Professional Documents
Culture Documents
1. Mtodos Cualitativos
2. Mtodos Cuantitativos
3. Mtodos Semicuantitativos.
Mtodos Cualitativos:
Mtodos Semi-cuantitativos:
Mtodos Cuantitativos:
En definitiva, existe una gran variedad de metodologas, muchas de ellas con reconocimiento
internacional, pero lamentablemente todas distintas. Es cierto que, como metodologas de
anlisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de
entrada. Cada una tiene sus particularidades, sus puntos fuertes... y ser trabajo de quien
quiera utilizarlas el saber sacar lo mejor de cada una de ellas.
HERRAMIENTAS
PARA EL ANLISIS Y GESTIN DE RIESGOS.
Cramm es la metodologa de anlisis de riesgos desarrollado por el Centro de Informtica y la
Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.
El significado del acrnimo proviene de CCTARisk Analysis and Management Method. Su
versin inicial data de 1987 y la versin vigente es la 5.2.
Luego, Cramm puede definirse como una Metodologa:
Cramm incluye una amplia gama de herramientas de evaluacin de riesgo que son totalmente
compatibles con 27001 y ISO que se ocupan de tareas como:
ALCANCE
CRAMM es aplicable a todo tipo de sistemas y redes de informacin y se puede aplicar en
todas las etapas del ciclo de vida del sistema de informacin, desde la planificacin y
viabilidad, a travs del desarrollo e implementacin del mismo. CRAMM se puede utilizar
siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un
sistema de informacin o de la red. Esto puede incluir:
Durante la planificacin de la estrategia se hace un anlisis de riesgos de alto nivel que puede
ser necesaria para identificar los requisitos de seguridad general o de emergencia para la
organizacin, los costos relativos y las implicaciones de su implementacin.
En la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede ser requerido para
identificar los requisitos de seguridad general, la contingencia y los costos asociados de las
distintas opciones
Durante el anlisis del negocio detallado y de entornos tcnicos donde los problemas de
seguridad o contingencia asociados con la opcion tomada pueden ser investigados o refinados
Antes de la ejecucin, para garantizar que todos los requerimientos fsicos, el personal,
tcnicas y contramedidas de seguridad se han identificado e implementado
En cualquier momento durante la ejecucin, donde existe preocupacin por los problemas de
seguridad o contingencia, por ejemplo.en respuesta a una amenaza nueva, mayor o despus de
un fallo de seguridad
Cramm herramientas de evaluacin de riesgos se puede utilizar para responder a las preguntas
individuales, para buscar en las organizaciones, procesos, aplicaciones y sistemas o para
investigar las infraestructuras completas u organizaciones. Los usuarios tienen la opcin de una
herramienta de evaluacin de riesgos rpido o un anlisis completo, ms riguroso.
Las herramientas de evaluacin de riesgos son muy flexibles y le permiten explorar diferentes
Cramm contiene una variedad de herramientas para ayudar a evaluar los resultados de una
evaluacin de riesgos, incluyendo:
CRAMM Expert
CRAMM Express
BS7799
DESCRIPCIN DE LA METODOLOGA
La mayora de los software de gestin de riesgos usados hoy da centran su atencin en
proteger los bienes ms costosos de la organizacin, sin embargo, no en todos los casos es la
mejor. Cramm es un software que realiza un anlisis de riesgos cualitativos asociados con una
herramienta de gestin. La herramienta, que ha sometida a revisiones importantes
(actualmente en versin 4), es posteriormente comercializada y ahora distribuidas por una
firma del Reino Unido, Insight Consulting, como "Cramm Manager" (Junto a la U. K. Servicio de
Seguridad).
Cramm proporciona un enfoque disciplinado y organizado que abarca tanto tcnicas (por
ejemplo, el hardware y software) y no tcnicas (por ejemplo, fsicos y humanos) los aspectos
de seguridad.
Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:
Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos contra las amenazas
a las que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores
predefinidos comparando los valores de activos a las amenazas y niveles de vulnerabilidad. En
esta escala, "1" indica una lnea de base de bajo nivel de exigencia de seguridad y el 7 " indica
un requisito de seguridad muy alto.
Basndose en los resultados del anlisis de riesgos, Cramm produce una serie de contramedidas
aplicable al sistema o red que se consideran necesarias para gestionar los riesgos
identificados. El perfil de seguridad recomendado a continuacin, se compara con los
existentes para Contramedidas, luego de identificar las reas de debilidad o de mayor
exposicin.
Cramm permite al analista a identificar la fsica (por ejemplo, el hardware de TI), software
(ej. paquetes de aplicaciones), los datos (por ejemplo, la informacin contenida en el sistema de
TI) y los activos de localizacin que componen el sistema de informacin. Cada uno de estos
activos pueden ser valorados.
Los activos fsicos se valoran en trminos de costo de reemplazo. Los datos y activos de
software se valoran en trminos del impacto que se producira si la informacin fuera a estar
disponible, destruida, divulgada o modificada.
2. De amenazas y evaluacin de la vulnerabilidad
Despus de haber comprendido la magnitud de los problemas potenciales, el siguiente paso es
identificar qu tan probable que estos problemas se produzcan. Cramm cubre toda la gama de
amenazas deliberadas o accidentales que puedan afectar a los sistemas de informacin,
incluyendo:
Piratera
Los virus
Los fallos del equipo o software
Daos intencionales o el terrorismo
Los errores por parte de personas
Esta etapa concluye con el clculo del nivel del riesgo subyacente o real.
Bibliografa
Analisis de Riesgos:http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo
Gestion de Riesgos / Analisis y
Cuantificacion: http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages
/pdf/metodologia/4AnalisisycuantificaciondelRiesgo(AR)_es.pdf
J. A. Calle Guglieri, Reingenieria y Seguridad en el
ciberespacio: http://books.google.com.co/books?id=qB3P2GuD3EsC&pg=PA58&lpg=PA58&dq=m
etodologia+de+analisis+y+gestion+de+riesgos+cramm&source=bl&ots=uPp3DJhbKw&sig=Mw5Kt
QAat9mi6HM_DP12N6rYQl8&hl=es&sa=X&ei=cuBUKnBCcqoywGzhYCADQ&ved=0CGgQ6AEwCA#v=onepage&q=metodologia%20de%20analisis%2
0y%20gestion%20de%20riesgos%20cramm&f=false
Antonio Huerta, Introduccin al Anlisis de
Riesgos: http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgosmetodologias-i/