Beruflich Dokumente
Kultur Dokumente
METODOLOGÌA CRAMM
DOCENTE:
ICA – PERÚ
2018
Conceptos
CRAMM es un método de análisis de riesgos desarrollada por la organización
gubernamental británica CCTA (Central de Comunicación y la Agencia de
Telecomunicaciones), que ahora se llama Zhe Oficina de Comercio Gubernamental
(OGC). Una herramienta que tiene el mismo nombre soporta el método: CRAMM. El
método CRAMM es bastante difícil de utilizar sin la herramienta CRAMM. Las primeras
versiones de CRAMM (método y herramienta) se basan en las mejores prácticas de las
organizaciones gubernamentales británicas.
Permite identificar, medir y reducir al mínimo los ataques a los que están expuestas las
organizaciones día a día y es definida como una metodología que aplica los conceptos
de manera formal, estructurada y disciplinada protegiendo los principios de seguridad de
la información de un sistema y de sus activos
Es un método estructurado
Identificación de activos
Para obtener lo mejor de CRAMM, hay que identificar a las personas correctas, obtener
información útil, evitar empantanarse en detalle, evitar ser impulsado por CRAMM,
identificar el equipo clave para la empresa, iniciar las amenazas y de las vulnerabilidades
de la identificación y evaluación temprana y, finalmente, iniciar el proceso de las
contramedidas temprano.
Los activos físicos se valoran en términos de costo de reemplazo. Los datos y activos de
software se valoran en términos del impacto que se produciría si la información fuera a
estar disponible, destruida, divulgada o modificada.
Contramedidas
Mecanismos de identificación y autentificación
Mecanismos de seguridad en la comunicación
Mecanismos de control de acceso
Mecanismos de copias de seguridad backup
Alcance
Objetivos de modelo
HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO
Ámbitos de aplicación
Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los riesgos Criterios
de aceptación de riesgos y objetivos pertinentes para la organización. Los resultados
deben orientar y determinar las Acciones de gestión apropiadas y prioridades para la
gestión Seguridad de la información y para la implementación de controles
Seleccionados para protegerse contra estos riesgos.
Todos nos enfrentamos a riesgos todos los días - que van desde lo mundano, como "
¿Voy a trabajar hoy? "A riesgos que pueden afectar el resto de nuestras vidas, como"
¿debo Aplicar para ese trabajo? "- El riesgo es algo con que todos vivimos y sentimos
que practicamos y entender. En el entorno de los Sistemas de Información, las nuevas
prácticas empresariales -como subcontratación, asociaciones y consorcios- y las nuevas
tecnologías, como el trabajo a distancia, las redes LAN inalámbricas y los PDA, significan
que estamos constantemente enfrentando nuevas amenazas y riesgos y la necesidad de
controles adicionales
Estas complejidades hacen prácticamente imposible que un Oficial de Seguridad de la
Información se mantenga al día sin el apoyo automatizado y CRAMM ha sido, durante
muchos años, el enfoque preferido del Gobierno del Reino Unido para la evaluación de
riesgos.
Ahora Insight ha mejorado aún más el CRAMM al incorporar su base de Cientos de
tareas de consultoría en todo el mundo, incluyendo muchas certificaciones exitosas
contra BS7799.
CRAMM v5.1 ofrece una relación calidad-precio fantástica, y con más de 600 copias de
CRAMM ya en uso en 23 países, CRAMM está muy bien probado. Con el apoyo de la
amplia gama de servicios de Insight Consulting, los usuarios de CRAMM
Una ayuda indispensable para la aplicación de la «buena práctica de referencia»,
establecida por el.
Comprender el riesgo
Gobierno Corporativo, Turnbull y BS7799: 2005 / ISO 27001 requieren que se obtenga y
se mantenga una sólida comprensión del riesgo de los activos de información. Para ello,
es necesario combinar un conjunto complejo de "componentes de riesgo", entre los que
se incluyen:
Más de 400 tipos de activos
Más de 25 tipos diferentes de impacto
38 tipos de amenazas
Siete diferentes medidas de riesgo
Una biblioteca de contramedidas que contiene más de 3.500 controles detallados,
pero genéricos Foro de Seguridad de la Información.
Un proceso complejo pero crítico
Con este entendimiento es posible responder a las numerosas preguntas que surgen
cada día en materia de seguridad de la información, tales como:
¿Qué requisitos de seguridad debemos incluir en este acuerdo de servicio
administrado?
¿Hay implicaciones de permitir que nuestros usuarios se conecten a Internet?
¿Cómo podemos demostrar a los auditores BS7799 que nuestros riesgos se han
gestionado adecuadamente?
Aceptación no evitación
La gestión del riesgo es una cuestión de «tratamiento de riesgos» en virtud de la cual los
riesgos se reducen a un nivel aceptable y no «evitarse» ignorándolos o tratando de
eliminarlos por completo. Los procesos de gestión de riesgos incluyen actividades tales
como:
Identificar los requisitos para controles específicos tales como tarjetas inteligentes
Demostrar el cumplimiento de la legislación
Desarrollar una estrategia de continuidad de negocio
Desarrollar una política de seguridad para un nuevo sistema
Auditoría del estado de los controles de seguridad en un sistema existente
Gestión segura del cambio
A medida que el ritmo de cambio se acelera cada vez más rápido, el desafío clave es
poder construir seguridad en nuevos sistemas a medida que surjan. Esto requiere un
enfoque rápido y eficaz y la capacidad de interrogar los resultados, así como adaptar la
evaluación del riesgo a medida que se disponga de nuevos detalles.
Una herramienta indispensable de seguridad de la información
CRAMM v5.1 es el método más completo y ampliamente adoptado para la seguridad de
la información, el análisis de riesgos y la gestión. Es el "punto de referencia" contra el
que se evalúan todos los demás métodos, lo que refleja las importantes inversiones en
desarrollo realizadas por organizaciones como el Gobierno del Reino Unido y la OTAN.
CRAMM v5.1 proporciona un método integral de evaluación de riesgos con la capacidad
de realizar tres tipos diferentes de revisión: CRAMM Express Reviews; BS7799: 2005
Reviews; and CRAMM Expert Reviews.