Professional Documents
Culture Documents
COMUNICACIN INALMBRICA
I$ OB%ETIVO............................................................................................&
II$.......................................................FUNDAMENTACIN TERICA
'
III$ FASES O ETA&AS DEL MTODO CRAMM................................'
IV$ FIC'AS, MATRICES Y 'ERRAMIENTAS USADAS EN
CRAMM....................................................................................................(
ETA&A (:......................................................................................................(
ETA&A ):......................................................................................................)
ETA&A *:......................................................................................................*
V$ GUA &LAN DE ANLISIS DE RIESGOS....................................++
VI$ BIBLIOGRAFA.............................................................................+'
VII$ ANE+OS.......................................................................................+,
Ane-o +....................................................................................................+,
Ane-o &...................................................................................................+
I$ OB%ETIVO
2
Reali/ar un estudio de la %etodologa de CRAMM para el anlisis y
gestin de riesgos de seguridad de inor%acin en redes inal%bricas
6;na %etodologa para el anlisis y gestin de riegos 8ue aplica sus conceptos de
%anera or%al< estructurada y disciplinada y est orientada a proteger la
conidencialidad< integridad y disponibilidad de un siste%a y de sus activos9 0p.*3.
El desarrollo de la %etodologa de CRAMM traba7a en dos ases o etapas 8ue !i%=ne/
0&1+,3 las destaca5
6;na ase de anlisis 8ue se estudian los activos< las vulnerabilidades< y las a%ena/as
para generar unos riesgos 0>3. ;na ase de gestin< 8ue incluye unas contra%edidas<
una i%plantacin< y por ulti%o una ase de auditora9 0p.,*3.
Esto describe 8ue el %odelo es %uy prctico por8ue indica el anlisis de los activos
sicos de valor de la e%presa. En el estudio de una red inal%brica estos co%ponentes
sern los routers< servidores< s?itch es< etc 8ue van a ser evaluados directa%ente.
Ade%s de las vulnerabilidades y las a%ena/as 8ue per%itan generar una lista de
contra%edidas y reco%endaciones.
Resu%iendo< el anlisis y gestin de riesgos de CRAMM se enoca principal%ente en<
activos de datos< a%ena/as< vulnerabilidades< y la evaluacin de los niveles de riesgo<
posterior%ente la gestin de riesgos orienta al personal a estar en condiciones de evitar
riesgos o a%ena/as< y adoptar contra%edidas propias del %odelo. 0Calle< +22)< p.*3
3
Fig. 1 Etapas del Mtodo CRAMM
Determinar el valor de la
inormacin manejada,
mediante la entrevista a
los usuarios acerca de los
potenciales impactos en el
negocio que podran
derivarse de la no
disponibilidad, la
destruccin, la divulgacin
o la modifcacin de dica
inormacin.
!
activos de sot"are que
orman parte del sistema.
Identifcar y evaluar el tipo
y nivel de las amena#as
que pueden aectar al
sistema.
$nali#ar el grado de
Evaluacin de los riesgos y los re8uisitos vulnerabilidad del sistema
Etaa )
de seguridad para el siste%a propuesto. a las amena#as
identifcadas.
%ombinar la amena#a y la
vulnerabilidad con el valor
+
ETA&A (:
Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e- 1a-r /e -a ."7rma!.8" ma"e0a/a, me/.a"te -a e"tre1.sta
a -s 3s3ar.s a!er!a /e -s te"!.a-es .ma!ts e" e- "e2!. 93e /ra" /er.1arse /e -a "
/.s".#.-./a/, -a /estr3!!.8", -a /.13-2a!.8" -a m/.7.!a!.8" /e /.!4a ."7rma!.8"$
Escenario 1:
iense en las personas que conorman su organi#acin. -sto podra incluir criterios
generales para conocer inormacin sobre personal que a surido algn da/o sico.
Seguridaddelaspersonas Valoracin
Escenario 2:
iense en las personas que conorman su organi#acin. 0as causas o molestias que ocasiona
la p1rdida de privacin personal.
Perdidadeprivacidadpersonal Valoracin
%ausa de perjuicios muy graves 3
Escenario 3:
iense en las personas que conorman su organi#acin. 0as causas o molestias que ocasiona
la perdida de reputacin de la compa/a
ETA&A ):
E1a-3a!.8" /e -s r.es2s 5 -s re93.s.ts /e
FICBA .D &
se23r./a/ ara e- s.stema r3est$
Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar -a ame"a;a 5 -a 13-"era#.-./a/ !" e- 1a-r /e -s a!t.1s
ara !a-!3-ar 3"a me/./a /e- r.es2$
Escenario 1:
iense en las personas que conorman su organi#acin. %ostes asociados a la interrupcin
de actividades
Menos de +111 1
'(s de 3).))).))) 5
*
Escenario 2:
iense en las personas que conorman su organi#acin. Incumplimiento de obligaciones
legales por la compa/a
Escenario 3:
iense en las personas que conorman su organi#acin. 1rdidas econmicas por
inormacin a la competencia
'enos de 8))) 1
'(s de 8).))).))) 5
ETA&A *:
Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e" 93< !am se e"!3e"tra r.e"ta/ -a ."1est.2a!.8"$
Escenario 1:
:ipos de amena#a al recomendadas segn %&$'' para la creacin de activos en una
empresa
#mena$a Si %o
;
D Fuego 0salaediicio3
< Desastresnaturales
< Disminucindelaplantilla
< &oboporpersonalajeno
< &oboporpersonalpropio
< =soindebidoderecursos
< >allo
de
memoria
< >allodealimentacinel1ctrica
< -rrordemantenimiento
< -rror
de
usuario
< -rrordemicroordenadores
< >allo de servicio portador de las redes de (rea
e4tensa.
B
Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e- ".1e- /e r.es2
Escenario 1:
0a determinacin del nivel de riesgo es el resultado de conrontar el impacto y la
probabilidad con los controles e4istentes, al interior de los dierentes procesos y
procedimientos que se reali#an.
&a valoracin consiste en asignar a los riesgos cali'caciones dentro de un
rango( )ue podra ser por e*emplo de 1 a 5 +insigni'cante +1,( a*a +2,( media +3,(
moderada +-, o alta +5,,( dependiendo de la cominacin entre impacto .
proailidad/ En la siguiente gr0'ca( se puede oservar un e*emplo de
es)uema de valori$acin de riesgo en "uncin de la proailidad e impacto de
tipo num!rico con escala:
a,
8)
FICBA .D E"tre1.sta a Re!3rss '3ma"s
Esta 40a /e tra#a0 -e a53/ar6 a !"!er ese!7.!ame"te -a ."7 raestr3!t3ra /e 4ar/=are 5 s7t=are /e -a
emresa, ara ./e"t.7.!ar -as /.7ere"tes 13-"era#.-./a/es 5 ame"a;as /e -a emresa, 5 as #r."/ar-es 3"
a"6-.s.s /e r.es2 e7e!t.1$
Escenario 1:
%on el fn de conocer las vulnerabilidades y amena#as de la empresa para que esta cumpla
con los requisitos y e4pectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
mucas gracias por su colaboracin.
Preguntas espuesta
88
FICBA .D ( E"tre1.sta a Deartame"t Re/es
Esta 40a /e tra#a0 -e a53/ar6 a rea-.;ar 3"a e"tre1.sta a 3"a ers"a e"!ar2a/a /e- tr /eartame"t
93e !3e"ta !" 3" a!!es a t/a -a ."7rma!.8" /e -a emresa, 5 -s a!t.1s 93e esta emresa see$
Escenario 1:
%on el fn de conocer las vulnerabilidades y amena#as de la empresa para que esta cumpla
con los requisitos y e4pectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
mucas gracias por su colaboracin.
Preguntas espuesta
e 8u= tipoG
82
Estos e8uipos de c%puto poseen antivirusG
83
divulgacin o la
modifcacin de
dica inormacin.
D Identifcar y valorar
los activos de
sot"are que
orman parte del
sistema.
E1a-3a!.8" /e D Identifcar y DFicha .D& DAd%inistrador de
-s r.es2s 5 -s evaluar el tipo y DFicha .D, parte a redes.
re93.s.ts /e nivel de las DEntrevista DAutoridades de la
se23r./a/ ara amena#as que DFicha .D( acultad
e- s.stema pueden aectar al DEstudiantes
r3est sistema.
D $nali#ar el grado
de vulnerabilidad
del sistema a las
amena#as
identifcadas.
D %ombinar la
amena#a y la
vulnerabilidad con
el valor de los
activos para
calcular una
medida del riesgo.
Identiicacin y seleccin de las contra%edidas.
Determ."a!.8" D 9e organi#a en una DDFicha .D, parte a DAd%inistrador de
/e Ame"a;as matri# las redes
DAutoridades de la
amena#as
encontradas en la Facultad.
red para ser
valoradas.
D 9e e4pone dica
matri# al
administrador de
redes.
Determ."a!.8" D Deben ser acordes DFicha .D, parte b DAd%inistrador de
r#a#.-./a/ con los riesgos redes
/e !3rre"!.a calculados en la
anterior etapa.
D 9e revisa
nuevamente la
inormacin con el
cliente.
D 9e priori#an
8!
actividades para
dar solucin a las
amena#as m(s
uertes.
VI$ BIBLIOGRAFA
8+
Al
ci
dez,G. (
2009
S)
.egur
idad n
If
ormt
i . Ant
ca i
oqui
a, Col
ombi
a.Rec
uper
ad
o
de: ht
tp:
//
bibl
i
oteca
.
udea.
edu.
co/
manual
es/
se
gur
idad.
pps
Cal
l
e, J.(
1997
R)
.ei
nge
ni
er
ay S
egur
i
dad en el ci
ber .a
espMad
or
ciid,Esp
aa:
Edi
ci
on
es
D
as e
d S
ant
os.
Gi
mn
ez,
J.(
2014
)
.
Seg
ur
ida
d en Equ
i
pos I
nfor . Ml
mt
i
cos ag
a,Espa
a
:IC
Edi
t
ori
al
Her
eder
o, C.
, Lpez,J.(
2006
Di
r)
.i
ecc
ny G
est
i
ndel
osSi
st
emasde
I
nfor
maci
n en l
a empr
esa
: una vi
si
n i
nt M
egr
aad
d r
or
ai
d,Espa
. a
: ESI
C
To
r
res,G. (
2015
E)
.st
ud
io co
mpa
r
ati
vo en
t
re as
l et
mod
ol
og
as A
MGERI
T Y
CRAMM, ut
i
l
izad
aspa
r
a An
l
isi
s yGest
indeRi
esg
osdeSeg
uir
dad del
a
I
nfor n(
maci tesi
s p
r
egr
ado)
. Uni
ve
rsi
dad del Azu
ay,
Cuenca
, Ecu
ador
.
VII$ ANE+OS
8
$ne4o 8
5=50I-&I, %. @8BB*A. Reingenieria y seguridad en el ciberespacio. 'adridC Dia# de
9antos.
8*
$ne4o 2
espa/ol, '. d. @junio de 2)8!A. -strategia de la inormacin y seguridad en el
ciberespacio. -spa/aC I.
8;
$ne4o 3
Eernal, 9olr#ano, &uano, Fern(nde#, %. @2))BA. METODOLOGIA DE ANALISIS DE
RIESGO DE LA EMPRESA LA CASA DE LAS ATERIAS S.A DE C.!.9an 9alvador.
8B