Conceptos CRAMM es un método de análisis de riesgos desarrollada por la organización gubernamental británica CCTA (Central de Comunicación y la Agencia de Telecomunicaciones), que ahora se llama Zhe Oficina de Comercio Gubernamental (OGC). Una herramienta que tiene el mismo nombre soporta el método: CRAMM. El método CRAMM es bastante difícil de utilizar sin la herramienta CRAMM. Las primeras versiones de CRAMM (método y herramienta) se basan en las mejores prácticas de las organizaciones gubernamentales británicas. La metodología CRAMM (Metodología de Análisis y Gestión de Riesgos) permite un análisis cualitativo y cuantitativo de la situación actual de la organización para lo cual se apoya en una matriz en donde las filas representan los diferentes “activos de información” y las columnas los riesgos que amenazan la integridad, confidencialidad y disponibilidad de estos activos. Permite identificar, medir y reducir al mínimo los ataques a los que están expuestas las organizaciones día a día y es definida como una metodología que aplica los conceptos de manera formal, estructurada y disciplinada protegiendo los principios de seguridad de la información de un sistema y de sus activos Proporciona información acerca de las características de funcionamiento del sistema y una identificación profunda y clara de los activos que se encuentran más expuestos. En forma genérica, las metodologías de administración de riesgos se resumen en identificar los activos, identificar las amenazas y finalmente determinar la forma en que se manejen los riesgos. Independientemente de que metodología de administración de riesgos se trate de implementar, el punto crítico dentro de este proceso es la evaluación objetiva del riesgo, por ello en el resto de este trabajo estudiaremos a fondo la evaluación de riesgos. Cada una de las metodologías anteriormente expuestas ofrece un método sistematizado para identificar y analizar los riesgos, además de planificar las medidas necesarias para reducirlos y brindan herramientas que faciliten su análisis CRAMM sigue un formato rígido: Utiliza reuniones, entrevistas y cuestionarios para la recolección de datos.
Identifica y clasifica los activos de TI en una de tres categorías: 1) los datos, 2) la aplicación / software 3) activos físicos (edificios, equipos, personal, etc.) Requiere que considerar el impacto de la pérdida de confidencialidad, integridad y disponibilidad (CIA) del activo. Expresa la vulnerabilidad (la probabilidad de que se puede producir una amenaza) como: muy alta, alta, media, baja o muy baja. Expresa Riesgo (la probabilidad de que una amenaza podría aprovechar la vulnerabilidad) como: alta, media o baja. Es un método estructurado
La misma se estructura en un conjunto de tres finalidades:
Mejorar la seguridad en los sistemas de información. Justificar el presupuesto asignado al resguardo de la información. Demostrar la credibilidad de la información mediante los análisis efectuados.
-
Coherente para la identificación y la evaluación de riesgos en redes y sistemas de información.
Identificación de activos Definición global de los objetivos de seguridad. Para obtener lo mejor de CRAMM, hay que identificar a las personas correctas, obtener información útil, evitar empantanarse en detalle, evitar ser impulsado por CRAMM, identificar el equipo clave para la empresa, iniciar las amenazas y de las vulnerabilidades de la identificación y evaluación temprana y, finalmente, iniciar el proceso de las contramedidas temprano. Los activos físicos se valoran en términos de costo de reemplazo. Los datos y activos de software se valoran en términos del impacto que se produciría si la información fuera a estar disponible, destruida, divulgada o modificada. Análisis y evaluación de riesgos
Herramientas para evaluar riegos Determinar la prioridad relativa de los controles Costos estimados de la aplicación de los controles
Contramedidas
Mecanismos de identificación y autentificación Mecanismos de seguridad en la comunicación Mecanismos de control de acceso Mecanismos de copias de seguridad backup
Herramientas con la cual puede responder estas preguntas
Desarrollar políticas de seguridad para un nuevo sistema Determinar si existe un requisito para los controles específicos Examinar las consecuencias de conectarse a internet Estado de los controles de seguridad de un sistema Demostrar el cumplimiento de la ley de protección de datos
Alcance
En cualquier momento de la ejecución donde existan problemas de seguridad Planificación de estrategias: o En la etapa del estudio de la factibilidad o Análisis del negocio detallado y entornos técnicos donde se tenga problemas de seguridad
Objetivos de modelo HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO Cramm proporciona herramientas para respaldar los siguientes procesos clave en la gestión de la continuidad del negocio:
Análisis del impacto del negocio. Identificación de los objetivos de recuperación del negocio. Identificación de los grupos clave de personal y el tiempo dentro del cual debe ser operacional siguiendo una ruptura del negocio. Las facilidades mínimas y servicios requeridos por estos grupos de personal. Valoración de riesgos.
Identificación de opciones para lograr los objetivos de la continuidad del negocio, incluyendo back-up, capacidad para adaptarse y dispositivos de reserva.
Quienes usan CRAMM
La OTAN, el Ejército de Holanda y numerosas organizaciones de todo el mundo la utilizan actualmente. En la actualidad CRAMM es el método preferido de análisis de riesgos del gobierno del Reino Unido, pero CRAMM también se utiliza en muchos países fuera del Reino Unido.
Ámbitos de aplicación
Organizaciones públicas y privadas Organizaciones medianas o más maduras pueden usar: CRAMM, CRAMM es especialmente apropiado para grandes organizaciones, como organismos gubernamentales y la industria
-
En su modelo no tiene contemplado los procesos o los recursos
Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los riesgos Criterios de aceptación de riesgos y objetivos pertinentes para la organización. Los resultados deben orientar y determinar las Acciones de gestión apropiadas y prioridades para la gestión Seguridad de la información y para la implementación de controles Seleccionados para protegerse contra estos riesgos. Todos nos enfrentamos a riesgos todos los días - que van desde lo mundano, como " ¿Voy a trabajar hoy? "A riesgos que pueden afectar el resto de nuestras vidas, como" ¿debo Aplicar para ese trabajo? "- El riesgo es algo con que todos vivimos y sentimos que practicamos y entender. En el entorno de los Sistemas de Información, las nuevas prácticas empresariales -como subcontratación, asociaciones y consorcios- y las nuevas tecnologías, como el trabajo a distancia, las redes LAN inalámbricas y los PDA, significan que estamos constantemente enfrentando nuevas amenazas y riesgos y la necesidad de controles adicionales Estas complejidades hacen prácticamente imposible que un Oficial de Seguridad de la Información se mantenga al día sin el apoyo automatizado y CRAMM ha sido, durante muchos años, el enfoque preferido del Gobierno del Reino Unido para la evaluación de riesgos.
Ahora Insight ha mejorado aún más el CRAMM al incorporar su base de Cientos de tareas de consultoría en todo el mundo, incluyendo muchas certificaciones exitosas contra BS7799. CRAMM v5.1 ofrece una relación calidad-precio fantástica, y con más de 600 copias de CRAMM ya en uso en 23 países, CRAMM está muy bien probado. Con el apoyo de la amplia gama de servicios de Insight Consulting, los usuarios de CRAMM Una ayuda indispensable para la aplicación de la «buena práctica de referencia», establecida por el. Comprender el riesgo Gobierno Corporativo, Turnbull y BS7799: 2005 / ISO 27001 requieren que se obtenga y se mantenga una sólida comprensión del riesgo de los activos de información. Para ello, es necesario combinar un conjunto complejo de "componentes de riesgo", entre los que se incluyen:
Más de 400 tipos de activos Más de 25 tipos diferentes de impacto 38 tipos de amenazas Siete diferentes medidas de riesgo Una biblioteca de contramedidas que contiene más de 3.500 controles detallados, pero genéricos Foro de Seguridad de la Información.
Un proceso complejo pero crítico Con este entendimiento es posible responder a las numerosas preguntas que surgen cada día en materia de seguridad de la información, tales como:
¿Qué requisitos de seguridad debemos incluir en este acuerdo de servicio administrado? ¿Hay implicaciones de permitir que nuestros usuarios se conecten a Internet? ¿Cómo podemos demostrar a los auditores BS7799 que nuestros riesgos se han gestionado adecuadamente?
Aceptación no evitación La gestión del riesgo es una cuestión de «tratamiento de riesgos» en virtud de la cual los riesgos se reducen a un nivel aceptable y no «evitarse» ignorándolos o tratando de eliminarlos por completo. Los procesos de gestión de riesgos incluyen actividades tales como:
Identificar los requisitos para controles específicos tales como tarjetas inteligentes Demostrar el cumplimiento de la legislación
Desarrollar una estrategia de continuidad de negocio Desarrollar una política de seguridad para un nuevo sistema Auditoría del estado de los controles de seguridad en un sistema existente
Gestión segura del cambio A medida que el ritmo de cambio se acelera cada vez más rápido, el desafío clave es poder construir seguridad en nuevos sistemas a medida que surjan. Esto requiere un enfoque rápido y eficaz y la capacidad de interrogar los resultados, así como adaptar la evaluación del riesgo a medida que se disponga de nuevos detalles. Una herramienta indispensable de seguridad de la información CRAMM v5.1 es el método más completo y ampliamente adoptado para la seguridad de la información, el análisis de riesgos y la gestión. Es el "punto de referencia" contra el que se evalúan todos los demás métodos, lo que refleja las importantes inversiones en desarrollo realizadas por organizaciones como el Gobierno del Reino Unido y la OTAN. CRAMM v5.1 proporciona un método integral de evaluación de riesgos con la capacidad de realizar tres tipos diferentes de revisión: CRAMM Express Reviews; BS7799: 2005 Reviews; and CRAMM Expert Reviews. CRAMM soporta muchas funciones adicionales, incluyendo:
BS7799: Cumplimiento 2005 Producción de documentación de seguridad Investigación en contra de las normas Información de registro requerida para la Planificación de Continuidad de Negocios
CRAMM contiene:
Una base de datos que consta de más de 3.500 controles de seguridad que cubren todos los aspectos de la seguridad de la información Un conjunto de herramientas para ayudarle a lograr la certificación o el cumplimiento con BS7799: 2005 Políticas de seguridad de la información pro forma, procedimientos de operación de seguridad y otra documentación de seguridad útil
Evaluaciones de riesgo predefinidas que cubren sistemas de información genéricos - como la nómina
Un conjunto completo de herramientas de ayuda para la gestión de riesgos, para apoyar su planificación de mejora de la seguridad y aprovechar al máximo sus presupuestos de seguridad de la información
Otras adiciones en CRAMM v5.1 incluyen:
Mapeo actualizado de las contramedidas CRAMM para reflejar los controles BS7799: 2005 / ISO 27001 Informes gráficos de contramedidas Listas de verificación de recursos de seguridad Mejoras en la funcionalidad de informes con CRAMM Express Una herramienta 'Copiar y comparar' que permite a los usuarios copiar información de una revisión a otra y producir comparaciones
