UNIVERSIDAD TCNICA DE AMBATO

FACULTAD DE INGENIERA EN SISTEMAS,

ELECTRNICA E INDUSTRIAL
CARRERA DE ELECTRNICA Y COMUNICACIONES

COMUNICACIN INALMBRICA
Semestre: Octavo Electrnica

Tema: Metodologa de Anlisis de Riesgos CRAMM

Docente: Ing. Freddy Robalino

Nombres: Chipugsi Calero Oscar Rafael

Manobanda Guangasi Wilson Fernando
Quilligana Sumbana Carlos Estuardo
Sailema Medina Richard Eduardo

NDICE

I. OBJETIVO............................................................................................2
II........................................................FUNDAMENTACIN TERICA
3
III. FASES O ETAPAS DEL MTODO CRAMM................................3
IV. FICHAS, MATRICES Y HERRAMIENTAS USADAS EN
CRAMM....................................................................................................6
ETAPA 1:......................................................................................................6
ETAPA 2:......................................................................................................7
ETAPA 3:......................................................................................................8
V. GUA PLAN DE ANLISIS DE RIESGOS....................................11
VI. BIBLIOGRAFA.............................................................................13
VII. ANEXOS.......................................................................................14
Anexo 1....................................................................................................14
Anexo 2...................................................................................................15

I. OBJETIVO
2

Realizar un estudio de la metodologa de CRAMM para el anlisis y

gestin de riesgos de seguridad de informacin en redes inalmbricas
AI.

FUNDAMENTACIN TERICA

Germn (2009) seala:

Es un conjunto de normas y procedimientos que son aplicados para salvaguardar un
sistema informtico. Su finalidad es garantizar que todos los recursos que conforman el
sistema informtico sean utilizados para el fin que fueron creados sin ninguna
intromisin (p.11). Este conjunto de normas y procedimientos estn asociados
principalmente a metodologas que en contexto fueron creadas para la seguridad
informtica como es la metodologa CRAMM que es una herramienta fundamental para
un diseador de redes.
Que segn Calle (1997) es:
Una metodologa para el anlisis y gestin de riegos que aplica sus conceptos de
manera formal, estructurada y disciplinada y est orientada a proteger la
confidencialidad, integridad y disponibilidad de un sistema y de sus activos (p.58).
El desarrollo de la metodologa de CRAMM trabaja en dos fases o etapas que Gimnez
(2014) las destaca:
Una fase de anlisis que se estudian los activos, las vulnerabilidades, y las amenazas
para generar unos riesgos (). Una fase de gestin, que incluye unas contramedidas,
una implantacin, y por ultimo una fase de auditora (p.48).
Esto describe que el modelo es muy prctico porque indica el anlisis de los activos
fsicos de valor de la empresa. En el estudio de una red inalmbrica estos componentes
sern los routers, servidores, switches, etc que van a ser evaluados directamente.
Adems de las vulnerabilidades y las amenazas que permitan generar una lista de
contramedidas y recomendaciones.
Resumiendo, el anlisis y gestin de riesgos de CRAMM se enfoca principalmente en,
activos de datos, amenazas, vulnerabilidades, y la evaluacin de los niveles de riesgo,
posteriormente la gestin de riesgos orienta al personal a estar en condiciones de evitar
riesgos o amenazas, y adoptar contramedidas propias del modelo. (Calle, 1997, p.58)

III. FASES O ETAPAS DEL MTODO CRAMM

Fig. 1 Etapas del Mtodo CRAMM

Establecimiento de los objetivos de

Etapa 1

seguridad.

Definir

el

alcance

del

estudio.

Identificar

valorar

los

activos fsicos que forman

parte del sistema.

Determinar el valor de la
informacin

manejada,

mediante la entrevista a
los usuarios acerca de los
potenciales impactos en el
negocio

que

derivarse

de

podran
la

disponibilidad,

no
la

destruccin, la divulgacin
o la modificacin de dicha
informacin.

Identificar

valorar

los

activos de software que

forman parte del sistema.

Identificar y evaluar el tipo

y nivel de las amenazas
que

pueden

afectar

al

sistema.

Etapa 2

Evaluacin de los riesgos y los requisitos

Analizar

el

grado

de

vulnerabilidad del sistema

de seguridad para el sistema propuesto.

las

amenazas

identificadas.

Combinar la amenaza y la
vulnerabilidad con el valor
de los activos para calcular
una medida del riesgo.

Deben ser acordes con los

riesgos calculados en la
anterior etapa.

Etapa 3

Identificacin y seleccin de las

contramedidas.

CRAMM contiene una gran

biblioteca

de

contramedidas, que consta

de ms de 3.000 medidas
detalladas organizados en
ms de 70 agrupaciones
lgicas.

IV.

FICHAS, MATRICES Y HERRAMIENTAS USADAS EN CRAMM

(GUGLIERI, 1997) Manifiesta que:

Si bien cada compaa es la que mejor conoce cules son sus activos crticos y que
valores representan para ella, existen ciertos criterios generales que sirven de gua para
cuantificar y unificar, en una escala del 1 al 5, dichos valores
A continuacin se dan algunos criterios activos cuantificados que utiliza la metodologa
CRAMM
5

ETAPA 1:
Descripcin del proceso de identificacin de activos

FICHA N.- 1

Establecimiento de los objetivos de seguridad.

Esta hoja de trabajo le ayudar a determinar el valor de la informacin manejada, mediante la entrevista
a los usuarios acerca de los potenciales impactos en el negocio que podran derivarse de la no
disponibilidad, la destruccin, la divulgacin o la modificacin de dicha informacin.

Escenario 1:
Piense en las personas que conforman su organizacin. Esto podra incluir criterios
generales para conocer informacin sobre personal que ha sufrido algn dao fsico.

Seguridad de las personas

Valoracin

Daos fsicos menores a una persona

Daos fsicos a varias personas

Muerte de varias personas

Escenario 2:
Piense en las personas que conforman su organizacin. Las causas o molestias que ocasiona
la prdida de privacin personal.

Perdida de privacidad personal

Valoracin

Causa pequeas molestias

Origen de perjuicios importantes

Causa de perjuicios muy graves

Escenario 3:
Piense en las personas que conforman su organizacin. Las causas o molestias que ocasiona
la perdida de reputacin de la compaa

Perdida de reputacin de la compaa

Valoracin

Problema restringido en un departamento, sin

repercusin al publico

Problemas relacionados con un alto ejecutivo

de la compaa con repercusin al exterior de
la misma.

Gravsimo escndalo en el que la cpula de la

compaa tiene que dimitir y con graves
repercusiones externas.

ETAPA 2:
Evaluacin de los riesgos y los requisitos de
seguridad para el sistema propuesto.

FICHA N.- 2

Esta hoja de trabajo le ayudar a determinar la amenaza y la vulnerabilidad con el valor de los activos
para calcular una medida del riesgo.

Escenario 1:
Piense en las personas que conforman su organizacin. Costes asociados a la interrupcin
de actividades
Costes asociados a la interrupcin de
actividades

Valoracin

Menos de 1000

Entre 100.000 y 300.000

Ms de 30.000.000

Escenario 2:
Piense en las personas que conforman su organizacin. Incumplimiento de obligaciones
legales por la compaa

Incumplimiento de obligaciones legales

por la compaa

Valoracin

Juicio en el que los daos probables o

perjuicios no excedan de $2000.

Juicio en el que los daos o perjuicios puedan

exceder de $10000, bien exista una querella
por la que un director o empleado resulte
implicado

Situacin grave que pueda originar penas de

prisin en personas relevantes de la compaa
y amplias repercusiones negativas en el gran
publico

Escenario 3:
Piense en las personas que conforman su organizacin. Prdidas econmicas por
informacin a la competencia

Prdidas econmicas por informacin a la

competencia

Valoracin

Menos de 1000

Entre 1.000.000 y 10.000.000

Ms de 10.000.000

ETAPA 3:
FICHA N.- 3

Alcance del estudio.

Esta hoja de trabajo le ayudar a determinar en qu campo se encuentra orientado la investigacin.

Escenario 1:
Tipos de amenaza al recomendadas segn CRAMM para la creacin de activos en una
empresa
Amenaza

Si

No

- Fuego (sala/edificio)
- Inundacin (sala/edificio)
-

Desastres naturales

Disminucin de la plantilla

Daos intencionados por personal ajeno

Daos intencionados por personal propio

Robo por personal ajeno

Robo por personal propio

Infiltracin en el sistema de personal ajeno

Infiltracin del sistema de personal propio

Uso indebido de recursos

Fallo de la unidad central de proceso

Fallo de memoria

Fallo de las unidades de entrada/salida

Fallo del procesador de comunicaciones

Fallo de equipos de redes de rea extensa

Fallo de equipos de redes de rea local

Fallo de alimentacin elctrica

Fallos de sistemas de acondicionamiento

-Fallo del sistema (de su sistema operativo y otro

software)
Error de operador del sistema
-

Error de operadores de redes de rea extensa

Error de operadores de redes de rea local

Error de programador de aplicaciones

Error de programador del sistema

Error de mantenimiento

Error de usuario

Error de microordenadores

- Fallo de servicio portador de las redes de rea

extensa.

FICHA N.- 4

Determinacin del nivel de riesgo

Esta hoja de trabajo le ayudar a determinar el nivel de riesgo

Escenario 1:
La determinacin del nivel de riesgo es el resultado de confrontar el impacto y la
probabilidad con los controles existentes, al interior de los diferentes procesos y
procedimientos que se realizan.
La valoracin consiste en asignar a los riesgos calificaciones dentro de un
rango, que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3),
moderada (4) o alta (5)), dependiendo de la combinacin entre impacto y
probabilidad. En la siguiente grfica, se puede observar un ejemplo de
esquema de valorizacin de riesgo en funcin de la probabilidad e impacto de
tipo numrico con escala:
a)

b)

10

FICHA N.- 5

Entrevista a Recursos Humanos

Esta hoja de trabajo le ayudar a conocer especficamente la infraestructura de hardware y software de la

empresa, para identificar las diferentes vulnerabilidades y amenazas de la empresa, y as brindarles un
anlisis de riesgo efectivo.
Escenario 1:
Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que esta cumpla
con los requisitos y expectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
muchas gracias por su colaboracin.
Preguntas

Respuesta

Cul es el rubro de la Empresa?

Con cuntos departamentos cuenta la empresa?

Con cuantas computadoras cuenta cada departamento?

Cuenta con un servidor de Internet y de datos la empresa?

Tienen un departamento encargado de la administracin
del servidor, o este trabajo lo realiza una persona
especfica?
Estos departamentos tienen acceso a Internet?

Qu usuarios son los que tienen acceso a Internet?

Han implementado anteriormente algn sistema de

prevencin de riesgos para la empresa?

Qu tan frecuentemente lo han implementado?

Estara usted de acuerdo que como grupo de consultores le

brindemos una metodologa de anlisis de riesgo.

11

FICHA N.- 6

Entrevista a Departamento Redes

Esta hoja de trabajo le ayudar a realizar una entrevista a una persona encargada del otro departamento
que cuenta con un acceso a toda la informacin de la empresa, y los activos que esta empresa posee.

Escenario 1:
Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que esta cumpla
con los requisitos y expectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
muchas gracias por su colaboracin.
Preguntas

Respuesta

El rea de informtica cuenta con un lugar seguro para el

almacenamiento de los datos fsicamente?
Los equipos de cmputo cuentan con un sistema de
alimentacin elctrica?

De qu tipo?
El sistema de cmputo cuenta con un cableado seguro?

Con que tipo de hardware cuenta la empresa?

Qu tipo de servidor tienen?

Cules son los servicios de Internet a los que tienen

acceso los usuarios?

Qu horas son hbiles para acceder a estos servicios?

Con que tipo de aplicaciones cuenta el equipo?

Con que sistema operativo cuneta el equipo?

Qu departamentos cuentan con ese sistema operativo?

12

Estos equipos de cmputo poseen antivirus?

Qu antivirus utilizan. Se encuentran registrados con

alguna licencia?
El antivirus que utilizan actualmente cumple con los
requerimientos de la empresa.

Utilizan en el servidor algn tipo de firewall?

Las personas que accedan al equipo de cmputo entran con

alguna contrasea.
Las aplicaciones consideradas fundamentales cuentan con
algn tipo de contrasea o usuarios especficos?

V. GUA PLAN DE ANLISIS DE RIESGOS

ETAPA

DESCRIPCIN

HERRAMIENTAS

Reunin con
- Definir el alcance
los
del estudio.
administradore
s de redes de la - Identificar y valorar
los activos fsicos
Facultad de
que forman parte
Ciencias
del sistema.
Humanas y de
la Educacin.
- Determinar el valor
de la informacin
manejada,
mediante la
entrevista a los
usuarios acerca de
los potenciales
impactos en el
negocio que
podran derivarse
de la no
disponibilidad, la
destruccin, la
13

Entrevistas
-Ficha N.-5
-Ficha N.-3
-Ficha N.-1

FUENTES DE
INFOMRACIN
Infraestructura
Administracin
Departamento de
seguridad informtica

divulgacin o la
modificacin de
dicha informacin.
- Identificar y valorar

los activos de
software que
forman parte del
sistema.
Evaluacin de - Identificar y
los riesgos y los
evaluar el tipo y
requisitos de
nivel de las
seguridad para
amenazas que
el sistema
pueden afectar al
propuesto
sistema.
- Analizar el grado
de vulnerabilidad
del sistema a las
amenazas
identificadas.

-Ficha N.-2
-Ficha N.-4 parte a
-Entrevista
-Ficha N.-6

-Administrador de
redes.
-Autoridades de la
facultad
-Estudiantes

- Combinar la
amenaza y la
vulnerabilidad con
el valor de los
activos para
calcular una
medida del riesgo.

Identificacin y seleccin de las contramedidas.

Determinacin
de Amenazas

- Se organiza en una
matriz las
amenazas
encontradas en la
red para ser
valoradas.

--Ficha N.-4 parte a

-Administrador de
redes
-Autoridades de la
Facultad.

-Ficha N.-4 parte b

-Administrador de
redes

- Se expone dicha
matriz al
administrador de
redes.
Determinacin
probabilidad
de ocurrencia

- Deben ser acordes

con los riesgos
calculados en la
anterior etapa.
- Se revisa
nuevamente la
informacin con el
cliente.
- Se priorizan
14

actividades para
dar solucin a las
amenazas ms
fuertes.
Tratamiento de - Elaboracin de un
Riesgos
plan de
tratamiento,
enfocndonos
especialmente al
tema de seguridad
inalmbrica
Contramedidas - Se dan las
soluciones de
acuerdo a los
riesgos evaluados,
y teniendo en
cuenta el
costo/beneficio
para la facultad

VI.

BIBLIOGRAFA
15

-Documentos de
IEEE.

-Administrador de
Redes

-CRAMM contiene
-Administrador de
una gran biblioteca
Redes
de contramedidas,
que consta de ms de
3.000 medidas
detalladas
organizados en ms
de 70 agrupaciones
lgicas

Alcidez, G. (2009). Seguridad Informtica. Antioquia, Colombia. Recuperado

de: http://biblioteca.udea.edu.co/manuales/seguridad.pps

Calle, J. (1997). Reingeniera y Seguridad en el ciberespacio. Madrid, Espaa:

Ediciones Das de Santos.

Gimnez, J. (2014). Seguridad en Equipos Informticos. Mlaga, Espaa: IC

Editorial

Heredero, C., Lpez, J. (2006). Direccin y Gestin de los Sistemas de

Informacin en la empresa: una visin integradora. Madrid, Espaa: ESIC

Torres, G. (2015). Estudio comparativo entre las metodologas MAGERIT Y

CRAMM, utilizadas para Anlisis y Gestin de Riesgos de Seguridad de la
Informacin (tesis pregrado). Universidad del Azuay, Cuenca, Ecuador.

VII. ANEXOS

16

Anexo 1
GUGLIERI, C. (1997). Reingenieria y seguridad en el ciberespacio. Madrid: Diaz de
Santos.

17

Anexo 2
espaol, M. d. (junio de 2014). Estrategia de la informacin y seguridad en el
ciberespacio. Espaa: NIPO.

18

Anexo 3
Bernal, Solrzano, Ruano, Hernndez, C. (2009). METODOLOGIA DE ANALISIS DE
RIESGO DE LA EMPRESA LA CASA DE LAS BATERIAS S.A DE C.V. San Salvador.

19