domingo, 18 de julio de 2010

CRAMM: Software para el manejo de Riesgos


La gestión del riesgo empresarial involucra al proceso de identificar, medir y reducir al mínimo los eventos inciertos que puedan afectar a la empresa y sus recursos. Esto implica la armonización de las gestiones como las medidas correctoras y de control en el análisis de riesgos.

Un elemento principal de evaluación de riesgos y su análisis, es el concepto de vulnerabilidad. La vulnerabilidad es una debilidad en los sistemas de información, misma que puede ser aprovechada por intrusos o atacantes para hacerse de controles internos y explotar posteriormente la red a su antojo.

En seguridad de la información los análisis de riesgos se utilizan para reducir los diversos riesgos detectados, y llevarlos a niveles aceptables. El éxito de estos análisis es, sin embargo, sólo una herramienta de apoyo a las decisiones a nivel empresarial, y consiste en una manera de recoger los datos necesarios para hacer un buen juicio, y llamar a base en el conocimiento sobre las vulnerabilidades, las amenazas, impactos, y la probabilidad de ocurrencia de un determinado evento.

La gestión de riesgos es la primera etapa que se debe abordar para el desarrollo de una efectiva política de seguridad en cualquier empresa, dicha gestión debe estar en la capacidad de:

- Evaluar la aplicación de la norma ISO 17799 (ISO 17799, 2000) estándar que recomienda que el análisis de riesgo debe llevarse a cabo a fin de determinar las necesidades de seguridad y elegir las medidas de seguridad que deban aplicarse;

- Utilizar enfoques metodológicos consistentes, con el fin de llevar a cabo una gestión efectiva del riesgo
- Dominar las metodologías de auditoría
- Construir los planes de recuperación de desastres y continuidad del negocio
- Tomar en cuenta los riesgos legales referidos a la seguridad de la información

METODOLOGIA CRAMM DE MANEJO DE RIESGOS

La gestión del riesgo es definida por la norma ISO (ISO / IEC Guide, 2002); como el conjunto de actividades coordinadas que apunten al control del riesgo en una determinada organización. La misma se estructura en un conjunto de tres finalidades;

- Mejorar la seguridad en los sistemas de información
- Justificar el presupuesto asignado al resguardo de la información
- Demostrar la credibilidad de la información mediante los análisis efectuados

Bosworth (2002), considera que los riesgos pueden dividirse en cinco categorías según se describe a continuación:

- Los riesgos que tienen una débil presencia y cuyo impacto no se toma en cuenta o sencillamente se descuida
- Los riesgos que constituyen una fuerte amenaza y cuyo impacto, de llegar a sucederse, representaría un serio problema, y pondría en jaque la continuidad del negocio
- Los riesgos que tienen una alta probabilidad de ocurrencia pero su impacto podría considerarse débil, además, sus costos son aceptados e incluso incluidos en los planes operativos
- Se asegura que, los riesgos que tienen una presencia débil pero un impacto fuerte deben ser transferidos
- Los demás riesgos, que se ven representados en la mayoría de los casos, son tratados en orden caso por caso, y están en el centro de la gestión de procesos de riesgos; el objetivo es, básicamente, disminuir los riesgos, mitigándolos al utilizar los controles necesarios.

INFORMACIÓN GENERAL SOBRE CRAMM

La metodología de análisis y gestión de riesgos (CRAMM) fue desarrollada por el Reino Unido y es utilizada comúnmente por los países que conforman la Organización del Tratado del Atlántico Norte (OTAN), siendo de uso común en Europa.
Para mayor información Véase; http://www.cramm.com/capabilities/risk.htm

DESCRIPCIÓN DE LA METODOLOGÍA

La mayoría de los software de gestión de riesgos usados hoy día centran su atención en proteger los bienes más costosos de la organización, sin embargo, no en todos los casos es la mejor. Cramm es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión. La herramienta, que ha sometida a revisiones importantes (actualmente en versión 4), es posteriormente comercializada y ahora distribuidas por una firma del Reino Unido, Insight Consulting, como "Cramm Manager" (Junto a la U. K. Servicio de Seguridad).

Los elementos esenciales de la recogida de datos, análisis y los resultados de salida que deben estar presentes en una herramienta automatizada de análisis de riesgos están cubiertos en las tres etapas de una revisión Cramm:

- Identificar y evaluar los bienes
- Identificar las amenazas y vulnerabilidades calculando sus riesgos
- Identificar y priorizar las medidas de defensa o contramedidas

Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos contra las amenazas a las que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores predefinidos comparando los valores de activos a las amenazas y niveles de vulnerabilidad. En esta escala, "1" indica una línea de base de bajo nivel de exigencia de seguridad y el “7 " indica un requisito de seguridad muy alto.

Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.

Cramm contiene una gran selección predefinidas de contramedidas (alrededor de 4.000), todas se reúnen en grupos y subgrupos con los mismos aspectos de seguridad, incluyendo, activos de software, hardware e incluso protecciones medioambientales. Por lo que se recomienda la utilización de una versión de prueba que puede ser descargada de su sitio Web.

No hay comentarios:

Publicar un comentario en la entrada

Escriba aquí su comentario.. Gracias...

Wiki