You are on page 1of 19

UNIVERSIDAD TCNICA DE AMBATO

FACULTAD DE INGENIERA EN SISTEMAS,


ELECTRNICA E INDUSTRIAL

CARRERA DE ELECTRNICA Y COMUNICACIONES

COMUNICACIN INALMBRICA

Semestre: Octavo Electrnica

Tema: Metodologa de Anlisis de Riesgos CRAMM

D!e"te: Ing. Freddy Robalino

Nm#res: Chipugsi Calero Oscar Raael


Manobanda !uangasi "ilson Fernando
#uilligana $u%bana Carlos Estuardo
$aile%a Medina Richard Eduardo
NDICE

I$ OB%ETIVO............................................................................................&
II$.......................................................FUNDAMENTACIN TERICA
'
III$ FASES O ETA&AS DEL MTODO CRAMM................................'
IV$ FIC'AS, MATRICES Y 'ERRAMIENTAS USADAS EN
CRAMM....................................................................................................(
ETA&A (:......................................................................................................(
ETA&A ):......................................................................................................)

ETA&A *:......................................................................................................*
V$ GUA &LAN DE ANLISIS DE RIESGOS....................................++
VI$ BIBLIOGRAFA.............................................................................+'
VII$ ANE+OS.......................................................................................+,
Ane-o +....................................................................................................+,
Ane-o &...................................................................................................+

I$ OB%ETIVO

2
Reali/ar un estudio de la %etodologa de CRAMM para el anlisis y
gestin de riesgos de seguridad de inor%acin en redes inal%bricas

AI$ FUNDAMENTACIN T ERICA


!er%n 0&1123 se4ala5
6Es un con7unto de nor%as y procedi%ientos 8ue son aplicados para salvaguardar un
siste%a inor%tico. $u inalidad es garanti/ar 8ue todos los recursos 8ue conor%an el
siste%a inor%tico sean utili/ados para el in 8ue ueron creados sin ninguna
intro%isin9 0p.++3. Este con7unto de nor%as y procedi%ientos estn asociados
principal%ente a %etodologas 8ue en conte-to ueron creadas para la seguridad
inor%tica co%o es la %etodologa CRAMM 8ue es una herra%ienta unda%ental para
un dise4ador de redes.
#ue seg:n Calle 0+22)3 es5

6;na %etodologa para el anlisis y gestin de riegos 8ue aplica sus conceptos de
%anera or%al< estructurada y disciplinada y est orientada a proteger la
conidencialidad< integridad y disponibilidad de un siste%a y de sus activos9 0p.*3.
El desarrollo de la %etodologa de CRAMM traba7a en dos ases o etapas 8ue !i%=ne/
0&1+,3 las destaca5
6;na ase de anlisis 8ue se estudian los activos< las vulnerabilidades< y las a%ena/as
para generar unos riesgos 0>3. ;na ase de gestin< 8ue incluye unas contra%edidas<
una i%plantacin< y por ulti%o una ase de auditora9 0p.,*3.
Esto describe 8ue el %odelo es %uy prctico por8ue indica el anlisis de los activos
sicos de valor de la e%presa. En el estudio de una red inal%brica estos co%ponentes
sern los routers< servidores< s?itch es< etc 8ue van a ser evaluados directa%ente.
Ade%s de las vulnerabilidades y las a%ena/as 8ue per%itan generar una lista de
contra%edidas y reco%endaciones.
Resu%iendo< el anlisis y gestin de riesgos de CRAMM se enoca principal%ente en<
activos de datos< a%ena/as< vulnerabilidades< y la evaluacin de los niveles de riesgo<
posterior%ente la gestin de riesgos orienta al personal a estar en condiciones de evitar
riesgos o a%ena/as< y adoptar contra%edidas propias del %odelo. 0Calle< +22)< p.*3

III$ FASES O ETA&AS DEL MTODO CRAMM

3
Fig. 1 Etapas del Mtodo CRAMM

Estableci%iento de los ob7etivos de Defnir el alcance del


Etaa ( seguridad.
estudio.

Identifcar y valorar los


activos sicos que orman
parte del sistema.

Determinar el valor de la
inormacin manejada,
mediante la entrevista a
los usuarios acerca de los
potenciales impactos en el
negocio que podran
derivarse de la no
disponibilidad, la
destruccin, la divulgacin
o la modifcacin de dica
inormacin.

Identifcar y valorar los

!
activos de sot"are que
orman parte del sistema.
Identifcar y evaluar el tipo
y nivel de las amena#as
que pueden aectar al
sistema.

$nali#ar el grado de
Evaluacin de los riesgos y los re8uisitos vulnerabilidad del sistema
Etaa )
de seguridad para el siste%a propuesto. a las amena#as
identifcadas.

%ombinar la amena#a y la
vulnerabilidad con el valor

de los activos para calcular


una medida del riesgo.
Deben ser acordes con los
riesgos calculados en la
anterior etapa.

%&$'' contiene una gran


Identiicacin y seleccin de las biblioteca de
Etaa *
contra%edidas.
contramedidas, que consta

de m(s de 3.))) medidas


detalladas organi#ados en
m(s de *) agrupaciones
lgicas.

IV$ FIC'AS, MATRICES Y 'ERRAMIENTAS USADAS E N CRAMM

0!;!@IERI< +22)3 Maniiesta 8ue5


6$i bien cada co%pa4a es la 8ue %e7or conoce cules son sus activos crticos y 8ue
valores representan para ella< e-isten ciertos criterios generales 8ue sirven de gua para
cuantiicar y uniicar< en una escala del + al < dichos valores9

A continuacin se dan algunos criterios activos cuantiicados 8ue utili/a la %etodologa


CRAMM

+
ETA&A (:

escripcin del proceso de identiicacin de activos

FICBA .D + Esta#-e!.m.e"t /e -s #0et.1s /e se23r./a/$

Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e- 1a-r /e -a ."7rma!.8" ma"e0a/a, me/.a"te -a e"tre1.sta
a -s 3s3ar.s a!er!a /e -s te"!.a-es .ma!ts e" e- "e2!. 93e /ra" /er.1arse /e -a "
/.s".#.-./a/, -a /estr3!!.8", -a /.13-2a!.8" -a m/.7.!a!.8" /e /.!4a ."7rma!.8"$

Escenario 1:
iense en las personas que conorman su organi#acin. -sto podra incluir criterios
generales para conocer inormacin sobre personal que a surido algn da/o sico.

Seguridaddelaspersonas Valoracin

a4os sicos %enores a una persona 1

a4os sicos a varias personas 3

'uerte de varias personas 5

Escenario 2:
iense en las personas que conorman su organi#acin. 0as causas o molestias que ocasiona
la p1rdida de privacin personal.

Perdidadeprivacidadpersonal Valoracin

%ausa peque/as molestias 1

rigen de perjuicios importantes 2


%ausa de perjuicios muy graves 3

Escenario 3:
iense en las personas que conorman su organi#acin. 0as causas o molestias que ocasiona
la perdida de reputacin de la compa/a

Perdida de reputacin de la compaa Valoracin

roblema restringido en un departamento, sin


1
repercusin al publico

roblemas relacionados con un alto ejecutivo


de la compa/a con repercusin al e4terior de 3
la misma.

5ravsimo esc(ndalo en el que la cpula de la


compa/a tiene que dimitir y con graves 5
repercusiones e4ternas.

ETA&A ):
E1a-3a!.8" /e -s r.es2s 5 -s re93.s.ts /e
FICBA .D &
se23r./a/ ara e- s.stema r3est$

Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar -a ame"a;a 5 -a 13-"era#.-./a/ !" e- 1a-r /e -s a!t.1s
ara !a-!3-ar 3"a me/./a /e- r.es2$

Escenario 1:
iense en las personas que conorman su organi#acin. %ostes asociados a la interrupcin
de actividades

Costes asociados a la interrupcin de


Valoracin
actividades

Menos de +111 1

Entre +11.111 y '11.111 3

'(s de 3).))).))) 5

*
Escenario 2:
iense en las personas que conorman su organi#acin. Incumplimiento de obligaciones
legales por la compa/a

Incumplimiento de oligaciones legales


Valoracin
por la compaa

6uicio en el que los da/os probables o


1
perjuicios no e4cedan de 72))).

6uicio en el que los da/os o perjuicios puedan


e4ceder de 78)))), bien e4ista una querella
3
por la que un director o empleado resulte
implicado
9ituacin grave que pueda srcinar penas de
prisin en personas relevantes de la compa/a
5
y amplias repercusiones negativas en el gran
publico

Escenario 3:
iense en las personas que conorman su organi#acin. 1rdidas econmicas por
inormacin a la competencia

P!rdidas econmicas por in"ormacin a la


Valoracin
competencia

'enos de 8))) 1

-ntre 8.))).))) y 8).))).))) 3

'(s de 8).))).))) 5

ETA&A *:

FICBA .D ' A-!a"!e /e- est3/.$

Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e" 93< !am se e"!3e"tra r.e"ta/ -a ."1est.2a!.8"$

Escenario 1:
:ipos de amena#a al recomendadas segn %&$'' para la creacin de activos en una
empresa
#mena$a Si %o

;
D Fuego 0salaediicio3

D Inundacin 0sa laediicio3

< Desastresnaturales

< Disminucindelaplantilla

< Da/os intencionados por personal ajeno

< Da/os intencionados por personal propio

< &oboporpersonalajeno

< &oboporpersonalpropio

< Infltracin en el sistema de personal ajeno

< Infltracin del sistema de personal propio

< =soindebidoderecursos

< >allo de la unidad central de proceso

< >allo
de
memoria

< >allo de las unidades de entrada?salida

< >allo del procesador de comunicaciones

< >allo de equipos de redes de (rea e4tensa

< >allo de equipos de redes de (rea local

< >allodealimentacinel1ctrica

< >allos de sistemas de acondicionamiento


<>allo del sistema @de su sistema operativo y otro
sot"are
< -rrordeoperadordelsistema

< -rror de operadores de redes de (rea e4tensa

< -rror de operadores de redes de (rea local

< -rror de programador de aplicaciones

< -rror de programador del sistema

< -rrordemantenimiento

< -rror
de
usuario

< -rrordemicroordenadores
< >allo de servicio portador de las redes de (rea
e4tensa.

FICBA .D , Determ."a!.8" /e- ".1e- /e r.es2

B
Esta 40a /e tra#a0 -e a53/ar6 a /eterm."ar e- ".1e- /e r.es2

Escenario 1:
0a determinacin del nivel de riesgo es el resultado de conrontar el impacto y la
probabilidad con los controles e4istentes, al interior de los dierentes procesos y
procedimientos que se reali#an.
&a valoracin consiste en asignar a los riesgos cali'caciones dentro de un
rango( )ue podra ser por e*emplo de 1 a 5 +insigni'cante +1,( a*a +2,( media +3,(
moderada +-, o alta +5,,( dependiendo de la cominacin entre impacto .
proailidad/ En la siguiente gr0'ca( se puede oservar un e*emplo de
es)uema de valori$acin de riesgo en "uncin de la proailidad e impacto de
tipo num!rico con escala:

a,

8)
FICBA .D E"tre1.sta a Re!3rss '3ma"s

Esta 40a /e tra#a0 -e a53/ar6 a !"!er ese!7.!ame"te -a ."7 raestr3!t3ra /e 4ar/=are 5 s7t=are /e -a
emresa, ara ./e"t.7.!ar -as /.7ere"tes 13-"era#.-./a/es 5 ame"a;as /e -a emresa, 5 as #r."/ar-es 3"
a"6-.s.s /e r.es2 e7e!t.1$

Escenario 1:
%on el fn de conocer las vulnerabilidades y amena#as de la empresa para que esta cumpla
con los requisitos y e4pectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
mucas gracias por su colaboracin.

Preguntas espuesta

Cul es el rubro de la E%presaG

Con cuntos departa%entos cuenta la e%presaG

Con cuantas co%putadoras cuenta cada departa%entoG

Cuenta con un servidor de Internet y de datos la e%presaG

Hienen un departa%ento encargado de la ad%inistracin


del servidor< o este traba7o lo reali/a una persona
especicaG

Estos departa%entos tienen acceso a InternetG

#u= usuarios son los 8ue tienen acceso a InternetG

Ban i%ple%entado anterior%ente alg:n siste%a de


prevencin de riesgos para la e%presaG

#u= tan recuente%ente lo han i%ple%entadoG

Estara usted de acuerdo 8ue co%o grupo de consultores le


brinde%os una %etodologa de anlisis de riesgo.

88
FICBA .D ( E"tre1.sta a Deartame"t Re/es

Esta 40a /e tra#a0 -e a53/ar6 a rea-.;ar 3"a e"tre1.sta a 3"a ers"a e"!ar2a/a /e- tr /eartame"t
93e !3e"ta !" 3" a!!es a t/a -a ."7rma!.8" /e -a emresa, 5 -s a!t.1s 93e esta emresa see$

Escenario 1:
%on el fn de conocer las vulnerabilidades y amena#as de la empresa para que esta cumpla
con los requisitos y e4pectativas que la empresa necesita, solicitamos su colaboracin para
el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano
mucas gracias por su colaboracin.

Preguntas espuesta

El rea de inor%tica cuenta con un lugar seguro para el


al%acena%iento de los datos sica%enteG

@os e8uipos de c%puto cuentan con un siste%a de


ali%entacin el=ctricaG

e 8u= tipoG

El siste%a de c%puto cuenta con un cableado seguroG

Con 8ue tipo de hard?are cuenta la e%presaG

#u= tipo de servidor tienenG

Cules son los servicios de Internet a los 8ue tienen


acceso los usuariosG

#u= horas son hbiles para acceder a estos serviciosG

Con 8ue tipo de aplicaciones cuenta el e8uipoG

Con 8ue siste%a operativo cuneta el e8uipoG

#u= departa%entos cuentan con ese siste%a operativoG

82
Estos e8uipos de c%puto poseen antivirusG

#u= antivirus utili/an. $e encuentran registrados con


alguna licenciaG

El antivirus 8ue utili/an actual%ente cu%ple con los


re8ueri%ientos de la e%presa.

;tili/an en el servidor alg:n tipo de ire?allG

@as personas 8ue accedan al e8uipo de c%puto entran con


alguna contrase4a.

@as aplicaciones consideradas unda%entales cuentan con


alg:n tipo de contrase4a o usuarios especicosG

V$ GUA &LAN DE ANLISIS DE RIESGOS

ETA&A DESCRI&CIN 'ERRAMIENTAS FUENTESDE


INFOMRACIN
Re3".8" !" D Defnir el alcance Entrevistas Inraestructura
-s del estudio. DFicha .D Ad%inistracin

s /e re/es /e -a D Identifcar y valorar


a/m.".stra/re DFicha
DFicha .D'
.D+ eparta%ento de
seguridad inor%tica
Fa!3-ta/ /e los activos sicos
C.e"!.as que orman parte
'3ma"as 5 /e del sistema.
-a E/3!a!.8"$ D Determinar el valor
de la inormacin
manejada,
mediante la
entrevista a los
usuarios acerca de
los potenciales
impactos en el
negocio que
podran derivarse
de la no
disponibilidad, la
destruccin, la

83
divulgacin o la
modifcacin de
dica inormacin.
D Identifcar y valorar
los activos de
sot"are que
orman parte del
sistema.
E1a-3a!.8" /e D Identifcar y DFicha .D& DAd%inistrador de
-s r.es2s 5 -s evaluar el tipo y DFicha .D, parte a redes.
re93.s.ts /e nivel de las DEntrevista DAutoridades de la
se23r./a/ ara amena#as que DFicha .D( acultad
e- s.stema pueden aectar al DEstudiantes
r3est sistema.
D $nali#ar el grado
de vulnerabilidad
del sistema a las
amena#as
identifcadas.
D %ombinar la
amena#a y la
vulnerabilidad con
el valor de los
activos para
calcular una
medida del riesgo.
Identiicacin y seleccin de las contra%edidas.
Determ."a!.8" D 9e organi#a en una DDFicha .D, parte a DAd%inistrador de
/e Ame"a;as matri# las redes
DAutoridades de la
amena#as
encontradas en la Facultad.
red para ser
valoradas.
D 9e e4pone dica
matri# al
administrador de
redes.
Determ."a!.8" D Deben ser acordes DFicha .D, parte b DAd%inistrador de
r#a#.-./a/ con los riesgos redes
/e !3rre"!.a calculados en la
anterior etapa.
D 9e revisa
nuevamente la
inormacin con el
cliente.
D 9e priori#an

8!
actividades para
dar solucin a las
amena#as m(s
uertes.

Tratam.e"t /e D -laboracin de un DAd%inistrador de


R.es2s Docu%entos de Redes
plan de
tratamiento, IEEE.
enoc(ndonos
especialmente al
tema de seguridad
inal(mbrica
C"trame/./as D 9e dan las DCRAMM contiene DAd%inistrador de
soluciones de una gran biblioteca Redes
acuerdo a los de contra%edidas<
riesgos evaluados, 8ue consta de %s de
y teniendo en '.111 %edidas
cuenta el detalladas
organi/ados en %s
costo?benefcio
para la acultad de )1 agrupaciones
lgicas

VI$ BIBLIOGRAFA

8+
Al
ci
dez,G. (
2009
S)
.egur
idad n
If
ormt
i . Ant
ca i
oqui
a, Col
ombi
a.Rec
uper
ad
o
de: ht
tp:
//
bibl
i
oteca
.
udea.
edu.
co/
manual
es/
se
gur
idad.
pps

Cal
l
e, J.(
1997
R)
.ei
nge
ni
er
ay S
egur
i
dad en el ci
ber .a
espMad
or
ciid,Esp
aa:
Edi
ci
on
es
D
as e
d S
ant
os.

Gi
mn
ez,
J.(
2014
)
.
Seg
ur
ida
d en Equ
i
pos I
nfor . Ml
mt
i
cos ag
a,Espa
a
:IC
Edi
t
ori
al

Her
eder
o, C.
, Lpez,J.(
2006
Di
r)
.i
ecc
ny G
est
i
ndel
osSi
st
emasde
I
nfor
maci
n en l
a empr
esa
: una vi
si
n i
nt M
egr
aad
d r
or
ai
d,Espa
. a
: ESI
C

To
r
res,G. (
2015
E)
.st
ud
io co
mpa
r
ati
vo en
t
re as
l et
mod
ol
og
as A
MGERI
T Y
CRAMM, ut
i
l
izad
aspa
r
a An
l
isi
s yGest
indeRi
esg
osdeSeg
uir
dad del
a
I
nfor n(
maci tesi
s p
r
egr
ado)
. Uni
ve
rsi
dad del Azu
ay,
Cuenca
, Ecu
ador
.

VII$ ANE+OS

8
$ne4o 8
5=50I-&I, %. @8BB*A. Reingenieria y seguridad en el ciberespacio. 'adridC Dia# de
9antos.

8*
$ne4o 2
espa/ol, '. d. @junio de 2)8!A. -strategia de la inormacin y seguridad en el
ciberespacio. -spa/aC I.

8;
$ne4o 3
Eernal, 9olr#ano, &uano, Fern(nde#, %. @2))BA. METODOLOGIA DE ANALISIS DE
RIESGO DE LA EMPRESA LA CASA DE LAS ATERIAS S.A DE C.!.9an 9alvador.

8B