Herramienta de Evaluación de Riesgo-CRAMM

Cramm es la metodología de análisis de riesgos desarrollado por el Centro de

informática y la Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno
del Reino Unido.
El significado del acrónimo proviene de CCTARisk Analysis and Management
Method.
Su versión inicial data de 1987 y la versión vigente es la 5.2.

ALCANCE
CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede
aplicar en todas las etapas del ciclo de vida del sistema de información, desde la
planificación y viabilidad, a través del desarrollo e implementación del mismo.
CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad
y/o requisitos de contingencia para un sistema de información o de la red. Esto
puede incluir:

v Durante la planificación de la estrategia se hace un análisis de riesgos de alto

nivel que puede ser necesaria para identificar los requisitos de seguridad general o
de emergencia para la organización, los costos relativos y las implicaciones de su
implementación.

v En la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede ser
requerido para identificar los requisitos de seguridad general, la contingencia y los
costos asociados de las distintas opciones.

v Durante el análisis del negocio detallado y de entornos técnicos donde los

problemas de seguridad o contingencia asociados con la opción tomada pueden
ser investigados o refinados.

v Antes de la ejecución, para garantizar que todos los requerimientos físicos, el

personal, técnicas y contramedidas de seguridad se han identificado e
implementado.

v En cualquier momento durante la ejecución, donde existe preocupación por los

problemas de seguridad o contingencia, por ejemplo. En respuesta a una
amenaza nueva, mayor o después de un fallo de seguridad Cramm herramientas
de evaluación de riesgos se puede utilizar para responder a las preguntas
individuales, para buscar en las organizaciones, procesos, aplicaciones y sistemas
o para investigar las infraestructuras completas u organizaciones. Los usuarios
tienen la opción de una herramienta de evaluación de riesgos rápido o un análisis
completo, más riguroso.

Las herramientas de evaluación de riesgos son muy flexibles y le permiten

explorar diferentes temas y responder a muchas preguntas diferentes. Ejemplo
incluyen:

La determinación de si existe un requisito para los controles específicos, por

ejemplo. Autenticación fuerte, cifrado, de protección de energía o de redundancia
de hardware.

Identificar las funciones de seguridad necesarias para una nueva aplicación.

El desarrollo de los requisitos de seguridad para un outsourcing o acuerdo de
servicios gestionados.
Revise los requisitos de seguridad física y ambiental en un nuevo sitio.
Examinar las consecuencias de permitir a los usuarios conectarse a Internet
Demostrar el cumplimiento de la legislación como la Ley de Protección de Datos.
Desarrollar una política de seguridad de un nuevo sistema.
Auditoría de la idoneidad y el estado de los controles de seguridad en un sistema
existente.
Demostrar que un auditor de la norma ISO 27001 que la evaluación de un "ISO
27001 compatible con" riesgo ha llevado a cabo y que los controles de seguridad
apropiados se han identificado.
La evaluación de los resultados.

Cramm contiene una variedad de herramientas para ayudar a evaluar los

resultados de una evaluación de riesgos, incluyendo:

v La determinación de la prioridad relativa de los controles

v Grabación de los costos estimados de la aplicación de los controles
v Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría si"
v Volver de seguimiento a través de la evaluación de riesgos para demostrar la
justificación de controles específicos.

La metodología de CRAMM incluye las siguientes 3 etapas:

 La primera de las etapas recoge la definición global de los objetivos de

seguridad entre los que se encuentra la definición del alcance, la
identificación y evaluación de los activos físicos y software implicados, la
determinación del valor de los datos en cuanto a impacto en el negocio y la
identificación.
 En la segunda etapa de la metodología se hace el análisis de riesgos,
identificando las amenazas que afecta al sistema, así como las
vulnerabilidades que explotan dichas amenazas y por último el cálculo de
los riesgos de materialización de las mismas.
 En la tercera etapa se identifican y seleccionan las medidas de seguridad
aplicadas en la entidad obteniendo los riesgos residuales, CRAMM
proporciona una librería unas 3000 medidas de seguridad.

Estudio comparativo de las metodologías Magerit y CRAMM

Considerando las necesidades de las MPYMES ecuatorianas, ambas
metodologías establecen como objetivo principal la gestión y análisis
de riesgo; son distribuidas de forma gratuita en idioma inglés, pero
Magerit, además, está disponible en idioma español. Uno de los in
-
convenientes es que CRAMM está enfocada al uso en organizaciones
e instituciones grandes, por cuanto difícilmente podría encajar en la
gestión de riesgo tecnológico de las MPYMES ecuatorianas.
Las herramientas que apoyan a la metodología Magerit para la ges
-
tión de riesgo son Pilar y EAR, la primera de distribución libre. Para
CRAMM, las herramientas para la gestión de riesgo son comerciales.
Cada metodología está alineada a estándares internacionales. Magerit
adopta las mejores prácticas de la ISO 27001, 15408, 17799, y 13335.
Sin embargo para la gestión de riesgos se alinea correctamente con
los requerimientos de la ISO 27005 e ISO 31000. CRAMM, a su vez,
tiene un enfoque más práctico, pues su base de referencia es la ISO
27002, y contempla además los fundamentos de la ISO 27005 e ISO
31000.
El ciclo de Magerit inicia con la identificación de los activos de infor
-
mación, luego identifica las amenazas lógicas y de entorno, estima
las frecuencias y el impacto para inmediatamente pasar a las salva
-
guardas y gestionar finalmente el riesgo residual. El ciclo de CRAMM
consiste primero en identificar los riesgos y luego estimar la frecuencia
de presentación de los mismos.
Magerit considera como activos de información al hardware, software,
información electrónica, personas, instalaciones, medios de soporte
y elementos de comunicación de datos. CRAMM a su vez, considera
como activo de información solamente a los datos.
CRAMM utiliza solamente métodos cualitativos y cuantitativos para la
identificación de riesgos y amenazas; además de valorar a los acti
-
vos por términos de costo de reemplazo, y por dimensiones de dis
-
ponibilidad, integridad y confidencialidad. Magerit utiliza además de
los dos métodos, el método mixto. Además determina el valor de los
activos considerando la dimensión de disponibilidad, integridad, con
-
fidencialidad, trazabilidad y autenticidad, y estableciendo una escala
de valoración en seis niveles: Muy alto, alto, medio, bajo, muy bajo y
despreciable.
Magerit analiza el impacto determinando el valor de los activos, el
impacto acumulado lo calcula considerando el valor acumulado del
activo y las amenazas a las que se afronta, y el impacto repercutido
considerando el valor propio y las amenazas.
MAGERIT, basado en la ISO 27005 e ISO 31000, gestiona los riesgos
mediante la aplicación de salvaguardas, las mismas que se clasifi
-
can en: protecciones generales, protección de claves, protección de
los servicios, protección del software, hardware y comunicaciones.
CRAMM se alinea con el estándar ISO 27005 en su fase de planifica
-
ción donde se realiza la identificación y evaluación del riesgo; y con la
ISO 31000 para valorar y dimensionar el riesgo como para establecer
una contramedida.