MARGERIT
Metodología de Análisis y Gestión de Riesgos de Sistemas de Información
Es una metodología fue creada por el consejo superior de administración electrónica e informática española, han salido al mercado 3 versiones 1997, 2005 y 2012.
Está compuesto por tres libros estructurados de la siguiente manera:
Método: Se describe la estructura que
debe tener el modelo de gestión de riesgos. Este libro está de acuerdo a lo que
propone ISO para la gestión de riesgos.
Catálogo
de elementos: Es una especie de inventario que puede utilizar
la empresa para enfocar el análisis de riesgo. Es así como contiene una
división de los activos de información que deben considerarse, las
características que deben tenerse en cuenta para valorar los activos identificados
y además un listado con las amenazas y controles que deben tenerse en cuenta.
Guías y términos: Es un factor diferenciador con respecto a
otras metodologías. En este tercera parte se describen diferentes técnicas
frecuentemente utilizadas en el análisis de riesgos. Contiene ejemplos de
análisis con tablas, algoritmos, árboles de ataque, análisis de costo
beneficio, técnicas gráficas y buenas prácticas para llevar adelante sesiones
de trabajo para el análisis de los riesgos.
Procesos de la metodología:
 |
Planificación:
Ø Establecer condiciones para el
inicio
Ø Investigar oportunidad de
realizarlo
Ø Definir objetivos a cumplir y
dominio
Ø Planificar medios materiales y
humanos
Ø Proceder al lanzamiento del
proyecto
Ø Documentación: Tipología de activos,
dimensiones de seguridad relevantes, Criterios de evaluación.
Gestión de Riesgos:
Ø Elegir estrategia para mitigar
el impacto y riesgo
Ø Determinar las salvaguardas
Ø
Determinar
la calidad para las salvaguardas
Ø Diseñar el plan de seguridad
para llevar el impacto y riesgo a niveles aceptables
Ø Llevar a cabo el plan de
seguridad
Ø Documentación: Modelo de valor, Mapa de
riesgos, Evaluación de salvaguardas, Estado de riesgo, Informe de
insuficiencias
Análisis de Riesgos:
Ø Identificar activos, sus
relaciones y valoración que merecen.
Ø Identificar amenazas sobre los
activos y valorarlos en términos de frecuencia de ocurrencia y degradación que
causan sobre el activo afectado.
Ø Identificar salvaguardas
existentes y valorar la eficacia de su implantación
Ø Estimar impacto y riesgo de
exposición de los activos del sistema
Ø Interpretar significado del
impacto y riesgo
Ø Documentación: Plan de seguridad
Dimensiones:
Ø
Autenticidad:
¿quéperjuiciocausaríanosaberexactamentequienhaceohahechocadacosa?
Ø
Confidencialidad:
¿qué
daño causaría que lo conociera quien no debe?
Ø
Integridad:
¿qué
perjuicio causaría que estuviera dañado o corrupto?
Ø
Disponibilidad:
¿qué
perjuicio causaría no tenerlo o no poder utilizarlo?
Ø
Trazabilidad
del uso del servicio:
¿qué
daño causaría no saber a quién se le presta tal servicio?
Ø
Trazabilidad
del acceso a los datos:
¿qué
daño causaría no saber quién accede a qué datos y qué hace con ellos?
MAGERIT suministra una escala
estándar ampliada por cada uno de los valores enteros que pueda tomar la evaluación
del activo de información, esto con el fin de realizar una valoración de cada activo
en cada una de las dimensiones de seguridad proporcionadas anteriormente.
Identificación de las amenazas
OBJETO Y CAMPO DE
APLICACIÓN
Esta norma suministra directrices para la
gestión del riesgo en la seguridad de la información. Esta norma brinda soporte
a los conceptos generales que se especifican en la norma ISO/IEC 27001 y está
diseñada para facilitar la implementación satisfactoria de la seguridad de la
información con base en el enfoque de gestión del riesgo. El conocimiento de
los conceptos, modelos, procesos y terminologías que se describen en la norma
ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total comprensión de
esta norma .Esta norma se aplica a todos los tipos de organizaciones (por
ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo
de lucro) que pretenden gestionar los riesgos que podrían comprometer la
seguridad de la información de la organización.
REFERENCIAS NORMATIVAS
Los siguientes documentos de referencia son
indispensables para la aplicación de esta norma. Para referencias con fecha,
únicamente se aplica la edición citada. Para referencias sin fecha, se aplica
en la edición más reciente del documento mencionado (incluyendo todas las
enmiendas).ISO/IEC 27001:2005,
Information
Technology. Security Techniques. Information Security Management Systems.
Requirements. ISO/IEC 27002:2005, Information Technology. Security Techniques.
Code of Practice for Information Security Management.
TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y
definiciones de las normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:
Impacto.
Cambio adverso en el nivel de los objetivos del
negocio logrados.
Riesgo en la seguridad de
la información.
Potencial de que una amenaza determinada
explote las vulnerabilidades de los activos o grupos de activos causando así daño
a la organización.
NOTA Se mide en términos de una combinación de
la probabilidad de que suceda un evento y sus consecuencias.
Evitación del riesgo.
Decisión de no involucrarse en una situación de
riesgo o tomar acción para retirarse de dicha situación.[ISO/IEC Guía 73:2002]
Comunicación del riesgo.
Intercambiar o compartir la información acerca
del riesgo entre la persona que toma la decisión y otras partes
interesadas.[ISO/IEC Guía 73:2002]
Estimación del riesgo.
Proceso para asignar valores a la probabilidad
y las consecuencias de un riesgo.[ISO/IEC Guía 73:2002]
NOTA 1 En el contexto de esta norma, el término
"actividad" se utiliza en lugar del término "proceso" para
la estimación del riesgo. NOTA 2 En el contexto de esta norma, el término
"posibilidad" se utiliza en lugar del término
"probabilidad" para la estimación del riesgo.
Identificación del riesgo.
Proceso para encontrar, enumerar y caracterizar
los elementos de riesgo.[ISO/IEC Guía 73:2002]
NOTA En el contexto de esta norma, el término
"actividad" se utiliza en lugar del término "proceso" para
la identificación del riesgo.
Reducción del riesgo.
Acciones que se toman para disminuir la
probabilidad las consecuencias negativas, o ambas, asociadas con un
riesgo.[ISO/IEC Guía 73:2002]
NOTA En el contexto de esta norma, el término
"posibilidad" se utiliza en lugar del término
"probabilidad" para la reducción del riesgo.
Retención del riesgo.
Aceptación de la pérdida o ganancia proveniente
de un riesgo particular.[ISO/IEC Guía 73:2002]
NOTA En el contexto de los riesgos en la
seguridad de la información, únicamente se consideran las consecuencias
negativas (pérdidas) para la retención del riesgo
OCTAVE se centra en el estudio de riesgos organizacionales,
principalmente en los aspectos relacionados con el día a día de las empresas.
La evaluación inicia a partir de la identificación de los activos relacionados
con la información, definiendo este concepto con los elementos de TI que
representan valor para la empresa (sistemas de información, software, archivos
físicos o magnéticos, personas).
De esta forma, OCTAVE estudia la infraestructura de información y, más
importante aún, la manera como dicha infraestructura se usa. Se considera que,
con el fin de que una organización pueda cumplir su misión, los empleados de
todos los niveles necesitan entender qué activos relacionados con la
información son importantes y cómo deben
protegerlos.
OCTAVE contempla para su
implementación la conformación de un equipo mixto, compuesto de personas de las
áreas de negocios y de TI. Esta configuración explica el hecho de que los
funcionarios del negocio son los más indicados para identificar qué información
es importante en los procesos y cómo se usa dicha información; por su parte, el
equipo de TI, es el que conoce la configuración de la infraestructura y las
debilidades que pueden tener, estos dos puntos de vista son importantes para
tener una visión global de los riesgos de seguridad de los servicios de TI.
El proceso de evaluación contemplado por
OCTAVE se divide en tres fases:1. Construcción de perfiles de amenazas basadas en activos.
2. Identificación de vulnerabilidades en la infraestructura.
3. Desarrollo de estrategias y planes de seguridad.
El principal problema al que se está expuesto al hacer una evaluación
de este tipo es que no se identifiquen oportunamente riesgos importantes, a los
que eventualmente las organizaciones son vulnerables, por ello metodologías
como OCTAVE minimizan este problema. Es importante que en el análisis se
resalte lo valiosa que es la información, debido a que gran parte de los
riesgos provienen de “costumbres” internas de las organizaciones.
Por último, cabe mencionar que una evaluación de riesgos es muy
particular para cada organización y que no sería lo más adecuado desarrollar
evaluaciones a partir de resultados obtenidos de otras organizaciones.
NIST
SP 800-30
Características:
Ø Dedicada
al a análisis y la gestión de riesgos de la seguridad de la información.
Ø Desarrollada
por el NIST (National Institute of Standards and Techonogy). Es una agencia del
Departamento de Comercio de los Estados Unidos.
Ø La
publicación de esta guía data Julio de 2002.
Pasos:
Ø
1: Caracterización del sistema.
Ø
2: Identificación de amenaza.
Ø
3: Identificación de
vulnerabilidades
Ø
4:Control de Análisis
Ø
5: Determinación del riesgo
Ø
6: Análisis de Impacto
Ø
7: Determinación del riesgo
Ø
8: Recomendaciones de control
Ø
9: Resultado de la implementación
o documentación
Proceso:
Caracterización:
Se utiliza para
caracterizar un Sistema de TI y su entorno operativo
Hardware
Ø Software
Ø Sistema
de Interfaces conectividad interna y externa
Ø Datos
e Información
Ø Personas
que apoyan y utilizan el sistema
Ø Criticidad
de los Datos
Identificación de amenazas:
Ø Identificar
y Listar Amenazas potenciales
Ø Detección
de Métodos dirigidos a explotar una vulnerabilidad.
Ø Situación
que accidental o intencionalmente puedan llevar a la materialización de una
amenaza.
Vulnerabilidades
Ø Elaborar
lista de Vulnerabilidades (defectos y puntos débiles), que podrían ser
explotados por una Amenaza
Ø Hardware
Ø Software
Ø Personal
Ø Instalaciones
Análisis de control
Ø Analiza los controles implementados por la empresa
para la reducción de la (probabilidad), que una amenaza se materialice sobre el
sistema
Ø Detección de
intrusos
Ø Control de la
ejecución, acceso, cifrado y autenticación
Determinación de probabilidad
Ø Obtiene una
clasificación global del riesgo que indica la probabilidad de que una
vulnerabilidad materialice una amenaza.
Ø Factores:
Ø Amenaza
Ø Naturaleza de la
vulnerabilidad
Ø Existencia y
eficacia de los controles actuales
Análisis de impacto
Ø Medición del nivel
de Riesgo para determinar efectos adversos derivados de la materialización de
una amenaza
Ø Función del
sistema (procesos realizados por el sistema)
Ø Criticidad y
sensibilidad de los datos
Ø Servicios críticos
Determinación del riesgo
Ø Evalúa el nivel de
riesgo para el sistema.
Ø
Determinando la amenaza y la fuente de la misma
Ø Magnitud del
impacto al materializarse una amenaza
Recomendaciones de control
Ø Dar a conocer los
controles para la reducción de los Riesgos en los sistemas de las T.I, teniendo
en cuenta los siguientes factores:
Ø
Eficacia de las soluciones implantadas
Ø
Legislación y Regulación
Ø
Impacto operativo
Ø Seguridad y
Fiabilidad
Otras NIST
Ø SP 800-53A, Guía
para la Evaluación de la Seguridad de Controles de sistemas de Información
Federal y de organizaciones y cumple con el NIST SP 800-53. Evaluación inicial
y los procedimientos de evaluación continua.
Ø NIST-800-115, que
remplaza la NIST-800-42, proporciona directrices para las organizaciones en la
planificación y realización de las pruebas de seguridad de la información y
evaluaciones de la seguridad técnica, análisis de los resultados y el
desarrollo de la mitigación estrategias.
Ø NIST IR-7622, Esta
publicación tiene como objetivo proporcionar una amplia gama de prácticas que
ayudarán a mitigar el riesgo de la cadena de suministro. Se pretende dotar a
los departamentos y agencias federales con un conjunto teórico de los métodos
de suministro repetibles y comercialmente razonable de aseguramiento de la
cadena y las prácticas que ofrecen un medio para obtener un entendimiento de, y
la visibilidad en toda la cadena de suministro.
Ø SP 800-61, Su
objetivo es ayudar a las organizaciones en la mitigación de los riesgos de
incidentes de seguridad informática, proporcionando directrices prácticas sobre
cómo responder a los incidentes de manera eficaz y eficiente.
Es una metodología creada para ayudar a la CISO (Chief Information Security Officers) en la gestión de actividades de la seguridad de información.
Objetivos:
Proporcionar un método para la evaluación y gestión
en el dominio de la seguridad de la información.
Permitir un análisis directo e individual de situaciones
de riesgos descritas en los escenarios.
Proporcionar un conjunto de herramientas específicamente
diseñadas para la gestión de la seguridad a corto, mediano y largo plazo, adaptables
a diferentes niveles de madurez y tipos de acciones consideradas.
Usos:
Es u método para la evaluación y gestión del
riesgo, ha sido diseñada para una análisis preciso de situaciones de riesgo descritas
a través de escenarios.
La gestión de la seguridad es una función o
actividad que evoluciona con el tiempo. Las acciones correctivas son diferentes
en función de si la organización no ha llevado nada en el dominio o por el
contrario ha invertido tiempo y esfuerzo en el mismo.
Durante los primeros pasos en materia de seguridad,
es razonable realizar un balance de las medidas de seguridad y políticas existentes
en la organización, y comparar éstas con las mejores prácticas, para determinar
los pasos a seguir.
Tras evaluar la situación y tomar la decisión de
implantar la seguridad en la organización, se tienen que decidir actividades
concretas, estas se agrupan en planes, reglas corporativas, políticas o un
marco de referencia de seguridad, se pueden componer utilizando un enfoque
estructurado.
MEHARI se fundamenta en el principio de que las
herramientas requeridas en cada fase del desarrollo de la seguridad deben ser
consistentes. Por ellos, tiene que entenderse que cualquier resultado obtenido
en una fase debe poder ser reutilizado por otras herramientas o en otro lugar
de la organización.
Las diferentes herramientas y módulos de la metodología
MEHARI, diseñados para acompañar un análisis de riesgo directo e individual, se
pueden utilizar de forma separada unas de otras en cualquier etapa del
desarrollo de la seguridad, utilizando diferentes enfoques de gestión y
garantizando la consistencia de las decisiones resultantes.
Herramientas
y módulos:
Análisis
y evaluación de riesgos:
Durante más de 15 años, MEHARI ha proporcionado un
enfoque estructurado para la evaluación del riesgo.
Una situación de riesgo se puede caracterizar por
diferentes factores:
Ø
Factores estructurales (u organizacionales), los
cuales no dependen de medidas de seguridad, sino de la actividad principal de
la organización, su entorno y su contexto.
Ø
Factores de reducción del riesgo, que son una función
directa de las medidas de seguridad implementadas.
El análisis de la seguridad es necesario para
determinar el nivel máximo de gravedad como consecuencia de una situación de riesgo.
Esto es un factor estructural, mientras
que la evaluación de la seguridad se utilizará para evaluar los factores de
reducción del riesgo.
MEHARI permite la evaluación cualitativa y
cuantitativa de esos factores, y colabora en la evaluación de los niveles de
riesgo como consecuencia de ello: MEHARI integra herramientas y bases de datos
de conocimiento que son complemento esencial al marco mínimo propuesto por la
ISO /IEC 27005.
Análisis
Sistemático de Situaciones de Riesgo:
Con el fin de contestar la pregunta “¿Cuáles son
los riesgos sobre la organización y si son aceptables o no?”, es necesario un
enfoque estructurado que permita identificar todas las situaciones potenciales
de riesgo, con el fin de analizar individualmente las mas criticas y poder identificar
las acciones para reducir el riesgo a niveles aceptables.
El enfoque proporcionado por MEHARI se basa en una base
de datos de conocimientos y en procedimientos automatizados para la evaluación
de los factores que caracterizan cada uno de los riesgos, y que permite evaluar
el nivel. Además, el método proporciona asistencia para la selección de los
planes de tratamiento adecuado.
Con el fin de evaluar el riesgo, se proponen dos
opciones principales:
Ø
Utilizar una serie de funciones de la base de datos
de conocimiento que permiten integrar los resultados de los módulos de MEHARI.
Desde estas funciones es posible evaluar el nivel actual de riesgo y proponer
medidas adicionales para la reducción del mismo.
Ø
Emplear una aplicación software que proporciona una
interfaz más completa que permite simulaciones, visualizaciones y más
optimizadores.
Evaluaciones
de seguridad:
MEHARI, Integra cuestionarios de controles de
seguridad, lo que permite evaluar el nivel de calidad de los mecanismos y
soluciones encaminadas a la reducción del riesgo.
Proporciona un modelo de riesgos estructurado que
considera los factores de reducción del riesgo, en forma de servicios de
seguridad, con el fin de garantizar que cumplen con su cometido para la
credibilidad y fiabilidad del análisis de riesgos.
Otro Posible enfoque es la confección de los planes
de seguridad como resultado directo de la evaluación del estado de los
servicios de seguridad.
Las bases de datos de conocimiento de MEHARI se
pueden utilizar directamente para crear un marco de referencia de seguridad (o políticas
de seguridad) que contendrá y describirá el conjunto de reglas e instrucciones
de seguridad que deben seguir la empresa.
Análisis
de amenazas:
Seguridad es protege los activos. Sea cual sea la
orientación de la política de seguridad, hay un principio en el que coinciden
todos los responsables, debe existir un equilibrio entre las inversiones de
seguridad y la importancia de los principales retos empresariales.
El análisis del contexto de seguridad merece un
nivel prioritario y un método estricto y riguroso de evaluación.
MEHARI proporciona un modulo de análisis de
amenazas que proporciona dos tipos de resultados:
·
Una escala de valores de multifuncionamiento
·
Una clasificación de la información y de los
activos TI
La seguridad de los sistemas TI es habitual hablar
de la clasificación de la información y de la clasificación de los activos,
esta clasificación consiste en la definición, para cada tipo de información y
para cada activo TI, y para criterio de clasificación de los indicadores
representativos de la gravedad del criterio sobre el que impacta o la perdida
de la información o activo.
AS TNZS 4360: 2004
La norma AS/NZS 4360 suministra orientaciones genéricas para la gestión
de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones u
operaciones de cualquier entidad pública, privada o comunitaria, grupos o
individuos. Se trata de una instrucción amplia pero que permite la definición
de objetivos específicos de acuerdo con las necesidades de cada implementación.
La aplicación de la norma AS/NZS 4360 le garantiza a la organización una base
sólida para la aplicación de cualquier otra norma o metodología de gestión de
riesgos específica para un determinado segmento.
La norma AS / NZS 4360 no se enfoca tanto en la seguridad sino que se
preocupa más por la comprensión de los riesgos en los procesos administrativos
en general; sin embargo es un estándar que permite fijar una base sólida para
que se puedan adoptar otras normas.
El objetivo de esta norma es proporcionar una guía para permitir que empresas
privadas o comunitarias, grupos e individuos a logro con los siguientes
aspectos
• una base más segura y rigurosa para la toma de decisiones y la
planificación;
• una mejor identificación de oportunidades y amenazas;
• ganando valor de la incertidumbre y la variabilidad;
• Proactivo en lugar de re-activa gestión;
• Asignación y uso de recursos de manera más eficaz;
• Mejora de la gestión de incidentes y la reducción de la pérdida y el
costo de riesgo, incluyendo las primas de seguros comerciales;
• Mejora de la confianza de las partes interesadas y la confianza;
• Mejor cumplimiento de la legislación pertinente; y
• un mejor gobierno corporativo
CRAMM
Cramm es la metodología de
análisis de riesgos desarrollado por el Centro de Informática y la Agencia
Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.
Su versión inicial data de
1987 y la versión vigente es la 5.2.
Luego, Cramm puede definirse
como una Metodología:
•Para el análisis y gestión
de riesgos.
•Que aplica sus conceptos de
una manera formal, disciplinada y estructurada.
•Orientada a proteger la
confidencialidad, integridad y disponibilidad de un sistema y de sus activos.
•Que, aunque es considerada
cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por ésto se
considera mixta.
Cramm incluye una amplia
gama de herramientas de evaluación de riesgo que son totalmente compatibles con
27001 y ISO que se ocupan de tareas como:
•Activos de modelado de
dependencia
•Evaluación de impacto
empresarial
•Identificación y evaluación
de amenazas y vulnerabilidades
•Evaluar los niveles de
riesgo
•La identificación de los
controles necesarios y justificados sobre la base de la evaluación del riesgo.
•Un enfoque flexible para la
evaluación de riesgos.
ALCANCE
CRAMM es aplicable a todo
tipo de sistemas y redes de información y se puede aplicar en todas las etapas
del ciclo de vida del sistema de información, desde la planificación y
viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede
utilizar siempre que sea necesario para identificar la seguridad y/o requisitos
de contingencia para un sistema de información o de la red. Esto puede incluir:
•Durante la planificación de
la estrategia se hace un análisis de riesgos de alto nivel que puede ser
necesaria para identificar los requisitos de seguridad general o de emergencia
para la organización, los costos relativos y las implicaciones de su
implementación.
•En la etapa de estudio de
factibilidad, donde el alto nivel del riesgo puede ser requerido para
identificar los requisitos de seguridad general, la contingencia y los costos
asociados de las distintas opciones
•Durante el análisis del
negocio detallado y de entornos técnicos donde los problemas de seguridad o
contingencia asociados con la opción tomada pueden ser investigados o refinados
•Antes de la ejecución, para
garantizar que todos los requerimientos físicos, el personal, técnicas y
contramedidas de seguridad se han identificado e implementado
•En cualquier momento
durante la ejecución, donde existe preocupación por los problemas de seguridad
o contingencia.
Las herramientas de
evaluación de riesgos son muy flexibles y le permiten explorar diferentes temas
y responder a muchas preguntas diferentes. Ejemplo incluyen:
•La determinación de si
existe un requisito para los controles específicos, por ejemplo. Autenticación
fuerte, cifrado, de protección de energía o de redundancia de hardware.
•Identificar las funciones
de seguridad necesarias para una nueva aplicación.
•El desarrollo de los
requisitos de seguridad para un outsourcing o acuerdo de servicios gestionados.
•Revise los requisitos de
seguridad física y ambiental en un nuevo sitio.
•Examinar las consecuencias
de permitir a los usuarios conectarse a Internet.
•Demostrar el cumplimiento
de la legislación como la Ley de Protección de Datos.
•Desarrollar una política de
seguridad de un nuevo sistema.
•Auditoría de la idoneidad y
el estado de los controles de seguridad en un sistema existente.
•Demostrar que un auditor de
la norma ISO 27001 que la evaluación de un "ISO 27001 compatible con"
riesgo ha llevado a cabo y que los controles de seguridad apropiados se han
identificado.
•La evaluación de los
resultados
Cramm contiene una variedad de herramientas para ayudar a evaluar los
resultados de una evaluación de riesgos, incluyendo:
•La determinación de la prioridad relativa de los controles
•Grabación de los costos estimados de la aplicación de los controles
•Cambios de modelación para la evaluación del riesgo, usando "Qué
pasaría si"
•Volver de seguimiento a través de la evaluación de riesgos para
demostrar la justificación de controles específicos.
Uno de los principales aspectos de Cramm, es el soporte que proporciona
la herramienta informática que la soporta, con una base de datos de:
•Más de 400 tipos de Activos.
•Más de 25 tipos de Impacto.
•38 tipos de Amenaza.
•7 Tipos de medida del Riesgo.
•Más de 3500 salvaguardas.
Actualmente, Cramm soporta tres tipos de revisiones:
•CRAMM Expert
•CRAMM Express
•BS7799
Cramm proporciona un enfoque
disciplinado y organizado que abarca tanto técnicas (por ejemplo, el hardware y
software) y no técnicas (por ejemplo, físicos y humanos) los aspectos de
seguridad.
Con el fin de evaluar estos
componentes, CRAMM se divide en tres etapas:
1. Identificación y
valoración de activos
2. De amenazas y evaluación
de la vulnerabilidad
3. Contramedidas selección y
recomendación
Con respecto a esto, Cramm calcula los riesgos para cada grupo de
activos contra las amenazas a las que es vulnerable en un escala de 1 a 7,
utilizando una matriz de riesgo con valores predefinidos comparando los valores
de activos a las amenazas y niveles de vulnerabilidad. En esta escala,
"1" indica una línea de base de bajo nivel de exigencia de seguridad
y el “7 " indica un requisito de seguridad muy alto.
Basándose en los resultados del análisis de
riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red
que se consideran necesarias para gestionar los riesgos identificados. El
perfil de seguridad recomendado a continuación, se compara con los existentes
para Contramedidas, luego de identificar las áreas de debilidad o de mayor
exposición.
Las principales actividades
del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente
gráfico:
Cramm proporciona herramientas para respaldar los siguientes
procesos clave en la gestión de la continuidad del negocio:
•Análisis del impacto del negocio.
•Identificación de los objetivos de recuperación
del negocio.
•Identificación de los grupos clave de personal y
el tiempo dentro del cual debe ser operacional siguiendo una ruptura del
negocio.
•Las facilidades mínimas y servicios requeridos por
estos grupos de personal.
•Valoración de riesgos.
•Identificación de opciones para lograr los
objetivos de la continuidad del negocio, incluyendo back-up, capacidad para
adaptarse y dispositivos de reserva.
No hay comentarios.:
Publicar un comentario