El documento describe PILAR, un software de análisis de riesgos que compila los activos de un sistema, sus relaciones e interdependencias para identificar amenazas potenciales y derivar los riesgos sobre el sistema. PILAR permite realizar análisis cualitativos y cuantitativos para determinar riesgos potenciales y residuales, y desarrollar planes de mejora de seguridad. El software se puede ejecutar en diferentes sistemas operativos y ofrece ventajas como conocer los riesgos y evaluar el cumplimiento de estándares de seguridad

1. PILARPILAR
PROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS
OFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE
ECTECCIONDE VULNERABILIDADES
ESENTADO POR:
DAVID ORTEGA
EMILIO BATISTAHIM
LAURA ROSAS
ROBERTO QUIROZ
JOSÉ RAMEA
GTR: VIEIRA GONZALEZ
PROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS
OFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE

2. PILARPILAR
PROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOSPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS

3. PILARPILAR
• Consiste en una aplicación informática
sus relaciones de interdependencia y
el sistema, permite introducir las amenazas
disponibilidad, integridad, confidencialidad,
para derivar los riesgos potenciales sobre
• Una vez conocidos los riesgos, se
salvaguardas y estimar el riesgo residual
proceso continuo y recurrente en el
mejorando regularmente para afrontar
confianza que el sistema merece para
informática que compila los activos del sistema,
su valor para la organización. Conocido
amenazas posibles en los aspectos de
confidencialidad, autenticidad y trazabilidad,
sobre el sistema.
se pueden determinar una serie de
residual. En tratamiento del riesgo es un
el que el sistema de potección se va
afrontar nuevos riesgos y aumentar la
los responsables y los usuarios.
3

4. ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR
PILAR puede realizar un análisis cualitativo,
discretos para la valoración de los
recomienda siempre en primer lugar,
cuantitativo detallado. Un análisis cualitativo
• Identificar los activos más significativos
• Identificar el valor relativo de los activos
• Identificar las amenazas más relevantes
• Identificar las salvaguardas presentes en el
• establecer claramente los activos críticos (los que están sujetos a un riesgo
máximo)
ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR
cualitativo, usando una serie de niveles
los activos. Un análisis cualitativo se
lugar, antes de que se intente un análisis
cualitativo permite:
significativos
activos
relevantes
las salvaguardas presentes en el sistema
claramente los activos críticos (los que están sujetos a un riesgo
4

5. ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR
PILAR puede realizar un análisis cuantitativodetallado
• Detalla las consecuencias económicas de la materializaciónde una amenaza en un
activo
• Estimala tasa anual de ocurrencia de amenazas
• Detalla el coste de despliegue y mantenimientode las salvaguardas
• Permite ser más preciso en la planificaciónde gastos de cara a un plan de mejora de
seguridad
ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR
PILAR puede realizar un análisis cuantitativodetallado:
las consecuencias económicas de la materializaciónde una amenaza en un
amenazas
Detalla el coste de despliegue y mantenimientode las salvaguardas
Permite ser más preciso en la planificaciónde gastos de cara a un plan de mejora de
5

6. AMENAZAS EN PILARAMENAZAS EN PILAR
Modelo de Amenazas:
• Se denomina modelo de amenazas a la terminología utilizada para concretar la
valoraciónde las amenazas: probabilidady degradación
• La probabilidadde una amenaza es un asunto difícilde explicar. PILAR permite
varias maneras de plasmar las posibilidades queuna amenaza
Video de 15 minutos , https://www.youtube.com/watch?v=EgiYIIJ8WnU
Se denomina modelo de amenazas a la terminología utilizada para concretar la
valoraciónde las amenazas: probabilidady degradación.
La probabilidadde una amenaza es un asunto difícilde explicar. PILAR permite
varias maneras de plasmar las posibilidades queuna amenaza tiende de ocurrir.
, https://www.youtube.com/watch?v=EgiYIIJ8WnU
6

7. PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR
Cada sistemarequiereprocedimientos deseguridad. Es decir, instrucciones claras en
cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.
Es decir, cada procedimientodetermina
• Quiéndebe
• hacer qué,
• Cuándo,
• Y qué registrodebe dejar tras de sí la actuación
Los procedimientos puedenser más o menos eficaces en cada fase del proyecto.
PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR
Cada sistemarequiereprocedimientos deseguridad. Es decir, instrucciones claras en
cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.
• Y qué registrodebe dejar tras de sí la actuación.
Los procedimientos puedenser más o menos eficaces en cada fase del proyecto.
7

8. NIVELES DE VALORACIÓN
• Los activos y los impactos se valoran
cualitativamentesegúnuna escala de 0
hasta10.
Los criterios asociados a cada nivel (es
decir, argumentos que se pueden utilizar
paraestablecer cierto nivel) se pueden
consultarsobre las pantallas. Sin
embargo, el resumen siguientepuede
ayudara encontrar el nivel correcto:
NIVELES DE VALORACIÓN
8

9. NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR
PILARutiliza nivelesde madurez para evaluar salvaguardas según el modelo de madurez (CMM)
usado para calificarla madurez de procesos.
NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR
PILARutiliza nivelesde madurez para evaluar salvaguardas según el modelo de madurez (CMM)
9

10. NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR
PILARestima los riesgos según una escala simple de seis valores:
NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR
PILARestima los riesgos según una escala simple de seis valores:
10

11. IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR
El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.
El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.
El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales
El impacto y el riesgo, el potencialy los valores residuales, constituyen información importante para
tomar decisiones en materia de seguridad por ejemplo:
• Activos a supervisar
• Salvaguardas a desplegar o a mejorar
• Aceptación de riesgos operacionales
IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR
El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.
El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.
El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales.
El impacto y el riesgo, el potencialy los valores residuales, constituyen información importante para
tomar decisiones en materia de seguridad por ejemplo:
11

12. RESULTADOS YRESULTADOS Y VENTAJASVENTAJAS
DE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR
Resultados
1 Impactopotencial y residual.
2 Riesgopotencial y residual.
3 Mapade riesgos.
4 Plande mejora de la seguridad
5 Monitorizacióncontinúadel Estado
de Riesgo
OBTENIDOS CONOBTENIDOS CON EL USOEL USO
DE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR
Ventajas
1 Conocerlos riesgos a fin de poder
tratarlos
2 Conocerlos riesgos a fin de poder
tratarlos
3 Conocerel grado de cumplimiento de
diferentes perfiles de seguridad: 27002,
protecciónde datos de carácterpersonal,
esquema nacional de seguridad, etc.
4 Implementarla metodologíaMagerit e
ISO/IEC27005.
12

13. CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:
13

14. DIAGRAMA UTILIZACION DE LA HERRAMIENTADIAGRAMA UTILIZACION DE LA HERRAMIENTA
PILARPILAR
UTILIZACIONDE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7
Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.
DIAGRAMA UTILIZACION DE LA HERRAMIENTADIAGRAMA UTILIZACION DE LA HERRAMIENTA
PILARPILAR
UTILIZACIONDE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7
Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.
14

15. PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO
IDENTIFICACIONDE ACTIVOS
Identificaciónde activos: dentro de la opción análisis de riesgos, primero se ingresan los activos
clasificándolospor su función.
PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO
Identificaciónde activos: dentro de la opción análisis de riesgos, primero se ingresan los activos
15

16. TIVOSTIVOS
os activos se organizan en:
Capas
Grupos de activos
Activospropiamente dichos

17. VALORACION DE ACTIVOSVALORACION DE ACTIVOS
Paravalorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de
valoraciónentre activos y sus vulnerabilidades reflejados en los pilares.
VALORACION DE ACTIVOSVALORACION DE ACTIVOS
Paravalorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de
valoraciónentre activos y sus vulnerabilidades reflejados en los pilares.
17

18. IDENTIFICACIONDE AMENAZASIDENTIFICACIONDE AMENAZAS
PILARrecomienda utilizar su bibliotecade amenazas y esta se puede asociara cada uno de los
activos,tomando en cuenta sus clases y dependencias.
IDENTIFICACIONDE AMENAZASIDENTIFICACIONDE AMENAZAS
PILARrecomienda utilizar su bibliotecade amenazas y esta se puede asociara cada uno de los
activos,tomando en cuenta sus clases y dependencias.
18

20. VALORACION DE AMENAZASVALORACION DE AMENAZAS
PILARpropone valorar las amenazas definiendo las frecuencias o probabilidad de posible
materializaciónde las mismas y la degradación por niveles o porcentajes de los cinco pilares.
VALORACION DE AMENAZASVALORACION DE AMENAZAS
PILARpropone valorar las amenazas definiendo las frecuencias o probabilidad de posible
materializaciónde las mismas y la degradación por niveles o porcentajes de los cinco pilares.
20

21. IMPACTO ACUMULADOIMPACTO ACUMULADO
Es el impacto evaluado en los activosinferiores
21

22. IDENTIFICACIONY VALORACION DE SALVAGUARDASIDENTIFICACIONY VALORACION DE SALVAGUARDAS
Utilizandolas sugerencias de la herramienta PILAR, utilizamos la plantillade salvaguardas, y a
continuaciónla valoraciónde acuerdo a los siguientes parámetros
IDENTIFICACIONY VALORACION DE SALVAGUARDASIDENTIFICACIONY VALORACION DE SALVAGUARDAS
las sugerencias de la herramienta PILAR, utilizamos la plantillade salvaguardas, y a
continuaciónla valoraciónde acuerdo a los siguientes parámetros
22

23. IDENTIFICACION,IDENTIFICACION, VALORACION YVALORACION Y RIESGO RESIDUAL
23

24. RIESGO RESIDUALRIESGO RESIDUAL
Es el riesgo obtenido posterior a la valoración y aplicaciónde salvaguardasEs el riesgo obtenido posterior a la valoración y aplicaciónde salvaguardas
24

25. SOFTWARE PILAR PARA DIFERENTES SISTEMAS
OPERATIVOS
25
SOFTWARE PILAR PARA DIFERENTES SISTEMAS
OPERATIVOS