PILAR

PILAR
ayuda versin 5.4
11.4.2014

ndice
1

RESUMEN ............................................................................................................................................ 2
1.1
LECTURAS RECOMENDADAS ....................................................................................................................................2
1.2
OTRA DOCUMENTACIN...........................................................................................................................................3

INSTALACIN ..................................................................................................................................... 3
2.1
ENTORNO JAVA...........................................................................................................................................................3
2.2
PILAR (WINDOWS) .................................................................................................................................................3
2.3
PILAR (UNIX, LINUX, ).......................................................................................................................................4
2.4
PILAR (MAC OS X) ..................................................................................................................................................4
2.5
USO ................................................................................................................................................................................4

PRIMERA PANTALLA ....................................................................................................................... 4

DATOS DEL PROYECTO ................................................................................................................... 5

ACTIVOS ESENCIALES ...................................................................................................................... 6

5.1
MODIFICACIN DE UN ACTIVO (EDICIN) ...........................................................................................................8
5.2
VALORACIN ...............................................................................................................................................................9

OTROS ACTIVOS ............................................................................................................................. 10

FACTORES AGRAVANTES O ATENUANTES .............................................................................. 12

PERFIL DE SEGURIDAD ................................................................................................................ 13

8.1
PERMETROS ............................................................................................................................................................ 15
8.2
IMPORTACIN DE VALORES DE OTRO PROYECTO ........................................................................................... 16
8.3
EN EL RBOL DE CONTROLES............................................................................................................................... 16
8.4
EVL - APLICABILIDAD ........................................................................................................................................... 17
8.5
CONTROLES DE OBLIGADO CUMPLIMIENTO ..................................................................................................... 17
8.6
VALORACIN DEL PERFIL...................................................................................................................................... 18
8.7
FASES DE REFERENCIA Y OBJETIVO .................................................................................................................... 18
8.8
NIVELES DE MADUREZ ........................................................................................................................................... 19
8.9
ELEMENTOS XOR ..................................................................................................................................................... 19
8.10 GRFICO .................................................................................................................................................................... 20

RIESGOS ............................................................................................................................................ 21

10 INFORMES ........................................................................................................................................ 23
11 MEJORAS .......................................................................................................................................... 24
11.1 ASPECTO ................................................................................................................................................................... 25
11.2 TIPO DE PROTECCIN ............................................................................................................................................ 25
11.3 PESO RELATIVO ....................................................................................................................................................... 26
11.4 INFORMACIN ADICIONAL .................................................................................................................................... 26
11.5 EN EL RBOL DE SALVAGUARDAS ....................................................................................................................... 26
11.6 VALORACIN DE LA MADUREZ DE LAS SALVAGUARDAS ................................................................................ 27
12 PERSONALIZACIN........................................................................................................................ 27
12.1 FICHERO DE CONFIGURACIN .............................................................................................................................. 28

versin 5.4

PILAR

1 Resumen
A fin de conocer la seguridad que ofrece un sistema, necesitamos modelarlo,
identificando y valorando los elementos que lo componen y las amenazas a las que estn
expuestos. Con estos datos podemos estimar los riesgos a los que el sistema est
expuesto.
El riesgo puede mitigarse por medio de salvaguardas. Normalmente, estas medidas
reducen el riesgo a un valor residual que, sin ser nulo (seguridad absoluta) s puede ser
aceptable por la organizacin. Si el riesgo es excesivo, se suele preparar un plan de
mejora de la seguridad que siga reduciendo los niveles de riesgo hasta alcanzar valores
aceptables.
El anlisis de riesgos es la actividad que proporciona la informacin necesaria para
realizar un tratamiento de los riesgos. Se trata de una actividad que se ejecuta una y otra
vez, recurriendo a ella cuando el sistema cambia de componentes o cuando cambian las
amenazas o se modifican las salvaguardas.
PILAR implementa la metodologa Magerit: [http://administracionelectronica.gob.es/].
PILAR es una versin simplificada de PILAR pensada para sistemas pequeos con un
sistema de proteccin homogneo. El anlisis, con esas premisas, es rpido, aunque sea
menos preciso.
A la hora de seleccionar salvaguardas, PILAR se referencia a algn perfil de seguridad.
De esta forma dispondremos de una estimacin del grado de cumplimiento del perfil, al
tiempo que de una estimacin del riesgo residual derivado de las partes no implantadas
de dicho perfil.
El objetivo es realizar un anlisis de riesgos en menos de 4 horas.
La informacin recopilada por PILAR se almacena en el mismo formato que usa PILAR,
de forma que los datos pueden analizarse posteriormente de forma ms detallada con la
herramienta estndar y planificar un tratamiento ms preciso.

1.1

Lecturas recomendadas

Magerit: versin 3,
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
http://administracionelectronica.gob.es/

UNE-ISO 31000:2010
Gestin del riesgo Principios y directrices.

UNE-ISO/IEC Gua 73:2010

Gestin del riesgo Vocabulario.

UNE-EN 31010:2011
Gestin del riesgo Tcnicas de apreciacin del riesgo.

UNE 71504:2008
Metodologa de anlisis y gestin de riesgos de los sistemas de informacin,
AENOR.

versin 5.4

PILAR

ISO/IEC 27005:2011
Information technology -- Security techniques -- Information security risk
management.

NIST SP 800-39:2011
Managing Information Security Risk: Organization, Mission, and Information
System View
http://csrc.nist.gov/publications/PubsSPs.html

NIST SP 800-37 Rev. 1, 2010

Guide for Applying the Risk Management Framework to Federal Information
Systems: A Security Life Cycle Approach
http://csrc.nist.gov/publications/PubsSPs.html

NIST SP 800-30:2002
Risk Management Guide for Information Technology Systems.
http://csrc.nist.gov/publications/PubsSPs.html

ISACA:2010
The Risk IT Framework
http://www.isaca.org/

ISACA:2009
The Risk IT Practitioner Guide
http://www.isaca.org/

AS/NZS 4360:2004
Risk management

1.2

Otra documentacin

Glosario de Trminos
[http://www.pilar-tools.com/es/glossary/index.html]

2 Instalacin
2.1

Entorno Java

Se necesita un
JRE Entorno de ejecucin Java
visite [http://java.com]

y siga las instrucciones

o paso 1: descargar
o paso 2: instalacin
o paso 3: prueba

2.2

PILAR (Windows)

Puede instalar PILAR como administrador o como usuario normal. Los archivos se
pueden instalar en cualquier lugar. Si tiene privilegios de administrador, los archivos
pueden entrar en "Archivos de programa" para todo el mundo, y el registro puede tener
un nmero de entradas para asociar PILAR a ficheros con extensin .mgr.
versin 5.4

PILAR
Cuando Java est instalado
ejecute pilarmicro_<version>_<perfil>_<lang>.exe

siga las instrucciones para instalar en el directorio que prefiera

(varios idiomas pueden compartir el mismo directorio de instalacin)

cuando la instalacin termine, habr un archivo

pilarmicro.exe
donde haya decidido instalar el software.

2.3

PILAR (UNIX, Linux, )

Normalmente java ya viene instalado en el sistema.

Cuando Java est instalado
descomprima pilarmicro_<version>_<perfil>_<lang>.tar.gz
en donde considere apropiado
(varios idiomas pueden compartir el mismo directorio de instalacin)

2.4

cuando la instalacin termine, habr un archivo

pilarmicro.jar
donde haya decidido instalar el software.

PILAR (Mac OS X)

Habitualmente, java ya se encuentra instalado en el sistema, pudiendo pasar

directamente a la instalacin de PILAR:
abra pilarmicro_<version>_<perfil>_<lang>.dmg

2.5

ejecute la aplicacin INSTALL, colocando los ficheros donde crea conveniente

al terminar la instalacin, debe encontrar un fichero

pilarmicro_<version>.app

Uso

Ejecute pilarmicro:
le pedir un fichero Fichero de configuracin (con extensin .CAR) que encontrar
en donde haya decidido instalar el programa:
MICRO_..._es.car
llevndole a la Primera pantalla.
El fichero .car proporciona una serie de informacin que constituye el contexto de
ejecucin de PILAR. Puede editarlo con cualquier editor de textos.

3 Primera pantalla

versin 5.4

PILAR

configuracin Selecciona un fichero de configuracin.

Haga clic-clic para seleccionar.
Ver Fichero de configuracin.
licencia

Presenta la licencia actual, incluyendo la fecha de expiracin, si

tuviera.
Haga clic-clic para seleccionar.
En el recuadro aparece el titular de la licencia. Si no se dispone
de una licencia vlida, aparece sin licencia, en este caso, podr
ver proyectos, pero no modificarlos.

nuevo
proyecto
abrir

4
5

recientes

Abrimos un proyecto nuevo..

Abre un proyecto que ya exista.
Enlace rpido a proyectos trabajados recientemente.
Ayuda en lnea.

4 Datos del proyecto

Estos datos son meramente administrativos y sern parte de los informes finales.

versin 5.4

PILAR

La mayor parte de los campos deben ser evidentes.

Marca por defecto para los informes.

1
20

Ayuda en lnea.

21

Pantalla anterior.

22

Pantalla siguiente.

23

Guarda el proyecto en el fichero.

24

Guarda el proyecto en el fichero que se indique.

5 Activos esenciales
En esta pantalla indicaremos cuales son los activos esenciales del sistema, es decir
la informacin que se maneja

el servicio que se presta

los puntos de interconexin con otros sistemas

servicios externos (prestados por terceros) en los que se apoya

Para cada uno de estos activos, puede indicar algunos datos administrativos, as como su
valoracin (nivel de seguridad requerido) en trminos de disponibilidad, integridad,
confidencialidad, autenticidad y trazabilidad.
La primera vez aparecen 2 activos por defecto: una informacin y un servicio. Sintase
libre de editarlos, eliminarlos o aadir nuevos activos.
versin 5.4

PILAR

El formato es un poco rgido:

los activos de informacin y servicio estn siempre en la misma zona del rbol;
no obstante, puede recolocarlos usando los botones ARRIBA y ABAJO

los puntos de interconexin estn siempre en la misma zona del rbol; no

obstante, puede recolocarlos usando los botones ARRIBA y ABAJO

los servicios contratados a terceros estn siempre en la misma zona del rbol; no
obstante, puede recolocarlos usando los botones ARRIBA y ABAJO

cada activo debe tener un cdigo nico

no pueden haber 2 activos con el mismo cdigo

Un columna para cada dimensin de seguridad.

rea para los activos esenciales.

Seleccione y haga clic en [11], [12], [13] o [14].

rea para valorar los activos esenciales.

Haga clic-clic para editar la valoracin

rea para los puntos de interconexin.

Seleccione y haga clic en [11], [12], [13] o [14].

5
6

versin 5.4

rea para valorar los puntos de interconexin.

Los valores se heredan de [2].
Haga clic para marcar que no aplica, n.a..
rea para los servicios externos.
Seleccione y haga clic en [11], [12], [13] o [14].
rea para valorar los servicios externos.
Los valores se heredan de [2].
Haga clic para marcar que no aplica, n.a..
7

PILAR

10
11
12
13
14

5.1

nuevo

Haga clic para aadir un nuevo activo.

Ver Asset / edit.

editar

Haga clic para editar el actvo seleccionado en [1], [3], o [5].

Ver Asset / edit.

arriba

Haga clic para desplazar hacia arriba el activo seleccionado en [1],

[3], o [5].

abajo

Haga clic para desplazar hacia abajo el activo seleccionado en [1],

[3], o [5].

eliminar Haga clic para eliminar el activo seleccionado en [1], [3], o [5].

Modificacin de un activo (edicin)

Cuando edite un activo ya existente o cuando cree uno nuevo, ver una pantalla como la
siguiente:

Puede asignarle cualquier cdigo, siempre y cuando sea nico. No podr salir de esta
pantalla si el cdigo no es vlido.
Puede introducir cualquier nombre, propietario y descripcin.
El propietario puede ser una persona, o un role, o un rgano corporativo.

La clase de activo est limitada a las que aparecen en el combo desplegable. El

activo se ubicar en a pantalla de activos esenciales segn su clase. En activos esenciales,
puede refinar la seleccin:

versin 5.4

PILAR

5.2

Valoracin

Para cada activo esencial , informacin o servicio, puede establecer una valoracin; es
decir, marcar el nivel requerido en materia de seguridad en las dimensiones de
disponibilidad (D), integridad (I), confidencialidad (C), autenticidad (A) y trazabilidad
(T). Para establecer un nivel, haga clic-clic en la celda que desea editar y seleccione el
criterio o criterios que son de aplicacin al caso.
nivel ALTO
nivel MEDIO
nivel BAJO
sin valorar

7
4
1
0

elevados requisitos de seguridad

requisitos medios
requisitos bajos
no hay ninguna necesidad de proteger

Si aplica varios criterios, PILAR se quedar con el de nivel ms elevado. Si desea marcar
un criterio X en una seccin, pero que pilar aplique el nivel Y, seleccione Y en el combo
superior denominado nivel.
Tpicamente, la informacin requiere proteger confidencialidad, integridad, autenticidad
y trazabilidad, mientras que los servicios aaden requisitos en trminos de
disponibilidad.

versin 5.4

PILAR

2
3
4
10
11
12

Si selecciona criterios, el valor se decide por el ms alto de los

marcados en [4].
Si selecciona un valor explcito, este ser el valor,
independientemente de los criterios marcados.
Si la dimensin es irrelevante para el activo, marque N.A.
Comentario explicativo.
Criterios para valorar activos.
Se aplica el valor y se cierra la ventana.
Se elimina la valoracin y se cierra la ventana.
Se cierra la ventana sin tomar los cambios en consideracin.

6 Otros activos
Esta pantalla permite declarar otros tipos de activos que constituyen el sistema.
Simplemente vaya haciendo clic en aquellas clases que se dan en sus sistema.

versin 5.4

10

PILAR

Marca las clases que aparecen en el sistema.

[X]
[]
[ ]

significa que hay presentes uno ms activos de esta clase

significa que hay presentes uno ms activos de una subclase de esta
significa que en el sistema no hay ningn activo de esta clase, ni de ninguna sus
subclase

Para seleccionar o eliminar una clase

haga clic en ella
Para limpiar una clase (es decir, para eliminar las clases que tienen subclases
marcadas)
seleccione la clase

clic con el botn derecho

clic en LIMPIAR

Para eliminar una clase (es decir, para eliminar una clases y sus subclases)
seleccione la clase

clic con el botn derecho

clic en ELIMINAR

versin 5.4

11

PILAR
Ejemplo

clic derecho + LIMPIAR

clic derecho + ELIMINAR

Para guardar una copia del proyecto en el disco

clic en el botn GUARDAR
Para guardar una copia en un fichero con otro nombre
clic en el botn GUARDAR COMO
Para regresar a la pantalla anterior
clic en el botn con la fecha a la izquierda
Para pasar a la siguiente pantalla
clic en el botn con la fecha a la derecha

7 Factores agravantes o atenuantes

Pantalla que se usa para marcar algunas caractersticas del sistema que pueden suponer
una vulnerabilidad.

versin 5.4

12

PILAR

Marque los criterios que considere de aplicacin.

8 Perfil de seguridad
Esta pantalla presenta el cumplimiento de un determinado perfil de seguridad.

expandir

Ver Permetros

operacin

operation / merge
operation / draw

porcentaje

En [11] PILAR presenta:

porcentaje
porcentaje de cumplimiento de los controles

versin 5.4

13

PILAR
madurez de las salvaguardas
madurez
madurez de controles y salvaguardas
cobertura de PILAR
porcentaje de cumplimiento de la recomendacin de
PILAR; es decir, 100% significa que la madurez es igual o
superior a la recomendada por PILAR

Selecciona filas para operation / draw

Haga clic en las cajitas para aadir o retirar de la seleccin.
Haga clic con MAYSCULAS para seleccionar un rango.
Haga clic en la cabecera de la columna para vaciar la seleccin.

recomendacin Un valor en el rango [null .. 10] estimado por PILAR teniendo

en cuenta los activos declarados, la valoracin en cada
dimensin de seguridad y el nivel de riesgo afrontado por esta
medida o control.
La celda queda gris (null) si PILAR no encuentra ninguna
razn para recomendar la medida.
(o) - PILAR piensa que es excesivo (overkill).
(u) - PILAR piensa que es insuficiente (underkill).

traffic light

Compra la valoracin en la fase de referencia (ROJA) con la

valoracin en la fase objetivo (VERDE) y muestra un color:
ROJO
el valor en la fase de referencia es muy inferior al del
objetivo
AMARILLO
el valor en la fase de referencia es inferior al del
objetivo
VERDE
el valor en la fase de referencia es igual al del objetivo
AZUL
el valor en la fase de referencia es superior al del
objetivo
Ver Fases de referencia y objetivo.
rbol de controles
Presenta los controles que componen el perfil en forma de
rbol jerrquico. Cuando terminan los controles formales,
PILAR sigue desplegando las salvaguardas asociadas a ellos, o
preguntas especficas.

Haga clic para expandir / colapsar una rama del rbol.

Haga clic con el botn derecho para acceder a EVL / tree.

versin 5.4

dudas

Para marcar puntos de duda; es decir, si cuando est rellenado

la tabla de valores aparecen dudas que deben ser respondidas
por alguien ms, marque esta columna, simplemente para
recordar que faltan datos.
14

PILAR
Haga clic para cambiar el estado de duda.
La marca flota a los controles superiores para destacar el
problema cuando est anidado.

aplica

comentario

Ver EVL / Applicability

Se usa para asociar comentarios a los controles o
salvaguardas.
Haga clic para editar un comentario.
Cuando hay un comentario asociado, se marca como (*).

fases

10

Ver EVL / Valuation

11

8.1

El cuerpo del comentario puede ser cualquier texto. Adems,

puede usted introducir URLs para lanzar automticamente un
navegador web; esto es til, por ejemplo, si se dispone de un
sistema de gestin documental en la intranet.
Fses del proyecto.
Haga clic con el botn izquierdo para seleccionar la fase de
referencia (ROJA).
Haga clic con el botn derecho para seleccionar la fase
objetivo (VERDE).
Ver Fases de referencia y objetivo.

Permetros

Los permetros son patrones de expansin de rboles. Sirven para darle a un nombre a
un determinado nivel de expansin en rboles de salvaguardas y perfiles de seguridad
(EVL).
Algunos permetros son parte de la librera estndar. El usuario puede aadir los suyos
propios.

Los pasos a seguir son los siguientes:

1. Cree una nueva etiqueta con un nombre de su eleccin
versin 5.4

15

PILAR
Expandir > permetro > nueva etiqueta
2. En el rbol, expanda o contraiga nodos hasta obtener el grado de detalle que le
sea til
3. Cargue el permetro en su etiqueta
Expandir > permetro > cargar > su etiqueta
4. Para cambiar el permetro, repita los pasos 2-3
Par usar una etiqueta
Expandir > permetro > su etiqueta
Para eliminar una etiqueta
Expandir > permetro > eliminar > su etiqueta

8.2

Importacin de valores de otro proyecto

Si ya ha evaluado otro sistema en el mismo entorno, puede importar aquellas

valoraciones en este proyecto. Esta situacin es tpica de entornos donde se analizan
varios sistemas pequeos que estn sometidos todos al mismo entorno de proteccin.
Haga clic para seleccionar otro proyecto (.mgr).
PILAR lee del otro proyecto
valores para los perfiles de seguridad
valores para las salvaguardas (ver Salvaguardas)

8.3

En el rbol de controles

Haga clic con el botn derecho

When you right-click on the EVL tree, you may
copiar

Se copia al portapapeles el cdigo y el nombre de la fila

copiar la ruta
Se copia al portapapeles el cdigo y el nombre de la fila y de sus superiores (el
camino que trae a esta file
texto completo
Aparece una ventana con el cdigo y el nombre de la fila
camino completo
Aparece una ventana con el cdigo y el nombre de la fila y de sus superiores (el
camino que trae a esta file
descripcin
Si el control dispone de informacin adicional, se presenta. Depende de cada
perfil.
cerrar el padre
Se colapsa el rbol a nivel del padre de esta fila.
cerrar los hermanos
Se colapsa el rbol al nivel de esta fila., as como de sus hermanos.
ir ar
para enlaces,
versin 5.4

, nos lleva al control enlazado.

16

PILAR

8.4

EVL - Aplicabilidad

Para cada control (

), cada pregunta (
), y cada salvaguarda (
es de aplicacin, o no, haciendo clic en la columna APLICA.

) puede indicar si

Por ejemplo, si tenemos porttiles, pero no tele-trabajo:

n.a. significa que la fila no es de aplicacin. Los puntos suspensivos significan que hay
algo dentro que no aplica.
Cuando selecciona un control y lo marca n.a., todos los controles bajo el marcado
pasan a n.a.. Las salvaguardas no estn rgidamente conectadas, y aunque un control
no aplique, puede que las salvaguardas relacionadas sean de aplicacin, o no; tendr que
marcarlo manualmente.
Puede tener diferentes combinaciones de controles y salvaguardas que que son de
aplicacin, o no.
Por ejemplo

8.5

Controles de obligado cumplimiento

Algunos perfiles de seguridad imponen la obligacin de cumplir ciertos controles. Es un

tema de cumplimiento normativo, a veces dependiente de alguna condicin (por
ejemplo, que el sistema tenga interconexiones). Cuando estas obligaciones se conocen,
PILAR colorea la celda de aplicabilidad.

versin 5.4

17

PILAR

Si un control de obligado cumplimiento se marca como n.a., PILAR mantiene el

coloreado de la celda para recordarle que debe justificar la exclusin.

8.6

Valoracin del perfil

Para los controles y salvaguardas que son de aplicacin, puede indicar una valoracin en
cada fase del proyecto. La valoracin se aplica a las hojas terminales del rbol; si aplica
una valoracin a un nodo con ramas, el valor se propaga hasta las hojas.
El valor que se muestra en los nodos intermedios depende de la seleccin en [2].
porcentaje PILAR estima un porcentaje de cumplimiento derivado de los niveles de
madurez de las ramas.
madurez

PILAR presenta el rango de madurez de las ramas.

PILAR

PILAR compara la madurez en la fase correspondiente con la madurez de

la columna PILAR. Si la madurez es igual o superior, PILAR dice que el
cumplimiento es del 100%. Si es inferior, el porcentaje disminuye.

8.7

Fases de referencia y objetivo

El semforo [22] da una indicacin rpida de si el nivel de madurez es suficiente.

Para calcular el color del semforo, PILAR usa dos fases:
VERDE: fase objetivo
haga clic con el botn derecho en la cabecera de la fase deseada
versin 5.4

18

PILAR
ROJO: fase de referencia
haga clic con el botn izquierdo en la cabecera de la fase deseada
semforo
cdigo de colores
AZUL
VERDE
AMARILLO

8.8

si la madurez de la fase ROJA es mayor que la de la fase VERDE

la madurez ROJA est a la par que la VERDE
la madurez ROJA es inferior a la VERDE: puede mejorarse

ROJO

la madurez ROJA es muy inferior a la verde: debe mejorarse

GRIS

la medida no es de aplicacin

Niveles de madurez

Las salvaguardas se evalan segn la siguiente escala

n.a. no es aplicable
use este valor cuando la salvaguarda no tiene sentido en el sistema; est
preparado con una buena explicacin para justificar la decisin frente al auditor
L0 inexistente
use este valor cuando la salvaguarda es aplicable y debe estar; pero no est
L1 iniciado
use este valor cuando la salvaguarda est, pero en un estado incipiente o muy
inmaduro
L2 parcialmente realizado
use este nivel cuando la salvaguarda est e incluso su operacin es repetible;
pero no existe un procedimiento formal a seguir para gestionarla regularmente;
la gestin se realiza de forma intuitiva
L3 en funcionamiento
use este nivel cuando se sigue un procedimiento de actuacin de forma rutinaria
L4 monitorizado
use este nivel cuando se dispone de medidas regulares de la eficacia y eficiencia
de la salvaguarda en el desempeo de su cometido
L5 mejora continua
use este nivel cuando el proceso de gestin es parte de un ciclo de mejora
continua tpicamente esto significa que se emplea un sistema de gestin de la
seguridad de la informacin (SGSI)

8.9

Elementos xor

Algunos nodos del rbol estn etiquetados como XOR. En estos nodos usted puede elegir
cul de las opciones es la que aplica en cada fase del proyecto.
clic derecho > seleccionar
versin 5.4

19

PILAR
A continuacin se muestra un ejemplo para el mecanismo de identificacin y
autenticacin del usuario.
en la fase actual hemos elegido contraseas
en la fase objetivo hemos elegido tokens con contrasea

8.10

Grfico

Usted puede seleccionar las lneas que desea llevar al grfico. Slo se llevan al grfico las
lneas que se ven y adems estn seleccionadas.

Para seleccionar o ignorar una lnea, haga clic en la primera columna.

Para seleccionar un rango, haga clic en la primera lnea del rango y

MAYSCULAS+clic en la ltima.

Para borrar la seleccin, haga clic en la cabecera.

Cuando no se ha seleccionado nada, PILAR selecciona el segundo nivel del rbol.

Para generar el grfico

men superior OPERACIN
clic GRFICO

versin 5.4

20

PILAR

En el men superior del grfico puede seleccionar diferentes tipos de grficas.

copia el grfico al portapapeles; a continuacin puede pegarse en otro

documento (por ejemplo, e power point o en word)

guarda el grfico en un fichero; puede seleccionar el formato en que se

almacena de entre los proporcionados por su sistema (tpicamente, todos los
sistemas son capaces de generar .PNG y .JPG)

enva el grfico a la impresora

9 Riesgos
Esta pantalla presenta los resultados del anlisis de riesgos. Es una pantalla meramente
de presentacin, sin que de opcin al usuario de introducir datos.

versin 5.4

21

PILAR

El riesgo se mide en una escala entre 0.0 y 10.0 siguiendo estos criterios:

El uso de un decimal sirve para establecer un orden relativo entre los riesgos del mismo
nivel. Por ejemplo, {3.4} es ms que {3.0} dentro ambos del nivel alto.

fases

seleccin

versin 5.4

Una pestaa por ase. Haga clic para seleccionar.

La pseudo-fase potencial muestra el riesgo inherente, sin
salvaguardas.
no se usa
rbol de activos.
1er nivel: activos con valor: riesgo repercutido.
2do nivel: reparto del riesgo por dimensin de seguridad.
3er nivel: activos inferiores (en el rbol de dependencias): riesgo
acumulado.
4to nivel: amenazas sobre los activos inferiores: riesgo acumulado.
22

PILAR

Una columna por cada dimensin de seguridad.

Riesgo. El riesgo se evala por cada amenaza y se va consolidando por

activos.
La primera fila muestra el riesgo del sistema.

En la parte superior aparecen varias pestaas

POTENCIAL
presenta el riesgo potencial; es decir, el riesgo si no hubiera salvaguardas
CURRENT
riesgo residual a fecha de hoy, cuando se aplican las salvaguardas con la madurez
declarada en la fase current
TARGET
riesgo residual objetivo, cuando se aplican las salvaguardas con la madurez
declarada en la fase target
PILAR
riesgo residual si se siguen las recomendaciones de PILAR

10 Informes
PILAR ofrece una serie de informes tipo. Los informes se generan usando el formato RTF
que puede ser editado por la mayora de los procesadores de texto.

Haga clic en el informe que desea generar.

Si desea elaborar sus propios informes,
vaya al directorio donde instal la aplicacin
versin 5.4

23

PILAR

lea el fichero .CAR para determinar la librera que se usa

vaya al directorio de la librera

edite su propio patrn siguiendo las instrucciones disponibles en

[http://www.pilar-tools.com/tools/pilar/doc.htm]
descargue Report Templates

cuando el patrn (.RTF) est listo, dgaselo a PILAR editando el fichero

reports.xml que le asigna un nombre a su fichero y lo hace aparecer en la
pantalla de generacin de informes

11 Mejoras
Si no le satisface el riesgo residual presente, puede pedirle a PILAR ideas acerca de cmo
mejorar. PILAR presenta una pantalla compleja para orientarle hacia las salvaguardas
que pudiera mejorar. Puede seguir las orientaciones de PILAR, o no; la aplicacin se
limita a analizar el riesgo residual pero es usted y su organismo los que tendrn que
vrselas con el riesgo residual que quede.

aspecto

top

versin 5.4

dudas

Ver Salvaguardas / Aspecto.

Ver Salvaguardas / Tipo de proteccin.
rbol de salvaguardas. Ver Salvaguardas / Peso
Haga clic-clic para colapsar / expandir el rbol.
Haga clic con el botn derecho para Salvaguardas / rbol.
Para marcar puntos de duda; es decir, si cuando est rellenado
la tabla de valores aparecen dudas que deben ser respondidas
por alguien ms, marque esta columna, simplemente para
recordar que faltan datos.
24

PILAR
Haga clic para cambiar el estado de duda.

comentario

La marca flota a los controles superiores para destacar el

problema cuando est anidado.
Se usa para asociar comentarios a los controles o
salvaguardas.
Haga clic para editar un comentario.
Cuando hay un comentario asociado, se marca como (*).

El cuerpo del comentario puede ser cualquier texto. Adems,

puede usted introducir URLs para lanzar automticamente un
navegador web; esto es til, por ejemplo, si se dispone de un
sistema de gestin documental en la intranet.
recomendacin Un valor en el rango [null .. 10] estimado por PILAR teniendo
en cuenta los activos declarados, la valoracin en cada
dimensin de seguridad y el nivel de riesgo afrontado por esta
medida o control.
La celda queda gris (null) si PILAR no encuentra ninguna
razn para recomendar la medida.
(o) - PILAR piensa que es excesivo (overkill).
(u) - PILAR piensa que es insuficiente (underkill).
Haga clic con el botn derecho para acceder a una pantalla con
un resumen de las razones para la recomendacin: es decir,
los activos y dimensiones que hacen que la salvaguarda sea de
aplicacin.

semforo

8
10

11.1

sugerencias

Ver Fases de referencia y objetivo.

Fases del proyecto .
Ver Salvaguardas / Valoracin de la madurez.
Salvaguardas cuya madurez se recomienda mejorar en la fase
ROJA. PILAR ordena las salvaguardas por orden de prioridad.
Para localizar la salvaguarda en el rbol superior, haga clic en
la salvaguarda en el panel inferior y PILAR desplegar el rbol
superior para ubicarla en su contexto.

Aspecto

Aspecto que trata la salvaguarda:

G para Gestin
T para Tcnico
F para seguridad Fsica
P para gestin del Personal

11.2

Tipo de proteccin

PR prevencin
versin 5.4

AD administrativa
25

PILAR

11.3

DR disuasin
EL eliminacin
IM minimizacin del impacto
CR correccin
RC recuperacin

AW concienciacin
DC deteccin
MN monitorizacin
std norma
proc procedimiento
cert certificacin o acreditacin

Peso relativo
mximo peso

crtica

peso alto

muy importante

peso normal

importante

peso bajo

interesante

aseguramiento: componentes certificados

11.4

Informacin adicional

Una ventana separada presenta informacin adicional relativa a la salvaguarda

11.5

En el rbol de salvaguardas

Si hace clic-clic en alguna salvaguarda de rbol de salvaguardas, se le presentan varias

opciones
copiar
copia en el portapapeles el nombre de la salvaguarda
copiar ruta
copia en el portapapeles el camino completo de la salvaguarda
texto completo
cdigo y nombre de la salvaguarda
26
versin 5.4

PILAR
camino completo
muestra la salvaguarda en su contexto; es decir, la serie de pasos desde la raz
hasta ella
cerrar el padre
compacta el rbol, cerrando el padre del nodo seleccionado
cerrar los hermanos
compacta el rbol cerrando todos los hermanos del nodo seleccionado
ms informacin
presenta informacin adicional sobre la salvaguarda.
Ver Salvaguardas / Informacin adicional.
n.a.
marca la salvaguarda como no aplicable, para todas las fases
aplicable
marca la salvaguarda como aplicable, para todas las fases

11.6

Valoracin de la madurez de las salvaguardas

El valor es un nivel de madurez en el rango L0 a L5, o una marca de no aplicabilidad

(n.a.), o est vaco. A efectos matemticos, n.a. es como si la salvaguarda no existiera.
Si una celda est en blanco, PILAR intenta reutilizar el valor de la fase. Si despus de esa
bsqueda sigue sin valor, se usa el valor L0.
Los valores de madurez se le asignan a las salvaguardas individuales. Los grupos de
salvaguardas muestran el rango (min-max) de su despliegue. La agregacin se propaga
hacia arriba hasta el primer nivel de salvaguardas.
cdigo de color
caracteres rojos

cuando el valor se calcula a partir de otros

negro sobre blanco cuando el valor es explcito

Para cambiar un valor de madurez
haga clic con el botn derecho y elija un valor
seleccione una o ms celdas (filas y columnas), luego copie y pegue

12 Personalizacin
Dispone de amplias opciones para personalizar la herramienta. Para ello debe editar los
ficheros del directorio de la biblioteca.
Puede ubicar el directorio de biblioteca leyendo el fichero Fichero de configuracin que
elige en la primara pantalla.

Puede aadir nuevos tipos de activos

Puede aadir nuevos criterios de valoracin

Puede aadir nuevas amenazas

Puede adaptar el perfil de amenazas

versin 5.4

27

PILAR

Puede preparar sus propios informes

Vea [http://www.pilar-tools.com/tools/pilar/doc.htm]

12.1 Fichero de configuracin

La distribucin de PILAR incluye ficheros de configuracin que se copian en el directorio
de instalacin.
Busque ficheros con este patrn
MICRO_ _es.car
La distribucin estndar debera ser suficiente para las necesidades de la mayor parte
de los usuarios.
El fichero es texto. Puede editarlo fcilmente para adecuar el idioma, y los directorios.

versin 5.4

28