Desarrollada por el CCTA (Central Communication and Telecommunication
Agency ) del Reino Unido en el año 1987; la siglas de esta metodología
significan CCTA Risk Analysis an Management Method.
Esta metodología es aplicable a cualquier tipo de sistemas y
redes de información, se divide en tres fases que son:
- Identificación y valoración de activos tanto físicos (hardware ) como el software y datos, los activos físicos se valoran en términos del costo de reemplazo, mientras que los datos y el software se valoran de acuerdo al impacto que generan si son destruidos o perdidos.
- Identificación de amenazas y evaluación de vulnerabilidades, calculando los riesgos de materialización de estas amenazas.
- Identificación de Contramedidas y recomendaciones para obtener los riesgos residuales, se cuenta con una librería o biblioteca con más de 300 medidas que podrían ser aplicadas de acuerdo a la valoración de los riesgos en la fase anterior.
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEXlCuz2CGxMgw35ZMtDgmS-e52AASBkPvFUedXbB3r3PQM4rYr-4t-twxZadsiomd1bnXthlQsVTqavjRX01pE-AsfkJa2zITaqyonhmbfMp8qJKbtBFB0UFKD9a5QemEpBLfP3VObh23/s1600/Nueva+imagen.png
Esta metodología también se centra en proteger la confidencialidad, integridad y disponibilidad de los sistemas y sus activos, se considera una metodología mixta ya que utiliza evaluaciones cuantitativas y cualitativas.
https://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM
No hay comentarios:
Publicar un comentario