UNIVERSIDAD ALAS PERUANAS

FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

METODOLOGÌA CRAMM

INTEGRANTES DEL EQUIPO:

BORJA FARFÁN FERNANDO

LOMBARDI MAGALLANES JUAN CARLOS

MENDOZA GARCÍA JEAN PAUL

TEJADA RAMIREZ JOANN

TORREALVA MEJÍA BRYAN

DOCENTE:

ING. CABRERA GARCÍA CÉSAR A.

ICA – PERÚ
2018
Conceptos
CRAMM es un método de análisis de riesgos desarrollada por la organización
gubernamental británica CCTA (Central de Comunicación y la Agencia de
Telecomunicaciones), que ahora se llama Zhe Oficina de Comercio Gubernamental
(OGC). Una herramienta que tiene el mismo nombre soporta el método: CRAMM. El
método CRAMM es bastante difícil de utilizar sin la herramienta CRAMM. Las primeras
versiones de CRAMM (método y herramienta) se basan en las mejores prácticas de las
organizaciones gubernamentales británicas.

La metodología CRAMM (Metodología de Análisis y Gestión de Riesgos) permite un

análisis cualitativo y cuantitativo de la situación actual de la organización para lo cual se
apoya en una matriz en donde las filas representan los diferentes “activos de información”
y las columnas los riesgos que amenazan la integridad, confidencialidad y disponibilidad
de estos activos.

Permite identificar, medir y reducir al mínimo los ataques a los que están expuestas las
organizaciones día a día y es definida como una metodología que aplica los conceptos
de manera formal, estructurada y disciplinada protegiendo los principios de seguridad de
la información de un sistema y de sus activos

Proporciona información acerca de las características de funcionamiento del sistema y

una identificación profunda y clara de los activos que se encuentran más expuestos.

En forma genérica, las metodologías de administración de riesgos se resumen en

identificar los activos, identificar las amenazas y finalmente determinar la forma en que
se manejen los riesgos.

Independientemente de que metodología de administración de riesgos se trate de

implementar, el punto crítico dentro de este proceso es la evaluación objetiva del riesgo,
por ello en el resto de este trabajo estudiaremos a fondo la evaluación de riesgos.

Cada una de las metodologías anteriormente expuestas ofrece un método sistematizado

para identificar y analizar los riesgos, además de planificar las medidas necesarias para
reducirlos y brindan herramientas que faciliten su análisis

CRAMM sigue un formato rígido:

 Utiliza reuniones, entrevistas y cuestionarios para la recolección de datos.
 Identifica y clasifica los activos de TI en una de tres categorías: 1) los datos,
2) la aplicación / software 3) activos físicos (edificios, equipos, personal,
etc.)
 Requiere que considerar el impacto de la pérdida de confidencialidad, integridad
y disponibilidad (CIA) del activo.
  Expresa la vulnerabilidad (la probabilidad de que se puede producir una amenaza)
como: muy alta, alta, media, baja o muy baja.
 Expresa Riesgo (la probabilidad de que una amenaza podría aprovechar la
vulnerabilidad) como: alta, media o baja.

 Es un método estructurado

La misma se estructura en un conjunto de tres finalidades:

 Mejorar la seguridad en los sistemas de información.

 Justificar el presupuesto asignado al resguardo de la información.
 Demostrar la credibilidad de la información mediante los análisis efectuados.

- Coherente para la identificación y la evaluación de riesgos en redes y sistemas de

información.

Identificación de activos

Definición global de los objetivos de seguridad.

Para obtener lo mejor de CRAMM, hay que identificar a las personas correctas, obtener
información útil, evitar empantanarse en detalle, evitar ser impulsado por CRAMM,
identificar el equipo clave para la empresa, iniciar las amenazas y de las vulnerabilidades
de la identificación y evaluación temprana y, finalmente, iniciar el proceso de las
contramedidas temprano.

Los activos físicos se valoran en términos de costo de reemplazo. Los datos y activos de
software se valoran en términos del impacto que se produciría si la información fuera a
estar disponible, destruida, divulgada o modificada.

Análisis y evaluación de riesgos

 Herramientas para evaluar riegos

 Determinar la prioridad relativa de los controles
 Costos estimados de la aplicación de los controles

Contramedidas
  Mecanismos de identificación y autentificación
 Mecanismos de seguridad en la comunicación
 Mecanismos de control de acceso
 Mecanismos de copias de seguridad backup

Herramientas con la cual puede responder estas preguntas

 Desarrollar políticas de seguridad para un nuevo sistema

 Determinar si existe un requisito para los controles específicos
 Examinar las consecuencias de conectarse a internet
 Estado de los controles de seguridad de un sistema
 Demostrar el cumplimiento de la ley de protección de datos

Alcance

 En cualquier momento de la ejecución donde existan problemas de seguridad

 Planificación de estrategias:
o En la etapa del estudio de la factibilidad
o Análisis del negocio detallado y entornos técnicos donde se tenga
problemas de seguridad

Objetivos de modelo
HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO

Cramm proporciona herramientas para respaldar los siguientes procesos clave en la

gestión de la continuidad del negocio:

 Análisis del impacto del negocio.

 Identificación de los objetivos de recuperación del negocio.
 Identificación de los grupos clave de personal y el tiempo dentro del cual debe ser
operacional siguiendo una ruptura del negocio.
 Las facilidades mínimas y servicios requeridos por estos grupos de personal.
 Valoración de riesgos.
 Identificación de opciones para lograr los objetivos de la continuidad del negocio,
incluyendo back-up, capacidad para adaptarse y dispositivos de reserva.

Quienes usan CRAMM

 La OTAN, el Ejército de Holanda y numerosas organizaciones de todo el mundo

la utilizan actualmente.
  En la actualidad CRAMM es el método preferido de análisis de riesgos del
gobierno del Reino Unido, pero CRAMM también se utiliza en muchos países
fuera del Reino Unido.

Ámbitos de aplicación

 Organizaciones públicas y privadas

 Organizaciones medianas o más maduras pueden usar: CRAMM,
 CRAMM es especialmente apropiado para grandes organizaciones, como
organismos gubernamentales y la industria

- En su modelo no tiene contemplado los procesos o los recursos

Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los riesgos Criterios
de aceptación de riesgos y objetivos pertinentes para la organización. Los resultados
deben orientar y determinar las Acciones de gestión apropiadas y prioridades para la
gestión Seguridad de la información y para la implementación de controles
Seleccionados para protegerse contra estos riesgos.
Todos nos enfrentamos a riesgos todos los días - que van desde lo mundano, como "
¿Voy a trabajar hoy? "A riesgos que pueden afectar el resto de nuestras vidas, como"
¿debo Aplicar para ese trabajo? "- El riesgo es algo con que todos vivimos y sentimos
que practicamos y entender. En el entorno de los Sistemas de Información, las nuevas
prácticas empresariales -como subcontratación, asociaciones y consorcios- y las nuevas
tecnologías, como el trabajo a distancia, las redes LAN inalámbricas y los PDA, significan
que estamos constantemente enfrentando nuevas amenazas y riesgos y la necesidad de
controles adicionales
Estas complejidades hacen prácticamente imposible que un Oficial de Seguridad de la
Información se mantenga al día sin el apoyo automatizado y CRAMM ha sido, durante
muchos años, el enfoque preferido del Gobierno del Reino Unido para la evaluación de
riesgos.
Ahora Insight ha mejorado aún más el CRAMM al incorporar su base de Cientos de
tareas de consultoría en todo el mundo, incluyendo muchas certificaciones exitosas
contra BS7799.
CRAMM v5.1 ofrece una relación calidad-precio fantástica, y con más de 600 copias de
CRAMM ya en uso en 23 países, CRAMM está muy bien probado. Con el apoyo de la
amplia gama de servicios de Insight Consulting, los usuarios de CRAMM
Una ayuda indispensable para la aplicación de la «buena práctica de referencia»,
establecida por el.
Comprender el riesgo
Gobierno Corporativo, Turnbull y BS7799: 2005 / ISO 27001 requieren que se obtenga y
se mantenga una sólida comprensión del riesgo de los activos de información. Para ello,
es necesario combinar un conjunto complejo de "componentes de riesgo", entre los que
se incluyen:
 Más de 400 tipos de activos
 Más de 25 tipos diferentes de impacto
 38 tipos de amenazas
 Siete diferentes medidas de riesgo
 Una biblioteca de contramedidas que contiene más de 3.500 controles detallados,
pero genéricos Foro de Seguridad de la Información.
Un proceso complejo pero crítico
Con este entendimiento es posible responder a las numerosas preguntas que surgen
cada día en materia de seguridad de la información, tales como:
 ¿Qué requisitos de seguridad debemos incluir en este acuerdo de servicio
administrado?
 ¿Hay implicaciones de permitir que nuestros usuarios se conecten a Internet?
 ¿Cómo podemos demostrar a los auditores BS7799 que nuestros riesgos se han
gestionado adecuadamente?
Aceptación no evitación
La gestión del riesgo es una cuestión de «tratamiento de riesgos» en virtud de la cual los
riesgos se reducen a un nivel aceptable y no «evitarse» ignorándolos o tratando de
eliminarlos por completo. Los procesos de gestión de riesgos incluyen actividades tales
como:
 Identificar los requisitos para controles específicos tales como tarjetas inteligentes
 Demostrar el cumplimiento de la legislación
 Desarrollar una estrategia de continuidad de negocio
 Desarrollar una política de seguridad para un nuevo sistema
 Auditoría del estado de los controles de seguridad en un sistema existente
Gestión segura del cambio
A medida que el ritmo de cambio se acelera cada vez más rápido, el desafío clave es
poder construir seguridad en nuevos sistemas a medida que surjan. Esto requiere un
enfoque rápido y eficaz y la capacidad de interrogar los resultados, así como adaptar la
evaluación del riesgo a medida que se disponga de nuevos detalles.
Una herramienta indispensable de seguridad de la información
CRAMM v5.1 es el método más completo y ampliamente adoptado para la seguridad de
la información, el análisis de riesgos y la gestión. Es el "punto de referencia" contra el
que se evalúan todos los demás métodos, lo que refleja las importantes inversiones en
desarrollo realizadas por organizaciones como el Gobierno del Reino Unido y la OTAN.
CRAMM v5.1 proporciona un método integral de evaluación de riesgos con la capacidad
de realizar tres tipos diferentes de revisión: CRAMM Express Reviews; BS7799: 2005
Reviews; and CRAMM Expert Reviews.

CRAMM soporta muchas funciones adicionales, incluyendo:

 BS7799: Cumplimiento 2005
 Producción de documentación de seguridad
 Investigación en contra de las normas
 Información de registro requerida para la Planificación de Continuidad de
Negocios
CRAMM contiene:
 Una base de datos que consta de más de 3.500 controles de seguridad que
cubren todos los aspectos de la seguridad de la información
 Un conjunto de herramientas para ayudarle a lograr la certificación o el
cumplimiento con BS7799: 2005
 Políticas de seguridad de la información pro forma, procedimientos de operación
de seguridad y otra documentación de seguridad útil
Evaluaciones de riesgo predefinidas que cubren sistemas de información genéricos -
como la nómina
 Un conjunto completo de herramientas de ayuda para la gestión de riesgos, para
apoyar su planificación de mejora de la seguridad y aprovechar al máximo sus
presupuestos de seguridad de la información
Otras adiciones en CRAMM v5.1 incluyen:
 Mapeo actualizado de las contramedidas CRAMM para reflejar los controles
BS7799: 2005 / ISO 27001
 Informes gráficos de contramedidas
 Listas de verificación de recursos de seguridad
 Mejoras en la funcionalidad de informes con CRAMM Express
 Una herramienta 'Copiar y comparar' que permite a los usuarios copiar
información de una revisión a otra y producir comparaciones