacin,
asociaciones y consorcios- y las nuevas tecnologas, como el trabajo a distancia,
las redes LAN inalmbricas y los PDA, significan que estamos constantemente
enfrentando nuevas amenazas y riesgos y la necesidad de controles adicionales
Estas complejidades hacen prcticamente imposible que un Oficial de Seguridad
de la Informacin se mantenga al da sin el apoyo automatizado y CRAMM ha
sido, durante muchos aos, el enfoque preferido del Gobierno del Reino Unido
para la evaluacin de riesgos.
Ahora Insight ha mejorado an ms el CRAMM al incorporar su base de Cientos
de tareas de consultora en todo el mundo, incluyendo muchas certificaciones
exitosas contra BS7799.
CRAMM v5.1 ofrece una relacin calidad-precio fantstica, y con ms de 600
copias de CRAMM ya en uso en 23 pases, CRAMM est muy bien probado. Con
el apoyo de la amplia gama de servicios de Insight Consulting, los usuarios de
CRAMM
Una ayuda indispensable para la aplicacin de la buena prctica de referencia,
establecida por el.
Comprender el riesgo
Gobierno Corporativo, Turnbull y BS7799: 2005 / ISO 27001 requieren que se
obtenga y se mantenga una slida comprensin del riesgo de los activos de
informacin. Para ello, es necesario combinar un conjunto complejo de
"componentes de riesgo", entre los que se incluyen:
Ms de 400 tipos de activos
Ms de 25 tipos diferentes de impacto
38 tipos de amenazas
Siete diferentes medidas de riesgo
Una biblioteca de contramedidas que contiene ms de 3.500 controles
detallados, pero genricos Foro de Seguridad de la Informacin.
Un proceso complejo pero crtico
Con este entendimiento es posible responder a las numerosas preguntas que
surgen cada da en materia de seguridad de la informacin, tales como:
Qu requisitos de seguridad debemos incluir en este acuerdo de servicio
administrado?
Hay implicaciones de permitir que nuestros usuarios se conecten a
Internet?
Cmo podemos demostrar a los auditores BS7799 que nuestros riesgos
se han gestionado adecuadamente?
Aceptacin no evitacin
La gestin del riesgo es una cuestin de tratamiento de riesgos en virtud de la
cual los riesgos se reducen a un nivel aceptable y no evitarse ignorndolos o
tratando de eliminarlos por completo. Los procesos de gestin de riesgos incluyen
actividades tales como:
Identificar los requisitos para controles especficos tales como tarjetas
inteligentes
Demostrar el cumplimiento de la legislacin
 Desarrollar una estrategia de continuidad de negocio
Desarrollar una poltica de seguridad para un nuevo sistema
Auditora del estado de los controles de seguridad en un sistema existente
Gestin segura del cambio
A medida que el ritmo de cambio se acelera cada vez ms rpido, el desafo clave
es poder construir seguridad en nuevos sistemas a medida que surjan. Esto
requiere un enfoque rpido y eficaz y la capacidad de interrogar los resultados, as
como adaptar la evaluacin del riesgo a medida que se disponga de nuevos
detalles.
Una herramienta indispensable de seguridad de la informacin
CRAMM v5.1 es el mtodo ms completo y ampliamente adoptado para la
seguridad de la informacin, el anlisis de riesgos y la gestin. Es el "punto de
referencia" contra el que se evalan todos los dems mtodos, lo que refleja las
importantes inversiones en desarrollo realizadas por organizaciones como el
Gobierno del Reino Unido y la OTAN.
CRAMM v5.1 proporciona un mtodo integral de evaluacin de riesgos con la
capacidad de realizar tres tipos diferentes de revisin: CRAMM Express Reviews;
BS7799: 2005 Reviews; and CRAMM Expert Reviews.

CRAMM soporta muchas funciones adicionales, incluyendo:

BS7799: Cumplimiento 2005
Produccin de documentacin de seguridad
Investigacin en contra de las normas
Informacin de registro requerida para la Planificacin de Continuidad de
Negocios
CRAMM contiene:
Una base de datos que consta de ms de 3.500 controles de seguridad que
cubren todos los aspectos de la seguridad de la informacin
Un conjunto de herramientas para ayudarle a lograr la certificacin o el
cumplimiento con BS7799: 2005
Polticas de seguridad de la informacin pro forma, procedimientos de
operacin de seguridad y otra documentacin de seguridad til
Evaluaciones de riesgo predefinidas que cubren sistemas de informacin
genricos - como la nmina
Un conjunto completo de herramientas de ayuda para la gestin de riesgos,
para apoyar su planificacin de mejora de la seguridad y aprovechar al
mximo sus presupuestos de seguridad de la informacin
Otras adiciones en CRAMM v5.1 incluyen:
Mapeo actualizado de las contramedidas CRAMM para reflejar los controles
BS7799: 2005 / ISO 27001
Informes grficos de contramedidas
Listas de verificacin de recursos de seguridad
Mejoras en la funcionalidad de informes con CRAMM Express
Una herramienta 'Copiar y comparar' que permite a los usuarios copiar
informacin de una revisin a otra y producir comparaciones