CRAMM

Desarrollada por el CCTA (Central Communication and Telecommunication Agency ) del Reino Unido en el año 1987; la siglas de esta metodología significan CCTA Risk Analysis an Management Method.

Esta metodología es aplicable a cualquier tipo de sistemas y redes de información, se divide en tres fases que son:

• Identificación y valoración de activos tanto físicos (hardware ) como el software y datos, los activos físicos se valoran en términos del costo de reemplazo, mientras que los datos y el software se valoran de acuerdo al impacto que generan si son destruidos o perdidos.

• Identificación de amenazas y evaluación de vulnerabilidades, calculando los riesgos de materialización de estas amenazas.

• Identificación de Contramedidas y recomendaciones para obtener los riesgos residuales, se cuenta con una librería o biblioteca con más de 300 medidas que podrían ser aplicadas de acuerdo a la valoración de los riesgos en la fase anterior.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEXlCuz2CGxMgw35ZMtDgmS-e52AASBkPvFUedXbB3r3PQM4rYr-4t-twxZadsiomd1bnXthlQsVTqavjRX01pE-AsfkJa2zITaqyonhmbfMp8qJKbtBFB0UFKD9a5QemEpBLfP3VObh23/s1600/Nueva+imagen.png

Esta metodología también se centra en proteger la confidencialidad, integridad y disponibilidad de los sistemas y sus activos, se considera una metodología mixta ya que utiliza evaluaciones cuantitativas y cualitativas.

https://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM