Herramienta de Evaluacion de Riesgo-CRAMM

METODOLOGAS DE ANLISIS DE RIESGOS

Que es el Anlisis de Riesgos?
El anlisis de riesgo, tambin conocido como evaluacin de riesgo o PHA por sus siglas en ingls
Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables
eventos no deseados, como lo son daos o consecuencias que stas puedan producir.
El anlisis de los riesgos determinar cules son los factores de riesgo que potencialmente
tendran un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el
emprendedor con especial atencin.
Existen tres tipologas de mtodos utilizados para determinar el nivel de riesgos de nuestro
negocio. Los mtodos pueden ser:

1. Mtodos Cualitativos
2. Mtodos Cuantitativos
3. Mtodos Semicuantitativos.

Mtodos Cualitativos:

1. Es el mtodo de anlisis de riesgos ms utilizado en la toma de decisiones en proyectos

empresariales, los emprendedores se apoyan en su juicio, experiencia e intuicin para la toma
de decisiones.
2. Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos
necesarios para hacer un anlisis completo.
3. O bien porque los datos numricos son inadecuados para un anlisis mas cuantitativo que sirva
de base para un anlisis posterior y mas detallado del riesgo global del emprendedor.
4. Los mtodos cualitativos incluyen:
o Brainstorming
o Cuestionario y entrevistas estructuradas
o Evaluacin para grupos multidisciplinarios
o Juicio de especialistas y expertos (Tcnica Delphi)

Mtodos Semi-cuantitativos:

1. Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones ms detalladas

de la probabilidad y la consecuencia.
2. Estas clasificaciones se demuestran en relacin con una escala apropiada para calcular el nivel
de riesgo. Se debe poner atencin en la escala utilizada a fin de evitar malos entendidos o
malas interpretaciones de los resultados del clculo.

Mtodos Cuantitativos:

1. Se consideran mtodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a

los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto.
2. Los mtodos cuantitativos incluyen:
o Anlisis de probabilidad
o Anlisis de consecuencias
o Simulacin computacional

Normas Internacionales sobre el Anlisis de riesgos

AS/NZS 4360:2004: Norma australiana para la gestin de riesgos (en general).

BS7799-3:2006: Norma britnica para la gestin de los riesgos de seguridad de la
informacin.
ISO/IEC 27005:2008: Norma internacional sobre la gestin de los riesgos de seguridad de la
informacin. Distinta a la anterior, aunque tambin sirve para dar cumplimiento a la ISO
27001.
UNE 71504:2008: Norma espaola que recoge una metodologa de anlisis y gestin de
riesgos para los sistemas de informacin. No es equivalente a las anteriores, ya que esas eran
para seguridad de la informacin.

Pero no slo disponemos de normas de anlisis de riesgos, tambin existen metodologas

ampliamente reconocidas y de uso generalizado. Las principales son:

MAGERIT, metodologa espaola de anlisis y gestin de riesgos para los sistemas de

informacin, promovida por el MAP y diferente a la UNE 71504.
EBIOS, metodologa francesa de anlisis y gestin de riesgos de seguridad de sistemas de
informacin.
CRAMM, metodologa de anlisis y gestin de riesgos desarrollada por el CCTA ingls.

OCTAVE, metodologa de evaluacin de riesgos desarrollada por el SEI (Software Engineering

Institute) de la Carnegie Mellon University.

En definitiva, existe una gran variedad de metodologas, muchas de ellas con reconocimiento
internacional, pero lamentablemente todas distintas. Es cierto que, como metodologas de
anlisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de
entrada. Cada una tiene sus particularidades, sus puntos fuertes... y ser trabajo de quien
quiera utilizarlas el saber sacar lo mejor de cada una de ellas.

HERRAMIENTAS
PARA EL ANLISIS Y GESTIN DE RIESGOS.
Cramm es la metodologa de anlisis de riesgos desarrollado por el Centro de Informtica y la
Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.
El significado del acrnimo proviene de CCTARisk Analysis and Management Method. Su
versin inicial data de 1987 y la versin vigente es la 5.2.
Luego, Cramm puede definirse como una Metodologa:

Para el anlisis y gestin de riesgos.

Que aplica sus conceptos de una manera formal, disciplinada y estructurada.
Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus
activos.
Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por
sto se considera mixta.

Cramm incluye una amplia gama de herramientas de evaluacin de riesgo que son totalmente
compatibles con 27001 y ISO que se ocupan de tareas como:

Activos de modelado de dependencia

Evaluacin de impacto empresarial
Identificacin y evaluacin de amenazas y vulnerabilidades
Evaluar los niveles de riesgo
La identificacin de los controles necesarios y justificados sobre la base de la evaluacin del
riesgo.
Un enfoque flexible para la evaluacin de riesgos.

ALCANCE
CRAMM es aplicable a todo tipo de sistemas y redes de informacin y se puede aplicar en
todas las etapas del ciclo de vida del sistema de informacin, desde la planificacin y
viabilidad, a travs del desarrollo e implementacin del mismo. CRAMM se puede utilizar
siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un
sistema de informacin o de la red. Esto puede incluir:

Durante la planificacin de la estrategia se hace un anlisis de riesgos de alto nivel que puede
ser necesaria para identificar los requisitos de seguridad general o de emergencia para la
organizacin, los costos relativos y las implicaciones de su implementacin.

En la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede ser requerido para
identificar los requisitos de seguridad general, la contingencia y los costos asociados de las
distintas opciones

Durante el anlisis del negocio detallado y de entornos tcnicos donde los problemas de
seguridad o contingencia asociados con la opcion tomada pueden ser investigados o refinados

Antes de la ejecucin, para garantizar que todos los requerimientos fsicos, el personal,
tcnicas y contramedidas de seguridad se han identificado e implementado

En cualquier momento durante la ejecucin, donde existe preocupacin por los problemas de
seguridad o contingencia, por ejemplo.en respuesta a una amenaza nueva, mayor o despus de
un fallo de seguridad

Cramm herramientas de evaluacin de riesgos se puede utilizar para responder a las preguntas
individuales, para buscar en las organizaciones, procesos, aplicaciones y sistemas o para
investigar las infraestructuras completas u organizaciones. Los usuarios tienen la opcin de una
herramienta de evaluacin de riesgos rpido o un anlisis completo, ms riguroso.
Las herramientas de evaluacin de riesgos son muy flexibles y le permiten explorar diferentes

temas y responder a muchas preguntas diferentes. Ejemplo incluyen:

La determinacin de si existe un requisito para los controles especficos, por ejemplo.

autenticacin fuerte, cifrado, de proteccin de energa o de redundancia de hardware
Identificar las funciones de seguridad necesarias para una nueva aplicacin
El desarrollo de los requisitos de seguridad para un outsourcing o acuerdo de servicios
gestionados
Revise los requisitos de seguridad fsica y ambiental en un nuevo sitio
Examinar las consecuencias de permitir a los usuarios conectarse a Internet
Demostrar el cumplimiento de la legislacin como la Ley de Proteccin de Datos
Desarrollar una poltica de seguridad de un nuevo sistema
Auditora de la idoneidad y el estado de los controles de seguridad en un sistema existente
Demostrar que un auditor de la norma ISO 27001 que la evaluacin de un "ISO 27001
compatible con" riesgo ha llevado a cabo y que los controles de seguridad apropiados se han
identificado
La evaluacin de los resultados

Cramm contiene una variedad de herramientas para ayudar a evaluar los resultados de una
evaluacin de riesgos, incluyendo:

La determinacin de la prioridad relativa de los controles

Grabacin de los costos estimados de la aplicacin de los controles
Cambios de modelacin para la evaluacin del riesgo, usando "Qu pasara si"
Volver de seguimiento a travs de la evaluacin de riesgos para demostrar la justificacin de
controles especficos.

Uno de los principales aspectos de Cramm, es el soporte que proporciona la herramienta

informtica que la soporta, con una base de datos de:

Ms de 400 tipos de Activos.

Ms de 25 tipos de Impacto.
38 tipos de Amenaza.
7 Tipos de medida del Riesgo.
Ms de 3500 salvaguardas.

Actualmente, Cramm soporta tres tipos de revisiones:

CRAMM Expert
CRAMM Express
BS7799

DESCRIPCIN DE LA METODOLOGA
La mayora de los software de gestin de riesgos usados hoy da centran su atencin en
proteger los bienes ms costosos de la organizacin, sin embargo, no en todos los casos es la
mejor. Cramm es un software que realiza un anlisis de riesgos cualitativos asociados con una
herramienta de gestin. La herramienta, que ha sometida a revisiones importantes
(actualmente en versin 4), es posteriormente comercializada y ahora distribuidas por una
firma del Reino Unido, Insight Consulting, como "Cramm Manager" (Junto a la U. K. Servicio de
Seguridad).
Cramm proporciona un enfoque disciplinado y organizado que abarca tanto tcnicas (por
ejemplo, el hardware y software) y no tcnicas (por ejemplo, fsicos y humanos) los aspectos
de seguridad.
Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:

1. Identificacin y valoracin de activos

2. De amenazas y evaluacin de la vulnerabilidad
3. Contramedidas seleccin y recomendacin

Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos contra las amenazas
a las que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores
predefinidos comparando los valores de activos a las amenazas y niveles de vulnerabilidad. En
esta escala, "1" indica una lnea de base de bajo nivel de exigencia de seguridad y el 7 " indica
un requisito de seguridad muy alto.
Basndose en los resultados del anlisis de riesgos, Cramm produce una serie de contramedidas
aplicable al sistema o red que se consideran necesarias para gestionar los riesgos
identificados. El perfil de seguridad recomendado a continuacin, se compara con los
existentes para Contramedidas, luego de identificar las reas de debilidad o de mayor
exposicin.

1. Identificacin y valoracin de activos

Cramm permite al analista a identificar la fsica (por ejemplo, el hardware de TI), software
(ej. paquetes de aplicaciones), los datos (por ejemplo, la informacin contenida en el sistema de
TI) y los activos de localizacin que componen el sistema de informacin. Cada uno de estos
activos pueden ser valorados.
Los activos fsicos se valoran en trminos de costo de reemplazo. Los datos y activos de
software se valoran en trminos del impacto que se producira si la informacin fuera a estar
disponible, destruida, divulgada o modificada.
2. De amenazas y evaluacin de la vulnerabilidad
Despus de haber comprendido la magnitud de los problemas potenciales, el siguiente paso es
identificar qu tan probable que estos problemas se produzcan. Cramm cubre toda la gama de
amenazas deliberadas o accidentales que puedan afectar a los sistemas de informacin,
incluyendo:

Piratera
Los virus
Los fallos del equipo o software
Daos intencionales o el terrorismo
Los errores por parte de personas
Esta etapa concluye con el clculo del nivel del riesgo subyacente o real.

3. Contramedidas seleccin y recomendacin

Cramm contiene una gran biblioteca de las contramedidas que consta de ms de 3000 medidas
detalladas organizados en ms de 70 agrupaciones lgicas. El software que utiliza Cramm, toma
en cuenta las medidas de los riesgos determinados durante la etapa anterior y los compara con
el nivel de seguridad (un nivel de umbral asociado con cada contramedida) con el fin de
identificar si los riesgos son suficientemente grandes para justificar la instalacin de una
determinado contramedida. Cramm ofrece una serie de servicios de ayuda, incluyendo marcha
atrs. Las funciones de priorizacin y presentacin de informes para ayudar en la
implementacin de las contramedidas y la gestin activa de los riesgos identificados.
Las principales actividades del proceso de anlisis y gestin de riesgos de CRAMM se resume
en el siguiente grfico:

HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO:

Cramm proporciona herramientas para respaldar los siguientes procesos clave en la gestin de
la continuidad del negocio:

Anlisis del impacto del negocio.

Identificacin de los objetivos de recuperacin del negocio.
Identificacin de los grupos clave de personal y el tiempo dentro del cual debe ser operacional
siguiendo una ruptura del negocio.
Las facilidades mnimas y servicios requeridos por estos grupos de personal.
Valoracin de riesgos.
Identificacin de opciones para lograr los objetivos de la continuidad del negocio, incluyendo
back-up, capacidad para adaptarse y dispositivos de reserva.

Bibliografa

Analisis de Riesgos:http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo
Gestion de Riesgos / Analisis y
Cuantificacion: http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages
/pdf/metodologia/4AnalisisycuantificaciondelRiesgo(AR)_es.pdf
J. A. Calle Guglieri, Reingenieria y Seguridad en el
ciberespacio: http://books.google.com.co/books?id=qB3P2GuD3EsC&pg=PA58&lpg=PA58&dq=m
etodologia+de+analisis+y+gestion+de+riesgos+cramm&source=bl&ots=uPp3DJhbKw&sig=Mw5Kt
QAat9mi6HM_DP12N6rYQl8&hl=es&sa=X&ei=cuBUKnBCcqoywGzhYCADQ&ved=0CGgQ6AEwCA#v=onepage&q=metodologia%20de%20analisis%2
0y%20gestion%20de%20riesgos%20cramm&f=false
Antonio Huerta, Introduccin al Anlisis de
Riesgos: http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgosmetodologias-i/