Escolar Documentos
Profissional Documentos
Cultura Documentos
PILAR
ayuda versin 5.4
11.4.2014
ndice
1
RESUMEN ............................................................................................................................................ 2
1.1
LECTURAS RECOMENDADAS ....................................................................................................................................2
1.2
OTRA DOCUMENTACIN...........................................................................................................................................3
INSTALACIN ..................................................................................................................................... 3
2.1
ENTORNO JAVA...........................................................................................................................................................3
2.2
PILAR (WINDOWS) .................................................................................................................................................3
2.3
PILAR (UNIX, LINUX, ).......................................................................................................................................4
2.4
PILAR (MAC OS X) ..................................................................................................................................................4
2.5
USO ................................................................................................................................................................................4
RIESGOS ............................................................................................................................................ 21
10 INFORMES ........................................................................................................................................ 23
11 MEJORAS .......................................................................................................................................... 24
11.1 ASPECTO ................................................................................................................................................................... 25
11.2 TIPO DE PROTECCIN ............................................................................................................................................ 25
11.3 PESO RELATIVO ....................................................................................................................................................... 26
11.4 INFORMACIN ADICIONAL .................................................................................................................................... 26
11.5 EN EL RBOL DE SALVAGUARDAS ....................................................................................................................... 26
11.6 VALORACIN DE LA MADUREZ DE LAS SALVAGUARDAS ................................................................................ 27
12 PERSONALIZACIN........................................................................................................................ 27
12.1 FICHERO DE CONFIGURACIN .............................................................................................................................. 28
versin 5.4
PILAR
1 Resumen
A fin de conocer la seguridad que ofrece un sistema, necesitamos modelarlo,
identificando y valorando los elementos que lo componen y las amenazas a las que estn
expuestos. Con estos datos podemos estimar los riesgos a los que el sistema est
expuesto.
El riesgo puede mitigarse por medio de salvaguardas. Normalmente, estas medidas
reducen el riesgo a un valor residual que, sin ser nulo (seguridad absoluta) s puede ser
aceptable por la organizacin. Si el riesgo es excesivo, se suele preparar un plan de
mejora de la seguridad que siga reduciendo los niveles de riesgo hasta alcanzar valores
aceptables.
El anlisis de riesgos es la actividad que proporciona la informacin necesaria para
realizar un tratamiento de los riesgos. Se trata de una actividad que se ejecuta una y otra
vez, recurriendo a ella cuando el sistema cambia de componentes o cuando cambian las
amenazas o se modifican las salvaguardas.
PILAR implementa la metodologa Magerit: [http://administracionelectronica.gob.es/].
PILAR es una versin simplificada de PILAR pensada para sistemas pequeos con un
sistema de proteccin homogneo. El anlisis, con esas premisas, es rpido, aunque sea
menos preciso.
A la hora de seleccionar salvaguardas, PILAR se referencia a algn perfil de seguridad.
De esta forma dispondremos de una estimacin del grado de cumplimiento del perfil, al
tiempo que de una estimacin del riesgo residual derivado de las partes no implantadas
de dicho perfil.
El objetivo es realizar un anlisis de riesgos en menos de 4 horas.
La informacin recopilada por PILAR se almacena en el mismo formato que usa PILAR,
de forma que los datos pueden analizarse posteriormente de forma ms detallada con la
herramienta estndar y planificar un tratamiento ms preciso.
1.1
Lecturas recomendadas
Magerit: versin 3,
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
http://administracionelectronica.gob.es/
UNE-ISO 31000:2010
Gestin del riesgo Principios y directrices.
UNE-EN 31010:2011
Gestin del riesgo Tcnicas de apreciacin del riesgo.
UNE 71504:2008
Metodologa de anlisis y gestin de riesgos de los sistemas de informacin,
AENOR.
versin 5.4
PILAR
ISO/IEC 27005:2011
Information technology -- Security techniques -- Information security risk
management.
NIST SP 800-39:2011
Managing Information Security Risk: Organization, Mission, and Information
System View
http://csrc.nist.gov/publications/PubsSPs.html
NIST SP 800-30:2002
Risk Management Guide for Information Technology Systems.
http://csrc.nist.gov/publications/PubsSPs.html
ISACA:2010
The Risk IT Framework
http://www.isaca.org/
ISACA:2009
The Risk IT Practitioner Guide
http://www.isaca.org/
AS/NZS 4360:2004
Risk management
1.2
Otra documentacin
Glosario de Trminos
[http://www.pilar-tools.com/es/glossary/index.html]
2 Instalacin
2.1
Entorno Java
Se necesita un
JRE Entorno de ejecucin Java
visite [http://java.com]
2.2
PILAR (Windows)
Puede instalar PILAR como administrador o como usuario normal. Los archivos se
pueden instalar en cualquier lugar. Si tiene privilegios de administrador, los archivos
pueden entrar en "Archivos de programa" para todo el mundo, y el registro puede tener
un nmero de entradas para asociar PILAR a ficheros con extensin .mgr.
versin 5.4
PILAR
Cuando Java est instalado
ejecute pilarmicro_<version>_<perfil>_<lang>.exe
2.3
2.4
PILAR (Mac OS X)
2.5
Uso
Ejecute pilarmicro:
le pedir un fichero Fichero de configuracin (con extensin .CAR) que encontrar
en donde haya decidido instalar el programa:
MICRO_..._es.car
llevndole a la Primera pantalla.
El fichero .car proporciona una serie de informacin que constituye el contexto de
ejecucin de PILAR. Puede editarlo con cualquier editor de textos.
3 Primera pantalla
versin 5.4
PILAR
nuevo
proyecto
abrir
4
5
recientes
versin 5.4
PILAR
1
20
Ayuda en lnea.
21
Pantalla anterior.
22
Pantalla siguiente.
23
24
5 Activos esenciales
En esta pantalla indicaremos cuales son los activos esenciales del sistema, es decir
la informacin que se maneja
Para cada uno de estos activos, puede indicar algunos datos administrativos, as como su
valoracin (nivel de seguridad requerido) en trminos de disponibilidad, integridad,
confidencialidad, autenticidad y trazabilidad.
La primera vez aparecen 2 activos por defecto: una informacin y un servicio. Sintase
libre de editarlos, eliminarlos o aadir nuevos activos.
versin 5.4
PILAR
los servicios contratados a terceros estn siempre en la misma zona del rbol; no
obstante, puede recolocarlos usando los botones ARRIBA y ABAJO
5
6
versin 5.4
PILAR
10
11
12
13
14
5.1
nuevo
editar
arriba
abajo
eliminar Haga clic para eliminar el activo seleccionado en [1], [3], o [5].
Cuando edite un activo ya existente o cuando cree uno nuevo, ver una pantalla como la
siguiente:
Puede asignarle cualquier cdigo, siempre y cuando sea nico. No podr salir de esta
pantalla si el cdigo no es vlido.
Puede introducir cualquier nombre, propietario y descripcin.
El propietario puede ser una persona, o un role, o un rgano corporativo.
versin 5.4
PILAR
5.2
Valoracin
Para cada activo esencial , informacin o servicio, puede establecer una valoracin; es
decir, marcar el nivel requerido en materia de seguridad en las dimensiones de
disponibilidad (D), integridad (I), confidencialidad (C), autenticidad (A) y trazabilidad
(T). Para establecer un nivel, haga clic-clic en la celda que desea editar y seleccione el
criterio o criterios que son de aplicacin al caso.
nivel ALTO
nivel MEDIO
nivel BAJO
sin valorar
7
4
1
0
Si aplica varios criterios, PILAR se quedar con el de nivel ms elevado. Si desea marcar
un criterio X en una seccin, pero que pilar aplique el nivel Y, seleccione Y en el combo
superior denominado nivel.
Tpicamente, la informacin requiere proteger confidencialidad, integridad, autenticidad
y trazabilidad, mientras que los servicios aaden requisitos en trminos de
disponibilidad.
versin 5.4
PILAR
2
3
4
10
11
12
6 Otros activos
Esta pantalla permite declarar otros tipos de activos que constituyen el sistema.
Simplemente vaya haciendo clic en aquellas clases que se dan en sus sistema.
versin 5.4
10
PILAR
clic en LIMPIAR
Para eliminar una clase (es decir, para eliminar una clases y sus subclases)
seleccione la clase
clic en ELIMINAR
versin 5.4
11
PILAR
Ejemplo
versin 5.4
12
PILAR
8 Perfil de seguridad
Esta pantalla presenta el cumplimiento de un determinado perfil de seguridad.
expandir
Ver Permetros
operacin
operation / merge
operation / draw
porcentaje
versin 5.4
13
PILAR
madurez de las salvaguardas
madurez
madurez de controles y salvaguardas
cobertura de PILAR
porcentaje de cumplimiento de la recomendacin de
PILAR; es decir, 100% significa que la madurez es igual o
superior a la recomendada por PILAR
traffic light
versin 5.4
dudas
PILAR
Haga clic para cambiar el estado de duda.
La marca flota a los controles superiores para destacar el
problema cuando est anidado.
aplica
comentario
fases
10
11
8.1
Permetros
Los permetros son patrones de expansin de rboles. Sirven para darle a un nombre a
un determinado nivel de expansin en rboles de salvaguardas y perfiles de seguridad
(EVL).
Algunos permetros son parte de la librera estndar. El usuario puede aadir los suyos
propios.
15
PILAR
Expandir > permetro > nueva etiqueta
2. En el rbol, expanda o contraiga nodos hasta obtener el grado de detalle que le
sea til
3. Cargue el permetro en su etiqueta
Expandir > permetro > cargar > su etiqueta
4. Para cambiar el permetro, repita los pasos 2-3
Par usar una etiqueta
Expandir > permetro > su etiqueta
Para eliminar una etiqueta
Expandir > permetro > eliminar > su etiqueta
8.2
8.3
En el rbol de controles
PILAR
8.4
EVL - Aplicabilidad
) puede indicar si
n.a. significa que la fila no es de aplicacin. Los puntos suspensivos significan que hay
algo dentro que no aplica.
Cuando selecciona un control y lo marca n.a., todos los controles bajo el marcado
pasan a n.a.. Las salvaguardas no estn rgidamente conectadas, y aunque un control
no aplique, puede que las salvaguardas relacionadas sean de aplicacin, o no; tendr que
marcarlo manualmente.
Puede tener diferentes combinaciones de controles y salvaguardas que que son de
aplicacin, o no.
Por ejemplo
8.5
versin 5.4
17
PILAR
8.6
Para los controles y salvaguardas que son de aplicacin, puede indicar una valoracin en
cada fase del proyecto. La valoracin se aplica a las hojas terminales del rbol; si aplica
una valoracin a un nodo con ramas, el valor se propaga hasta las hojas.
El valor que se muestra en los nodos intermedios depende de la seleccin en [2].
porcentaje PILAR estima un porcentaje de cumplimiento derivado de los niveles de
madurez de las ramas.
madurez
PILAR
8.7
18
PILAR
ROJO: fase de referencia
haga clic con el botn izquierdo en la cabecera de la fase deseada
semforo
cdigo de colores
AZUL
VERDE
AMARILLO
8.8
ROJO
GRIS
la medida no es de aplicacin
Niveles de madurez
8.9
Elementos xor
Algunos nodos del rbol estn etiquetados como XOR. En estos nodos usted puede elegir
cul de las opciones es la que aplica en cada fase del proyecto.
clic derecho > seleccionar
versin 5.4
19
PILAR
A continuacin se muestra un ejemplo para el mecanismo de identificacin y
autenticacin del usuario.
en la fase actual hemos elegido contraseas
en la fase objetivo hemos elegido tokens con contrasea
8.10
Grfico
Usted puede seleccionar las lneas que desea llevar al grfico. Slo se llevan al grfico las
lneas que se ven y adems estn seleccionadas.
versin 5.4
20
PILAR
9 Riesgos
Esta pantalla presenta los resultados del anlisis de riesgos. Es una pantalla meramente
de presentacin, sin que de opcin al usuario de introducir datos.
versin 5.4
21
PILAR
El riesgo se mide en una escala entre 0.0 y 10.0 siguiendo estos criterios:
El uso de un decimal sirve para establecer un orden relativo entre los riesgos del mismo
nivel. Por ejemplo, {3.4} es ms que {3.0} dentro ambos del nivel alto.
fases
seleccin
versin 5.4
PILAR
10 Informes
PILAR ofrece una serie de informes tipo. Los informes se generan usando el formato RTF
que puede ser editado por la mayora de los procesadores de texto.
23
PILAR
11 Mejoras
Si no le satisface el riesgo residual presente, puede pedirle a PILAR ideas acerca de cmo
mejorar. PILAR presenta una pantalla compleja para orientarle hacia las salvaguardas
que pudiera mejorar. Puede seguir las orientaciones de PILAR, o no; la aplicacin se
limita a analizar el riesgo residual pero es usted y su organismo los que tendrn que
vrselas con el riesgo residual que quede.
aspecto
top
versin 5.4
dudas
PILAR
Haga clic para cambiar el estado de duda.
comentario
semforo
8
10
11.1
sugerencias
Aspecto
11.2
Tipo de proteccin
PR prevencin
versin 5.4
AD administrativa
25
PILAR
11.3
DR disuasin
EL eliminacin
IM minimizacin del impacto
CR correccin
RC recuperacin
AW concienciacin
DC deteccin
MN monitorizacin
std norma
proc procedimiento
cert certificacin o acreditacin
Peso relativo
mximo peso
crtica
peso alto
muy importante
peso normal
importante
peso bajo
interesante
11.4
Informacin adicional
11.5
En el rbol de salvaguardas
PILAR
camino completo
muestra la salvaguarda en su contexto; es decir, la serie de pasos desde la raz
hasta ella
cerrar el padre
compacta el rbol, cerrando el padre del nodo seleccionado
cerrar los hermanos
compacta el rbol cerrando todos los hermanos del nodo seleccionado
ms informacin
presenta informacin adicional sobre la salvaguarda.
Ver Salvaguardas / Informacin adicional.
n.a.
marca la salvaguarda como no aplicable, para todas las fases
aplicable
marca la salvaguarda como aplicable, para todas las fases
11.6
12 Personalizacin
Dispone de amplias opciones para personalizar la herramienta. Para ello debe editar los
ficheros del directorio de la biblioteca.
Puede ubicar el directorio de biblioteca leyendo el fichero Fichero de configuracin que
elige en la primara pantalla.
27
PILAR
Vea [http://www.pilar-tools.com/tools/pilar/doc.htm]
versin 5.4
28