Herramienta de Evaluacion de Riesgo
Herramienta de Evaluacion de Riesgo-CRAMM METODOLOGÍAS DE ANÁLISIS DE RIESGOS Que es el Análisis de Riesgos? El análisis
Views 89 Downloads 3 File size 331KB
Recommend stories
- Author / Uploaded
- JavierMontana
Citation preview
Herramienta de Evaluacion de Riesgo-CRAMM METODOLOGÍAS DE ANÁLISIS DE RIESGOS Que es el Análisis de Riesgos? El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir. El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención. Existen tres tipologías de métodos utilizados para determinar el nivel de riesgos de nuestro negocio. Los métodos pueden ser:
1. Métodos Cualitativos 2. Métodos Cuantitativos 3. Métodos Semicuantitativos.
Métodos Cualitativos:
1. Es el método de análisis de riesgos más utilizado en la toma de decisiones en proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e intuición para la toma de decisiones. 2. Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis completo. 3. O bien porque los datos numéricos son inadecuados para un análisis mas cuantitativo que sirva de base para un análisis posterior y mas detallado del riesgo global del emprendedor. 4. Los métodos cualitativos incluyen: o Brainstorming o Cuestionario y entrevistas estructuradas o Evaluación para grupos multidisciplinarios o Juicio de especialistas y expertos (Técnica Delphi)
Métodos Semi-cuantitativos:
1. Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más detalladas de la probabilidad y la consecuencia. 2. Estas clasificaciones se demuestran en relación con una escala apropiada para calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos:
1. Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto. 2. Los métodos cuantitativos incluyen: o Análisis de probabilidad o Análisis de consecuencias o Simulación computacional
Normas Internacionales sobre el Análisis de riesgos
AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general). BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información. ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001. UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.
Pero no sólo disponemos de normas de análisis de riesgos, también existen metodologías ampliamente reconocidas y de uso generalizado. Las principales son:
MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504. EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información. CRAMM, metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.
En definitiva, existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes... y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.
HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS. Cramm es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido. El significado del acrónimo proviene de CCTARisk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. Luego, Cramm puede definirse como una Metodología:
Para el análisis y gestión de riesgos. Que aplica sus conceptos de una manera formal, disciplinada y estructurada. Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos. Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por ésto se considera mixta.
Cramm incluye una amplia gama de herramientas de evaluación de riesgo que son totalmente compatibles con 27001 y ISO que se ocupan de tareas como:
Activos de modelado de dependencia Evaluación de impacto empresarial Identificación y evaluación de amenazas y vulnerabilidades Evaluar los niveles de riesgo La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo. Un enfoque flexible para la evaluación de riesgos.
ALCANCE CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede aplicar en todas las etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un sistema de información o de la red. Esto puede incluir:
Durante la planificación de la estrategia se hace un análisis de riesgos de alto nivel que puede ser necesaria para identificar los requisitos de seguridad general o de emergencia para la organización, los costos relativos y las implicaciones de su implementación.
En la etapa de estudio de factibilidad, donde el alto nivel del riesgo puede ser requerido para identificar los requisitos de seguridad general, la contingencia y los costos asociados de las distintas opciones
Durante el análisis del negocio detallado y de entornos técnicos donde los problemas de seguridad o contingencia asociados con la opcion tomada pueden ser investigados o refinados
Antes de la ejecución, para garantizar que todos los requerimientos físicos, el personal, técnicas y contramedidas de seguridad se han identificado e implementado
En cualquier momento durante la ejecución, donde existe preocupación por los problemas de seguridad o contingencia, por ejemplo.en respuesta a una amenaza nueva, mayor o después de un fallo de seguridad
Cramm herramientas de evaluación de riesgos se puede utilizar para responder a las preguntas individuales, para buscar en las organizaciones, procesos, aplicaciones y sistemas o para investigar las infraestructuras completas u organizaciones. Los usuarios tienen la opción de una herramienta de evaluación de riesgos rápido o un análisis completo, más riguroso. Las herramientas de evaluación de riesgos son muy flexibles y le permiten explorar diferentes
temas y responder a muchas preguntas diferentes. Ejemplo incluyen:
La determinación de si existe un requisito para los controles específicos, por ejemplo. autenticación fuerte, cifrado, de protección de energía o de redundancia de hardware Identificar las funciones de seguridad necesarias para una nueva aplicación El desarrollo de los requisitos de seguridad para un outsourcing o acuerdo de servicios gestionados Revise los requisitos de seguridad física y ambiental en un nuevo sitio Examinar las consecuencias de permitir a los usuarios conectarse a Internet Demostrar el cumplimiento de la legislación como la Ley de Protección de Datos Desarrollar una política de seguridad de un nuevo sistema Auditoría de la idoneidad y el estado de los controles de seguridad en un sistema existente Demostrar que un auditor de la norma ISO 27001 que la evaluación de un "ISO 27001 compatible con" riesgo ha llevado a cabo y que los controles de seguridad apropiados se han identificado La evaluación de los resultados
Cramm contiene una variedad de herramientas para ayudar a evaluar los resultados de una evaluación de riesgos, incluyendo:
La determinación de la prioridad relativa de los controles Grabación de los costos estimados de la aplicación de los controles Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría si" Volver de seguimiento a través de la evaluación de riesgos para demostrar la justificación de controles específicos.
Uno de los principales aspectos de Cramm, es el soporte que proporciona la herramienta informática que la soporta, con una base de datos de:
Más de 400 tipos de Activos. Más de 25 tipos de Impacto. 38 tipos de Amenaza. 7 Tipos de medida del Riesgo. Más de 3500 salvaguardas.
Actualmente, Cramm soporta tres tipos de revisiones:
CRAMM Expert CRAMM Express BS7799
DESCRIPCIÓN DE LA METODOLOGÍA La mayoría de los software de gestión de riesgos usados hoy día centran su atención en proteger los bienes más costosos de la organización, sin embargo, no en todos los casos es la mejor. Cramm es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión. La herramienta, que ha sometida a revisiones importantes (actualmente en versión 4), es posteriormente comercializada y ahora distribuidas por una firma del Reino Unido, Insight Consulting, como "Cramm Manager" (Junto a la U. K. Servicio de Seguridad). Cramm proporciona un enfoque disciplinado y organizado que abarca tanto técnicas (por ejemplo, el hardware y software) y no técnicas (por ejemplo, físicos y humanos) los aspectos de seguridad. Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas:
1. Identificación y valoración de activos 2. De amenazas y evaluación de la vulnerabilidad 3. Contramedidas selección y recomendación
Con respecto a esto, Cramm calcula los riesgos para cada grupo de activos contra las amenazas a las que es vulnerable en un escala de 1 a 7, utilizando una matriz de riesgo con valores predefinidos comparando los valores de activos a las amenazas y niveles de vulnerabilidad. En esta escala, "1" indica una línea de base de bajo nivel de exigencia de seguridad y el “7 " indica un requisito de seguridad muy alto. Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.
1. Identificación y valoración de activos
Cramm permite al analista a identificar la física (por ejemplo, el hardware de TI), software (ej. paquetes de aplicaciones), los datos (por ejemplo, la información contenida en el sistema de TI) y los activos de localización que componen el sistema de información. Cada uno de estos activos pueden ser valorados. Los activos físicos se valoran en términos de costo de reemplazo. Los datos y activos de software se valoran en términos del impacto que se produciría si la información fuera a estar disponible, destruida, divulgada o modificada. 2. De amenazas y evaluación de la vulnerabilidad Después de haber comprendido la magnitud de los problemas potenciales, el siguiente paso es identificar qué tan probable que estos problemas se produzcan. Cramm cubre toda la gama de amenazas deliberadas o accidentales que puedan afectar a los sistemas de información, incluyendo:
Piratería Los virus Los fallos del equipo o software Daños intencionales o el terrorismo Los errores por parte de personas Esta etapa concluye con el cálculo del nivel del riesgo subyacente o real.
3. Contramedidas selección y recomendación Cramm contiene una gran biblioteca de las contramedidas que consta de más de 3000 medidas detalladas organizados en más de 70 agrupaciones lógicas. El software que utiliza Cramm, toma en cuenta las medidas de los riesgos determinados durante la etapa anterior y los compara con el nivel de seguridad (un nivel de umbral asociado con cada contramedida) con el fin de identificar si los riesgos son suficientemente grandes para justificar la instalación de una determinado contramedida. Cramm ofrece una serie de servicios de ayuda, incluyendo marcha atrás. Las funciones de priorización y presentación de informes para ayudar en la implementación de las contramedidas y la gestión activa de los riesgos identificados. Las principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:
HERRAMIENTAS PARA LA CONTINUIDAD DEL NEGOCIO: Cramm proporciona herramientas para respaldar los siguientes procesos clave en la gestión de la continuidad del negocio:
Análisis del impacto del negocio. Identificación de los objetivos de recuperación del negocio. Identificación de los grupos clave de personal y el tiempo dentro del cual debe ser operacional siguiendo una ruptura del negocio. Las facilidades mínimas y servicios requeridos por estos grupos de personal. Valoración de riesgos. Identificación de opciones para lograr los objetivos de la continuidad del negocio, incluyendo back-up, capacidad para adaptarse y dispositivos de reserva.
Bibliografía
Analisis de Riesgos:http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo Gestion de Riesgos / Analisis y Cuantificacion: http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages /pdf/metodologia/4AnalisisycuantificaciondelRiesgo(AR)_es.pdf J. A. Calle Guglieri, Reingenieria y Seguridad en el ciberespacio: http://books.google.com.co/books?id=qB3P2GuD3EsC&pg=PA58&lpg=PA58&dq=m etodologia+de+analisis+y+gestion+de+riesgos+cramm&source=bl&ots=uPp3DJhbKw&sig=Mw5Kt QAat9mi6HM_DP12N6rYQl8&hl=es&sa=X&ei=cuBUKnBCcqoywGzhYCADQ&ved=0CGgQ6AEwCA#v=onepage&q=metodologia%20de%20analisis%2 0y%20gestion%20de%20riesgos%20cramm&f=false Antonio Huerta, Introducción al Análisis de Riesgos: http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgosmetodologias-i/