UNIVERSIDAD ALAS PERUANAS

FACULTAD DE INGENIERÍAS Y ARQUITECTURA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS E
INFORMÁTICA

Curso:

GERENCIA DE CENTROS DE TECNOLOGÍA DE

INFORMACIÓN
Tema:

METODOLOGÍA DE RIESGO SCRAMM

INTEGRANTES:

DOCENTE
CESAR AUGUSTO CABRERA GARCIA

ICA – PERÚ
2018
DEDICATORIA

Este trabajo está dedicado a la cooperación y a los

ingenieros que nos transmiten sus conocimientos y
experiencias.
 Introducción

Actualmente las grandes organizaciones dependen del uso de la tecnología –donde la

información es un activo vital– para ser exitosas y lograr su continuidad en el mercado.
El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto,
un objetivo de primer nivel para la organización; por ello, la evaluación y la gestión de
riesgos surge como una prioridad para la mayoría de las organizaciones. El análisis de
riesgos es un proceso iterativo debido a los cambios de las condiciones enmarcadas en
la mejora continua de las organizaciones La administración de riesgos es un método
sistemático que permite planear, identificar, analizar, evaluar, tratar y monitorear los
riesgos asociados con una actividad, función o proceso, para que la organización pueda
reducir pérdidas y aumentar sus oportunidades

La metodología CRAMM, debido a su amplitud y acceso restringido por el costo, es

utilizada especialmente en las grandes empresas.
 Índice
CRAMM ........................................................................................................................ 5
1. Alcance .............................................................................................................. 7
2. Descripción de la metodologia ........................................................................... 9
2.1. Identificación y valoración de activos .......................................................... 10
2.2. De amenazas y evaluación de la vulnerabilidad .......................................... 10
2.3. Contramedidas selección y recomendación ................................................ 10
3. Herramienta para la continuidad del negocio ................................................... 12
 CRAMM
CRAMM es la metodología de análisis de riesgos desarrollado por la Agencia Central
de Comunicación y Telecomunicación del gobierno británico. El significado del acrónimo
proviene de CCTA Risk Analysis and Management Method. Su versión inicial data de
1987 y la versión vigente es la 5.2. Al igual que MAGERIT, tiene un alto calado en
administración pública británica, pero también en empresas e instituciones de gran
tamaño. Dispone de un amplio reconocimiento.

La metodología de CRAMM incluye las siguientes 3 etapas:

 La primera de las etapas recoge la definición global de los objetivos de seguridad

entre los que se encuentra la definición del alcance, la identificación y evaluación
de los activos físicos y software implicados, la determinación del valor de los
datos en cuanto a impacto en el negocio y la identificación.
 En la segunda etapa de la metodología se hace el análisis de riesgos,
identificando las amenazas que afecta al sistema, así como las vulnerabilidades
que explotan dichas amenazas y por último el cálculo de los riesgos de
materialización de las mismas.
 En la tercera etapa se identifican y seleccionan las medidas de seguridad
aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona
una librería unas 3000 medidas de seguridad.

Grafico Nº01: Modelo de análisis y gestión de riesgos de CRAMM

Cramm puede definirse como una Metodología:

 Para el análisis y gestión de riesgos.

 Que aplica sus conceptos de una manera formal, disciplinada y estructurada.
 Orientada a proteger la confidencialidad, integridad y disponibilidad de un
sistema y de sus activos.
 Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y
cualitativas, y por esto se considera mixta.

Cramm incluye una amplia gama de herramientas de evaluación de riesgo que son
totalmente compatibles con ISO 27001 que se ocupan de tareas como:

 Activos de modelado de dependencia

 Evaluación de impacto empresarial
 Identificación y evaluación de amenazas y vulnerabilidades
 Evaluar los niveles de riesgo
 La identificación de los controles necesarios y justificados sobre la base de la
evaluación del riesgo.
 Un enfoque flexible para la evaluación de riesgos.

CARACTERISTICAS

 Desarrollada por la CCTA en 1980

 Herramienta de apoyo para analistas de sistemas de información

 Software que evalúa riesgos y propone medidas eficaces para la mejorar la

seguridad de la información

 Permite la creación de documentación de seguridad y planes de contingencia

VENTAJAS

 Enfoque de Análisis y gestión de riesgos estructurados, basado en el método

bien establecido.

 Asistencia en la planificación de contingencia, la certificación BS7799 y

auditorias.

 Promoción de la concienciación sobre la seguridad y la aceptación.

 Posibilidad de revisiones completas y revisiones rápidas

 Actualizada regularmente extensa base de datos jerárquica contramedida, que
cubre también las áreas no técnicas.

 Priorización relativa de contramedidas incluyendo criterios de eficacia y los

costos de implementación.

 Consistencia resultante de soluciones similares para los perfiles de riesgos

similares.

DESVENTAJAS

 Necesidad de profesionales Cualificados y experimentados para utilizar la

herramienta.
 Revisiones completas, que pueden durar un largo tiempo.
 En su modelo no tiene contemplados elementos como los procesos y los
recursos.
 Insignificancia de algunos resultados debido a la demora entre el análisis y la
aplicación después de los rápidos cambios en el sistema o red revisado.

1. Alcance
CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede
aplicar en todas las etapas del ciclo de vida del sistema de información, desde
la planificación y viabilidad, a través del desarrollo e implementación del mismo.
CRAMM se puede utilizar siempre que sea necesario para identificar la
seguridad y/o requisitos de contingencia para un sistema de información o de la
red. Esto puede incluir:
 Durante la planificación de la estrategia se hace un análisis de riesgos de
alto nivel que puede ser necesaria para identificar los requisitos de seguridad
general o de emergencia para la organización, los costos relativos y las
implicaciones de su implementación.
 En la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede
ser requerido para identificar los requisitos de seguridad general, la
contingencia y los costos asociados de las distintas opciones.
 Durante el análisis del negocio detallado y de entornos técnicos donde los
problemas de seguridad o contingencia asociados con la opción tomada
pueden ser investigados o refinados.
  Antes de la ejecución, para garantizar que todos los requerimientos físicos,
el personal, técnicas y contramedidas de seguridad se han identificado e
implementado.
 En cualquier momento durante la ejecución, donde existe preocupación por
los problemas de seguridad o contingencia, por ejemplo. En respuesta a una
amenaza nueva, mayor o después de un fallo de seguridad Cramm
herramientas de evaluación de riesgos se puede utilizar para responder a
las preguntas individuales, para buscar en las organizaciones, procesos,
aplicaciones y sistemas o para investigar las infraestructuras completas u
organizaciones. Los usuarios tienen la opción de una herramienta de
evaluación de riesgos rápido o un análisis completo, más riguroso.

Las herramientas de evaluación de riesgos son muy flexibles y le permiten

explorar diferentes temas y responder a muchas preguntas diferentes. Ejemplo
incluyen.
 La determinación de si existe un requisito para los controles específicos,
por ejemplo. Autenticación fuerte, cifrado, de protección de energía o de
redundancia de hardware.
 Identificar las funciones de seguridad necesarias para una nueva
aplicación.
 El desarrollo de los requisitos de seguridad para un outsourcing o
acuerdo de servicios gestionados.
 Revise los requisitos de seguridad física y ambiental en un nuevo sitio.
 Examinar las consecuencias de permitir a los usuarios conectarse a
Internet
 Demostrar el cumplimiento de la legislación como la Ley de Protección
de Datos.
 Desarrollar una política de seguridad de un nuevo sistema.
 Auditoría de la idoneidad y el estado de los controles de seguridad en un
sistema existente.
 Demostrar que un auditor de la norma ISO 27001 que la evaluación de
un "ISO 27001 compatible con" riesgo ha llevado a cabo y que los
controles de seguridad apropiados se han identificado.
 La evaluación de los resultados

Cramm contiene una variedad de herramientas para ayudar a evaluar los

resultados de una evaluación de riesgos, incluyendo:
  La determinación de la prioridad relativa de los controles
 Grabación de los costos estimados de la aplicación de los controles
 Cambios de modelación para la evaluación del riesgo, usando "Qué
pasaría si"
 Volver de seguimiento a través de la evaluación de riesgos para
demostrar la justificación de controles específicos.

Uno de los principales aspectos de Cramm, es el soporte que proporciona la

herramienta informática que la soporta, con una base de datos de:
 Más de 400 tipos de Activos.
 Más de 25 tipos de Impacto.
 38 tipos de Amenaza.
 7 tipos de medida del Riesgo.
 Más de 3500 salvaguardas

Actualmente, Cramm soporta tres tipos de revisiones:

 CRAMM Expert
 CRAMM Express
 BS7799

2. Descripción de la metodología
La mayoría de los softwares de gestión de riesgos usados hoy día centran su
atención en proteger los bienes más costosos de la organización, sin embargo,
no en todos los casos es la mejor. Cramm es un software que realiza un análisis
de riesgos cualitativos asociados con una herramienta de gestión.
La herramienta, que ha sometida a revisiones importantes (actualmente en
versión 4), es posteriormente comercializada y ahora distribuidas por una firma
del Reino Unido, Insight Consulting, como "Cramm Manager" (Junto a la U. K.
Servicio de Seguridad).
Cramm proporciona un enfoque disciplinado y organizado que abarca tanto
técnicas (por ejemplo, el hardware y software) y no técnicas (por ejemplo, físicos
y humanos) los aspectos de seguridad.
Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:
1. Identificación y valoración de activos
2. De amenazas y evaluación de la vulnerabilidad
3. Contramedidas selección y recomendación
Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos
contra las amenazas a las que es vulnerable en una escala de 1 a 7, utilizando
una matriz de riesgo con valores predefinidos comparando los valores de activos
a las amenazas y niveles de vulnerabilidad. En esta escala, "1" indica una línea
de base de bajo nivel de exigencia de seguridad y el “7 " indica un requisito de
seguridad muy alto.
Basándose en los resultados del análisis de riesgos, Cramm produce una serie
de contramedidas aplicable al sistema o red que se consideran necesarias para
gestionar los riesgos identificados. El perfil de seguridad recomendado a
continuación se compara con los existentes para Contramedidas, luego de
identificar las áreas de debilidad o de mayor exposición.

2.1. Identificación y valoración de activos

Cramm permite al analista a identificar la física (por ejemplo, el hardware
de TI), software (ej. paquetes de aplicaciones), los datos (por ejemplo, la
información contenida en el sistema de TI) y los activos de localización
que componen el sistema de información. Cada uno de estos activos
pueden ser valorados.
Los activos físicos se valoran en términos de costo de reemplazo. Los
datos y activos de software se valoran en términos del impacto que se
produciría si la información fuera a estar disponible, destruida, divulgada
o modificada.
2.2. De amenazas y evaluación de la vulnerabilidad
Después de haber comprendido la magnitud de los problemas
potenciales, el siguiente paso es identificar qué tan probable que estos
problemas se produzcan. Cramm cubre toda la gama de amenazas
deliberadas o accidentales que puedan afectar a los sistemas de
información, incluyendo:
 Piratería
 Los virus
 Los fallos del equipo o software
 Daños intencionales o el terrorismo
 Los errores por parte de personas
 Esta etapa concluye con el cálculo del nivel del riesgo subyacente
o real.
2.3. Contramedidas selección y recomendación
Cramm contiene una gran biblioteca de las contramedidas que consta de
más de 3000 medidas detalladas organizados en más de 70
agrupaciones lógicas. El software que utiliza Cramm, toma en cuenta las
medidas de los riesgos determinados durante la etapa anterior y los
compara con el nivel de seguridad (un nivel de umbral asociado con cada
contramedida) con el fin de identificar si los riesgos son suficientemente
grandes para justificar la instalación de una determinada contramedida.
Cramm ofrece una serie de servicios de ayuda, incluyendo marcha atrás.
Las funciones de priorización y presentación de informes para ayudar en
la complementación de las contramedidas y la gestión activa de los
riesgos identificados.
Las principales actividades del proceso de análisis y gestión de riesgos
de CRAMM se resume en el siguiente gráfico:
Grafico Nº02: Principales actividades de análisis y gestión de
riesgos de CRAMM
3. Herramienta para la continuidad del negocio
Cramm proporciona herramientas para respaldar los siguientes procesos clave
en la gestión de la continuidad del negocio:
 Análisis del impacto del negocio.
 Identificación de los objetivos de recuperación del negocio.
 Identificación de los grupos clave de personal y el tiempo dentro del cual
debe ser operacional siguiendo una ruptura del negocio.
 Las facilidades mínimas y servicios requeridos por estos grupos de
personal.
 Valoración de riesgos.
 Identificación de opciones para lograr los objetivos de la continuidad del
negocio, incluyendo back-up, capacidad para adaptarse y dispositivos de
reserva.

CONCLUSIONES

 Las metodologías de gestión de riesgos son una herramienta primordial

para detectar falencias en las organizaciones y establecer estrategias
para su corrección a través de la optimización de todos los recursos.

 Para proteger la seguridad de la información como un activo fundamental,

en una organización, es necesario implementar metodologías apropiadas
de identificación y análisis de riesgos, que nos permitan gestionar
acciones preventivas y contramedidas, frente a las diferentes amenazas
que se presentan en la actualidad. Hoy día centran su atención en
proteger los bienes más costosos de la organización, sin embargo, no en
todos los casos es la mejor.

 Cramm es un software que realiza un análisis de riesgos cualitativos

asociados con una herramienta de gestión.

 Cramm Proporciona un enfoque disciplinado y organizado que abarca

tanto técnicas (por ejemplo, el hardware y software) y no técnicas (por
ejemplo, físicos y humanos) los aspectos de seguridad.

 Las diversas metodologías tienen características en común, ya que se

enfocan en evaluar los procesos de las organizaciones y el manejo de la
TI para minimizar los riesgos existentes

 CRAMM es una herramienta completa para la identificación de los

requisitos de seguridad y contingencia, y justificar el gasto en las
contramedidas necesarias, especialmente de una operación de TI.