SRC 2020-21 Práctica 2 y 3 Análisis de Riesgos -6-

3.- PARTE 3: Pilar

3.1.-Instalar la herramienta PILAR (Win), y arrancar el programa con la

configuración por defecto, en modo presentación, y seleccionando modo cualitativo.

3.1.A. Buscar en red la herramienta disponible Pilar e instalarla sobre Windows.

¿Cuál es la última versión disponible?

3.1.B.¿Qué significa el acrónimo PILAR?

3.1.C.¿Qué técnica de análisis, de las tres catalogadas en Margerit, crees que utiliza
esta aplicación?

3.1.D.Capturar una pantalla con Alt-PrintScreen para el informe de la práctica.

Elegir --Modo lectura --Análisis y gestión riesgos --Análisis Cualitativo.

3.2.- Abrir el fichero ejemplo STIC-ens.car (sólo se pide la primera vez que se usa,
podría dar error formato, pero continuar), y finalmente abrir el proyecto
pyme_es.mgr, que representa a una empresa que se dedica a la “Comercialización
y Planificación de Redes Móviles”.
3.2.A. ¿Cuántas dimensiones se valoran en este proyecto de Pilar? Enumerar.

3.2.B.¿Cuáles son lo grupos en los cuales se clasifican las amenazas? Enumerar.

3.2.C. Dentro de los criterios de valoración de los activos ¿Cuál es la escala de

valoración dentro del programa Pilar?

3.2.D.¿Cuáles son las clases de activos en Pilar? Enumerar. Como son muchos los
disponibles, enumerar los grupos en los que se clasifican las clases de activos y
detallar solo las clase de activos de uno de los grupos.

3.2.E. ¿Cuáles son las amenazas que afectan a los activos “datos de clientes” y
“oficinas”? Mostrar.

3.2.F.Los niveles de vulnerabilidad puede tener cada amenaza en este proyecto de

Pilar son:
SRC 2020-21 Práctica 2 y 3 Análisis de Riesgos -7-

Se puede ver en el Manual de PILAR, niveles de degradación en las páginas 84 y 297. Son 5
niveles, en función del porcentaje.

3.2.G. En esta organización, encontrar como está valorada la amenaza de “robo de

equipo” sobre un “ordenador portátil”, comentando cual es la frecuencia de ocurrencia y
como impacta en las 5 dimensiones analizadas.
(Desplegar 2.3, [HW] equipos informáticos y dentro de este equipos portátiles, buscar la
amenaza por robo, casi al final de la lista.)

3.3.-Análisis del impacto y riesgo.

El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores
residuales.
El impacto y el riesgo, el potencial y los valores residuales, constituyen información importante para
tomar decisiones en materia de seguridad por ejemplo
ͻactivos a supervisar
ͻsalvaguardas a desplegar o a mejorar
ͻaceptación de riesgos operacionales.
Puede haber diferentes puntos de vista para optimizar un sistema, Ej, cumplir ISO 27001. En éste
caso tu objetivo es simplemente mejorar la seguridad del sistema, par ello necesitas tener
clasificados los riesgos de seguridad de todos los activos, y así poder definir acciones de mejora
sobre los mas vulnerables.

3.3.A. Señalar impacto del activo “equipo portátil” en la dimensión de “confidencialidad”.

3.3.B. ¿A qué activos afectan los “errores de usuario” y a qué activos afecta el “fuego” ?

3.3.C. Localiza la amenaza de menor frecuencia “f”, pero mayor “riesgo”, y descríbela.

3.4.- Explorar las salvaguardas

Pon un ejemplo de salvaguarda.

3.4.A. Dentro de la salvaguardas de “gestión de personal”, ¿dónde consideras que es

necesario lanzar un plan de acción para alcanzar mayor nivel de madurez en los
cambios de “puesto de trabajo”?
(Nivel de madurez: valor que se utiliza para evaluar las salvaguardas de L0 eficacia de
salvaguarda “inexistente” a L5 “optimizado” )

3.4.B. Dentro de las salvaguardas de “Organización”, existe un apartado que indica : se

dispone de normativa de seguridad (políticas…).
Valora la posibilidad de lanzar acciones que incrementen el nivel de madurez.
Como indicación:
eficacia nivel significado
0% L0 inexistente
10% L1 inicial / ad hoc
50% L2 reproducible, pero intuitivo
SRC 2020-21 Práctica 2 y 3 Análisis de Riesgos -8-

90% L3 proceso definido

95% L4 gestionado y medible
100% L5 optimizado

3.4.C. Describe alguno de los riesgos graves que tras la aplicación de salvaguardas
han mejorado notablemente.

3.4.D. Examinar los perfiles de seguridad, y comprobar en qué ítems de la ISO 27002
donde nos hemos quedado más lejos del objetivo a cumplir.