Professional Documents
Culture Documents
COMUNICACIN INALMBRICA
Semestre: Octavo Electrnica
NDICE
I. OBJETIVO............................................................................................2
II........................................................FUNDAMENTACIN TERICA
3
III. FASES O ETAPAS DEL MTODO CRAMM................................3
IV. FICHAS, MATRICES Y HERRAMIENTAS USADAS EN
CRAMM....................................................................................................6
ETAPA 1:......................................................................................................6
ETAPA 2:......................................................................................................7
ETAPA 3:......................................................................................................8
V. GUA PLAN DE ANLISIS DE RIESGOS....................................11
VI. BIBLIOGRAFA.............................................................................13
VII. ANEXOS.......................................................................................14
Anexo 1....................................................................................................14
Anexo 2...................................................................................................15
I. OBJETIVO
2
FUNDAMENTACIN TERICA
seguridad.
Definir
el
alcance
del
estudio.
Identificar
valorar
los
Determinar el valor de la
informacin
manejada,
mediante la entrevista a
los usuarios acerca de los
potenciales impactos en el
negocio
que
derivarse
de
podran
la
disponibilidad,
no
la
destruccin, la divulgacin
o la modificacin de dicha
informacin.
Identificar
valorar
los
pueden
afectar
al
sistema.
Etapa 2
Analizar
el
grado
de
las
amenazas
identificadas.
Combinar la amenaza y la
vulnerabilidad con el valor
de los activos para calcular
una medida del riesgo.
Etapa 3
de
IV.
ETAPA 1:
Descripcin del proceso de identificacin de activos
FICHA N.- 1
Esta hoja de trabajo le ayudar a determinar el valor de la informacin manejada, mediante la entrevista
a los usuarios acerca de los potenciales impactos en el negocio que podran derivarse de la no
disponibilidad, la destruccin, la divulgacin o la modificacin de dicha informacin.
Escenario 1:
Piense en las personas que conforman su organizacin. Esto podra incluir criterios
generales para conocer informacin sobre personal que ha sufrido algn dao fsico.
Valoracin
Escenario 2:
Piense en las personas que conforman su organizacin. Las causas o molestias que ocasiona
la prdida de privacin personal.
Valoracin
Escenario 3:
Piense en las personas que conforman su organizacin. Las causas o molestias que ocasiona
la perdida de reputacin de la compaa
Valoracin
ETAPA 2:
Evaluacin de los riesgos y los requisitos de
seguridad para el sistema propuesto.
FICHA N.- 2
Esta hoja de trabajo le ayudar a determinar la amenaza y la vulnerabilidad con el valor de los activos
para calcular una medida del riesgo.
Escenario 1:
Piense en las personas que conforman su organizacin. Costes asociados a la interrupcin
de actividades
Costes asociados a la interrupcin de
actividades
Valoracin
Menos de 1000
Ms de 30.000.000
Escenario 2:
Piense en las personas que conforman su organizacin. Incumplimiento de obligaciones
legales por la compaa
Valoracin
Escenario 3:
Piense en las personas que conforman su organizacin. Prdidas econmicas por
informacin a la competencia
Valoracin
Menos de 1000
Ms de 10.000.000
ETAPA 3:
FICHA N.- 3
Escenario 1:
Tipos de amenaza al recomendadas segn CRAMM para la creacin de activos en una
empresa
Amenaza
Si
No
- Fuego (sala/edificio)
- Inundacin (sala/edificio)
-
Desastres naturales
Disminucin de la plantilla
Fallo de memoria
Error de mantenimiento
Error de usuario
Error de microordenadores
FICHA N.- 4
Escenario 1:
La determinacin del nivel de riesgo es el resultado de confrontar el impacto y la
probabilidad con los controles existentes, al interior de los diferentes procesos y
procedimientos que se realizan.
La valoracin consiste en asignar a los riesgos calificaciones dentro de un
rango, que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3),
moderada (4) o alta (5)), dependiendo de la combinacin entre impacto y
probabilidad. En la siguiente grfica, se puede observar un ejemplo de
esquema de valorizacin de riesgo en funcin de la probabilidad e impacto de
tipo numrico con escala:
a)
b)
10
FICHA N.- 5
Respuesta
11
FICHA N.- 6
Esta hoja de trabajo le ayudar a realizar una entrevista a una persona encargada del otro departamento
que cuenta con un acceso a toda la informacin de la empresa, y los activos que esta empresa posee.
Escenario 1:
Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que esta cumpla
con los requisitos y expectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
muchas gracias por su colaboracin.
Preguntas
Respuesta
De qu tipo?
El sistema de cmputo cuenta con un cableado seguro?
12
ETAPA
DESCRIPCIN
HERRAMIENTAS
Reunin con
- Definir el alcance
los
del estudio.
administradore
s de redes de la - Identificar y valorar
los activos fsicos
Facultad de
que forman parte
Ciencias
del sistema.
Humanas y de
la Educacin.
- Determinar el valor
de la informacin
manejada,
mediante la
entrevista a los
usuarios acerca de
los potenciales
impactos en el
negocio que
podran derivarse
de la no
disponibilidad, la
destruccin, la
13
Entrevistas
-Ficha N.-5
-Ficha N.-3
-Ficha N.-1
FUENTES DE
INFOMRACIN
Infraestructura
Administracin
Departamento de
seguridad informtica
divulgacin o la
modificacin de
dicha informacin.
- Identificar y valorar
los activos de
software que
forman parte del
sistema.
Evaluacin de - Identificar y
los riesgos y los
evaluar el tipo y
requisitos de
nivel de las
seguridad para
amenazas que
el sistema
pueden afectar al
propuesto
sistema.
- Analizar el grado
de vulnerabilidad
del sistema a las
amenazas
identificadas.
-Ficha N.-2
-Ficha N.-4 parte a
-Entrevista
-Ficha N.-6
-Administrador de
redes.
-Autoridades de la
facultad
-Estudiantes
- Combinar la
amenaza y la
vulnerabilidad con
el valor de los
activos para
calcular una
medida del riesgo.
- Se organiza en una
matriz las
amenazas
encontradas en la
red para ser
valoradas.
-Administrador de
redes
-Autoridades de la
Facultad.
-Administrador de
redes
- Se expone dicha
matriz al
administrador de
redes.
Determinacin
probabilidad
de ocurrencia
actividades para
dar solucin a las
amenazas ms
fuertes.
Tratamiento de - Elaboracin de un
Riesgos
plan de
tratamiento,
enfocndonos
especialmente al
tema de seguridad
inalmbrica
Contramedidas - Se dan las
soluciones de
acuerdo a los
riesgos evaluados,
y teniendo en
cuenta el
costo/beneficio
para la facultad
VI.
BIBLIOGRAFA
15
-Documentos de
IEEE.
-Administrador de
Redes
-CRAMM contiene
-Administrador de
una gran biblioteca
Redes
de contramedidas,
que consta de ms de
3.000 medidas
detalladas
organizados en ms
de 70 agrupaciones
lgicas
VII. ANEXOS
16
Anexo 1
GUGLIERI, C. (1997). Reingenieria y seguridad en el ciberespacio. Madrid: Diaz de
Santos.
17
Anexo 2
espaol, M. d. (junio de 2014). Estrategia de la informacin y seguridad en el
ciberespacio. Espaa: NIPO.
18
Anexo 3
Bernal, Solrzano, Ruano, Hernndez, C. (2009). METODOLOGIA DE ANALISIS DE
RIESGO DE LA EMPRESA LA CASA DE LAS BATERIAS S.A DE C.V. San Salvador.
19