11 Taller 1

CURSO ONLINE DE
CIBERSEGURIDAD
Especialidad Compliance
Taller 1
Unidad 4. Compliance, las normas
son importantes
Unidad 4
Taller11
Contenidos
1 ENTORNO MICROPILAR 3
2 INSTALACIÓN DE MICROPILAR 5
3 DESCARGA DE JAVA 17
4 LICENCIA MICROPILAR 25
5 USO DE LA HERRAMIENTA 30
Duración total del taller: 1 hora 15 minutos

Unidad 2
Actividad 1
ENTORNO
MICROPILAR
1
Unidad 2
3
Actividad 1
1 ENTORNO MICROPILAR
Vas a realizar un Análisis de Riesgos (AARR) con la herramienta MicroPILAR.
Esta herramienta permite realizar análisis de riesgos, y consiste en una versión simplificada de PILAR, por lo que,
aunque permite realizar el análisis de riesgos de forma rápida, no es tan preciso. La herramienta nos va a ayudar a
conocer los riesgos existentes para así poder realizar un tratamiento de los mismos posteriormente, esto es, eliminarlos,
reducirlos, asumirlos o transferirlos.
En el transcurso de la práctica irás descubriendo paso a paso desde cómo crear un nuevo proyecto, la creación y
valoración de activos, aplicación de salvaguardas y, para finalizar, cómo obtener informes de los datos tratados.
Hemos escogido la opción de ISO 27001 para la realización de esta práctica.
Unidad 4
4
Taller 1
INSTALACIÓN DE
2
MICROPILAR
Unidad 2
5
Actividad 1
2 INSTALACIÓN DE MICROPILAR
• Para descargar la herramienta, accede al siguiente enlace: https://pilar.ccn-cert.cni.es/index.php/pilar/pilar-micro
• En la página principal, a la derecha dispones de un menú desde donde puedes descargarla.
Ilustración 1: Menú dónde descargar MicroPILAR.
Unidad 4
6
Taller 1
• Cuando hagamos clic sobre «Descargar», nos redirigirá a esta otra página y pulsaremos sobre la carpeta «ES
27000».
Ilustración 2: Selección de la carpeta «ES 27000».

Unidad 4
7
Taller 1
• Ahora selecciona tu sistema operativo, en nuestro

caso, Windows.
Ilustración 3: Selección del sistema operativo Windows.

Unidad 4
8
Taller 1
• Selecciona el archivo .exe que tiene una rueda como icono a la izquierda.
Ilustración 4: Selección del archivo «pilarmicro_202216_27000_es.exe».
Unidad 4
9
Taller 1
• Una vez descargada, hacemos doble clic sobre ella para ejecutarla.
Ilustración 5: Ejecución del archivo «pilarmicro_202216_27000_es.exe».
Unidad 4
10
Taller 1
• Pulsamos «siguiente» para comenzar con la instalación.
Ilustración 6: Inicio de la
instalación de MicroPILAR.
Unidad 4
11
Taller 1
• Seleccionamos la ruta donde queremos que se guarde la herramienta y pulsamos «siguiente».
Ilustración 7: ¿Dónde debe

instalarse MicroPILAR?
Unidad 4
12
Taller 1
• Para los accesos directos del programa dejamos la opción por defecto.
Ilustración 8: ¿Dónde deben

colocarse los accesos directos
del programa?
Unidad 4
13
Taller 1
• Dejamos seleccionada la opción «Crear un acceso directo en el escritorio».
Ilustración 9: ¿Qué tareas

adicionales deben
realizarse?
Unidad 4
14
Taller 1
• Pulsamos en «Instalar».
Ilustración 10:
Instalación de
MicroPILAR.
Unidad 4
15
Taller 1
• Una vez instalada, nos aparecerá

esta pantalla. Dejamos
seleccionada la opción de «Ejecutar
MicroPILAR» para que se abra la
herramienta y pulsa «Finalizar».
Ilustración 11: Completa la instalación de

MicroPILAR.
Unidad 4
16
Taller 1
3
DESCARGA DE JAVA
Unidad 2
17
Actividad 1
3 DESCARGA DE JAVA
• Es posible que te aparezca el aviso «This application requires a Java Runtime Environment 1.8.0». Si aparece es
que no tienes instalado Java y deberás descargarlo. Al pulsar en «Aceptar» te redirige a una página desde la que
puedes descargarlo.
Ilustración 12: Aviso «This application

requires a Java Runtime Environment 1.8.0»
Unidad 4
18
Taller 1
3 DESCARGA DE JAVA
• Por el contrario, si al pulsar en «Finalizar» te ha abierto la herramienta de MicroPILAR, puedes avanzar hasta el
apartado 4. Licencias MicroPILAR.
• Pulsa en «Descargar Java».
Ilustración 13: Descarga Java.
Unidad 4
19
Taller 1
3 DESCARGA DE JAVA
• Haz doble clic sobre el archivo descargado, en nuestro caso, llamado «jre-8u351-windows-x64».
Ilustración 14: Iniciación del proceso de instalación de Java.
Unidad 4
20
Taller 1
3 DESCARGA DE JAVA
• Haz clic en «Instalar» para instalar el programa.
Ilustración 15: Inicio de la instalación de Java.

Unidad 4
21
Taller 1
3 DESCARGA DE JAVA
Ilustración 9: Comando para actualización.
Ilustración 16: Instalación de Java.
Unidad 4
22
Taller 1
3 DESCARGA DE JAVA
• Una vez termine, pulsa en «Cerrar».
Ilustración 17: Cerrar la instalación.

Unidad 4
23
Taller 1
3 DESCARGA DE JAVA
• Si has tenido que instalar Java, no se te ha ejecutado automáticamente la herramienta, por lo que tendrás que
abrirla haciendo doble clic sobre ella.
Ilustración 18: Ejecuta la herramienta MicroPILAR.
Unidad 4
24
Taller 1
4
LICENCIA
MICROPILAR
Unidad 2
25
Actividad 1
4 LICENCIA MICROPILAR
• En este apartado vamos a introducir la licencia

MicroPILAR, necesaria para poder utilizar la
herramienta.
• Una vez hecho doble clic sobre la herramienta o en

caso de que se haya ejecutado al terminar la
instalación, aparecerá esta ventana en la que tienes
que pulsar «OK».
Ilustración 19: Ventana emergente mostrando

información sobre MicroPILAR
Unidad 4
26
Taller 1
• Ahora nos aparecerá esta ventana para que seleccionemos la licencia. Normalmente, las empresas suelen tener
licencia o se suele comprar en función del número de usuarios que queramos que la usen. Se puede pedir enviando
un correo a pilar@ccn-cert.cni.es, pero esta herramienta ofrece una versión de 30 días que podemos utilizar para
realizar la práctica.
• Selecciona la opción «licencia de evaluación» y pulsa «OK».
Ilustración 20: Selección de la licencia.

Unidad 4
27
Taller 1
• Aparecerá esta ventana, pulsa sobre «sí».
Ilustración 21: ¿Desea una licencia de evaluación (30 días)?
Unidad 4
28
Taller 1
Ilustración 22: Pantalla de inicio de MicroPILAR.
¡Enhorabuena!
Ya tienes MicroPILAR lista para utilizarla.
Unidad 4
29
Taller 1
5
USO DE LA
HERRAMIENTA
Unidad 2
30
Actividad 1
5 USO DE LA HERRAMIENTA
• Te animamos a que uses e investigues la herramienta para familiarizarte con ella y veas las distintas opciones que te
puede ofrecer. En este taller, vamos a centrarnos en realizar un análisis de riesgos sobre los activos que pueden estar
relacionados con el personal; pero hay muchas otras opciones que puedes investigar.
• En el siguiente enlace puedes ver los diferentes tipos de activos que podrían incorporarse para valorar su riesgo, que
te puede servir para realizar tus propios simulacros de análisis de riesgos: https://pilar.ccn-
cert.cni.es/index.php/docman/documentos/2-magerit-v3-libro-ii-catalogo-de-elementos/file.
• Una vez abierta la aplicación, tienes que hacer clic en el icono señalado para crear un nuevo proyecto.
Unidad 4
31
Taller 1
Ilustración 23: Captura del inicio de la aplicación

donde se nos señala el icono para crear un nuevo
proyecto.
Unidad 4
32
Taller 1
• Cumplimenta todos los datos

necesarios, así como el código,
nombre, organización, versión, etc.
Estos campos pueden ser ficticios, así
que elige los que quieras. Como buena
práctica, se recomienda en el código
comenzar por el 001, para poder llevar
una contabilidad de forma más sencilla.
Una vez finalizado, haz clic en la flecha
naranja del inferior de la pantalla para
continuar a la siguiente pantalla. Ilustración 24: Imagen con los datos del proyecto que hay que
completar (nombre, código, organización).
Unidad 4
33
Taller 1
• En esta pantalla puedes

visualizar la clasificación
de los distintos tipos de
activos que realiza
MicroPILAR.
Ilustración 25: Clasificación de los distintos tipos de activos.
• Como puedes observar, hay cuatro tipos de activos que en MicroPILAR nos vienen dados por defecto. El principal es
el de «Activos esenciales» que recogerán los activos principales, de los que el resto dependerán, como iremos viendo
a lo largo de la práctica.
Unidad 4
34
Taller 1
• Para poder incluir tus propios activos, bastará con hacer clic derecho sobre el tipo de activo del listado que desees y
seleccionar la opción de «nuevo activo».
Ilustración 26: Muestra de los diferentes tipos de activos que realiza MicroPILAR. Para incluir los
propios, solo es necesario con hacer clic derecho sobre cualquiera de ellos y seleccionar nuevo activo.
Unidad 4
35
Taller 1
• Sobre el tipo de activo «Activos esenciales», cuando pulsamos sobre «nuevo activo» aparecerá una nueva ventana
para completar los datos requeridos del nuevo activo.
 Código: P001
• Nota: la P es de Personal. Puedes poner la nomenclatura que quieras.
 Nombre: usuarios internos.
 Propietario: personal.
 Clase de activos: essential.
 Descripción: usuarios internos.
Unidad 4
36
Taller 1
Ilustración 27: Captura de la ventana en la que

se deben incluir los datos del nuevo activo.
Unidad 4
37
Taller 1
• En el campo «Clase de activos»

pulsamos sobre él para seleccionar a
qué clase pertenece este activo.
Podemos desplegar las listas haciendo
clic sobre los puntos azules que
aparecen. En este caso, vamos a hacer
clic sobre «[service] servicio».
Ilustración 28: Selecciona «[service] servicio».
Unidad 4
38
Taller 1
• Vamos a seleccionar la opción

«[personnel] relativos al personal», ya
que se trata de usuarios internos, y
es el campo que mejor encaja para
este activo. Para aplicar los cambios,
debemos pulsar sobre la carita
sonriente.
Ilustración 29: Selecciona «[personnel] relativos al personal»,
Unidad 4
39
Taller 1
• Una vez rellenados todos los campos,

se pulsa el botón de «OK» para guardar
los datos.
Ilustración 30: Guardado de datos para P001 «usuarios internos».
Unidad 4
40
Taller 1
• Crea tres activos más dentro del tipo de

«Activos esenciales», tal como hemos
hecho con «usuarios internos».
 Administradores de sistemas.
 Administradores de seguridad.
 Desarrolladores / Programadores.
Ilustración 31: Guardado de datos para P002

«administradores de sistemas».
Unidad 4
41
Taller 1

«administradores de seguridad».
Unidad 4
42
Taller 1

«desarrolladores / programadores».
Unidad 4
43
Taller 1
• Como vemos, ahora tienes los cuatro tipos de activos esenciales que acabamos de crear.
Ilustración 34: Tipos de activos esenciales creados.
Unidad 4
44
Taller 1
• Después, haz lo mismo en «sistema de protección de frontera lógica», pero esta vez, añade un antivirus.
Ilustración 35: Añade un antivirus a «sistema de

protección de frontera lógica».
Unidad 4
45
Taller 1
• Rellena los campos del nuevo activo.
 Código: Ant1
• Nota: Ant de antivirus.
 Nombre: antivirus
 Propietario: software
 Descripción: antivirus
• Nota: en este caso no necesitamos seleccionar la clase de activo, ya que viene por defecto.
Unidad 4
46
Taller 1
Ilustración 36: Guardado de datos para Ant1.
Unidad 4
47
Taller 1
• Ahora haremos lo mismo, añadiendo el activo «seguridad tornos de entrada» bajo el tipo «sistema de protección física
del perímetro».
Ilustración 37: Añade en «sistema de protección física del perímetro» el activo

«seguridad tornos de entrada».
Unidad 4
48
Taller 1
 Código SF01
• Nota: SF de Seguridad Física.
 Nombre: seguridad tornos de entrada.
 Propietario: personal.
 Descripción: seguridad tornos de entrada.
Unidad 4
49
Taller 1
Ilustración 38: Guardado de datos para SF01.

Unidad 4
50
Taller 1
• Por último, añadiremos el activo «SW de terceros» dentro del tipo de activo «contratado a terceros».
Ilustración 39: Añade a «contratado a terceros» el activo «SW de

terceros». Unidad 4
51
Taller 1
 Código: 3rd-01
 Nombre: SW de terceros.
 Propietario: software.
 Descripción: SW de terceros.
Unidad 4
52
Taller 1
Ilustración 40: Guardado de datos para 3rd-01

Unidad 4
53
Taller 1
• Una vez que crees todos los activos, quedará un cuadro de activos de la siguiente forma:
Ilustración 41: Cuadro de activo tras todos los activos creados.
Unidad 4
54
Taller 1
• Una vez que tengas todos los activos que quieres incluidos en la herramienta, vas a realizar la valoración de cada uno
de ellos. Como vas a realizar un AARR sobre la ISO 27001 comenzarás por valorar las columnas de «Disponibilidad»,
«Integridad» y «Confidencialidad».
• Si haces doble clic en la casilla de disponibilidad del activo «usuarios internos» puedes ver, aparecerá una nueva
pantalla para valorar este activo.
Unidad 4
55
Taller 1
Ilustración 42: Al hacer doble clic en uno de los activos se abre una
nueva pantalla para valorar ese activo.
Unidad 4
56
Taller 1
• Para cada activo se puede marcar el nivel requerido en materia de seguridad en cada una de las dimensiones que
hemos visto (D, disponibilidad; I, integridad y C, confidencialidad). Aunque también se pueden añadir en autenticidad
(A) y trazabilidad (T), pero nos vamos a centrar en los tres primeros para esta práctica.
NIVEL VALOR DESCRIPCIÓN

CRÍTICO 9 – 10 Máximos requisitos de seguridad
ALTO 6-8 Elevados requisitos de seguridad
MEDIO 3-5 Requisitos medios de seguridad
BAJO 1-2 Requisitos bajos de seguridad
SIN VALORAR 0 No hay ninguna necesidad de proteger
Unidad 4
57
Taller 1
• La valoración que se haga dependerá de los requisitos de seguridad que se necesiten para proteger el activo, es decir,
si un activo requiere mucha protección respecto a la confidencialidad, le daremos un nivel alto (entre 7 y 10) o crítico
(entre 9 y 10); y por el contrario, si no lo requiere, podríamos darle un nivel bajo (entre 1 y 3).
• Estos valores dependerán de cada organización y de la criticidad que supongan para ellas, por lo que, de una
empresa a otra, pueden variar.
• Una vez que aparezca esta pantalla, haz clic en el desplegable de nivel para dar una valoración del activo.
Unidad 4
58
Taller 1
Ilustración 43: Despliega la sección «nivel».
Unidad 4
59
Taller 1
Ilustración 44: Distintos niveles que aparece en la sección «nivel».

Unidad 4
60
Taller 1
• Una vez seleccionado el valor que quieres, en este

caso vamos a seleccionar el valor 6 para usuarios
internos, haz clic en «aplicar» y te llevará a la
pantalla anterior para seguir valorando todos los
activos.
Ten en cuenta que esto es una práctica, por lo que
podrías dar los valores que quieras.
Ilustración 45: Selección del valor 6.

Unidad 4
61
Taller 1
Ilustración 46: Al aplicar el valor, devuelve al usuario a la pantalla anterior.
Unidad 4
62
Taller 1
• Haz lo mismo para las columnas de

«Integridad» y «Confidencialidad».
Ilustración 47: Repite acción con las columnas «Integridad»

y «Confidencialidad».
Unidad 4
63
Taller 1
• Como has podido ver, aunque sólo hemos establecido valores para los usuarios internos, nos aparecen valores en los
tres activos finales que hemos creado. Esto se debe a que es MicroPILAR, por tanto, disponemos de unas
funcionalidades más limitadas, y a que el resto de activos van a depender o «beber» de los activos esenciales.
• Este paso debes hacerlo para la disponibilidad, integridad y confidencialidad de cada uno de los activos esenciales.
Una vez que tengas todos los activos valorados, podrás visualizarlos como en la siguiente pantalla:
Unidad 4
64
Taller 1
Ilustración 48: Imagen de ejemplo de cómo se ven todos los activos

una vez que están valorados.
Unidad 4
65
Taller 1
• Para poder guardar el proyecto, debes hacer

clic en el primer icono de la esquina inferior
derecha, el icono que tiene forma de disquete
y se muestra resaltado en la ilustración
anterior. Una vez hecho, aparecerá la
siguiente pantalla:
Ilustración 49: Captura de la pantalla que aparece al guardar

el proyecto donde se incluye el nombre y tipo del archivo.
Unidad 4
66
Taller 1
• Establece un nombre al proyecto y haz clic

en guardar. Al hacerlo, aparecerá la siguiente
pantalla por si quieres cifrar el acceso al
documento. Si no quieres establecer ninguna
contraseña, haz clic en «OK».
Ilustración 50: Al guardar el proyecto, la aplicación de

la opción de cifrar el acceso al documento.
Unidad 4
67
Taller 1
• Una vez guardado el proyecto, volverá

automáticamente a la anterior pantalla.
Haz clic en la flecha naranja del inferior
de la pantalla para continuar.
Ilustración 51: Imagen de la pantalla que aparece al guardar el proyecto.
Unidad 4
68
Taller 1
• Aparecerá la siguiente pantalla en la que podrás seleccionar una serie de activos de soporte. Una vez que hayas
seleccionado los que te interesan, pulsa la flecha de naranja para continuar.
• En este caso, seleccionaremos de la lista «Personal» los cuatro que hemos añadido de activos:
 Usuarios internos.
 Administradores de sistemas.
 Administradores de seguridad.
 Desarrolladores / programadores.
Unidad 4
69
Taller 1
Ilustración 52: Imagen que muestra la opción de seleccionar activos de soporte.
Unidad 4
70
Taller 1
• Después de seleccionar los activos de soporte deseados, llegarás a esta pantalla en la cual podrás seleccionar una
serie de factores agravantes/atenuantes. Estos factores harán que se incrementen o se reduzcan los riesgos una vez
realices la valoración completa de los activos.
• Esta selección depende del auditor y lo que él o ella considere que puede ser un agravante o atenuante, por lo que
podrás seleccionar los que consideres.
En nuestro caso, al tratarse de personal, tiene sentido que algunos de los factores agravantes/atenuantes sean, por
ejemplo, el público en general y el personal interno, así como la sobrecarga de trabajo o con conflictos de interés.
Unidad 4
71
Taller 1
Ilustración 53: Seleccionados los

activos del paso anterior, ahora
toca elegir una serie de factores
agravantes/atenuantes que harán
que se incrementen o se reduzcan
los riesgos una vez realizada la
valoración completa de los activos.
Unidad 4
72
Taller 1
• Después, haz clic en la flecha naranja para

continuar.
• En esta pantalla vas a seleccionar cómo vas a

realizar el tratamiento de las salvaguardas. Como
se ha visto anteriormente, este AARR se va a
realizar sobre la ISO 27001, por lo que debes
seleccionar únicamente el anexo 27002 de esta
norma. Una vez seleccionado, haz clic en la
flecha naranja para continuar.
Ilustración 54: Imagen que confirma donde se

selecciona el anexo 27002 como salvaguarda.
Unidad 4
73
Taller 1
• En esta pantalla darás valoración a cada uno de los puntos del anexo 27002. Como puedes visualizar, tienes que
cumplimentar la columna «current» en la cual, en los siguientes pasos, vas a establecer de L0 a L5 el nivel de
cumplimentación que tiene tu sistema para cada uno de los puntos. Cabe destacar que, a parte de la valoración actual
y del objetivo que vas a dar para los controles, dónde estás y hasta dónde quieres llegar mediante la maduración de
los controles, MicroPILAR da una recomendación del nivel que cree que deberías de tener para cada uno de los
controles.
• Hay que tener en cuenta que cuanto mayor sea el número, mayor es el nivel de cumplimiento que tiene el sistema. Es
decir, si consideramos que un activo no cumple con los requisitos de seguridad adecuados, podemos poner un L0 o
L1; si por el contrario consideramos que los cumple todos, podemos poner un L5. Un poco más adelante veremos qué
significa cada nivel.
Unidad 4
74
Taller 1
Ilustración 55: Captura de la pantalla donde se valora cada uno de los puntos del
anexo 27002.
Unidad 4
75
Taller 1
• Antes de continuar, vamos a realizar un cambio. Como ves en esta imagen superior, la columna «target» está en rojo y
la columna «PILAR» en verde. Lo que vamos a hacer es que la columna «current» esté en rojo y la columna «target»
en verde. Esto nos va a servir para que realice la comparativa de forma adecuada, entre la situación actual y el
objetivo.
Para ello, colócate sobre la columna «current», y presiona el botón izquierdo del ratón; deberá ponerse en rojo ahora.
Ahora colócate sobre la columna «target», y presiona el botón derecho del ratón, que lo pondrá verde.
Ilustración 56: Cambio de color para las columnas «current» y «target».
Unidad 4
76
Taller 1
• En esta tabla, podemos ver, de izquierda a derecha:
 Recomendación: consiste en un valor estimado por la propia herramienta en función de los activos que hemos
declarado, la valoración que hemos hecho previamente en cada dimensión de seguridad (Disponibilidad,
Integridad y Confidencialidad), y el nivel de riesgo que se afronta en cada control.
 Semáforo: consiste en una comparación mostrada en colores. Comienza en rojo porque no hemos completado
nada. Compara la valoración en la fase de referencia (en color rojo) con la valoración en la fase objetivo (en color
verde) y de ello muestra un color, que puede ser:
• Rojo: el valor de referencia es muy inferior al del objetivo.
• Amarillo: el valor de referencia es inferior al del objetivo.
• Verde: el valor de referencia es igual al del objetivo.
• Azul: el valor de referencia es superior al del objetivo.
Unidad 4
77
Taller 1
 Árbol de controles: son los controles mostrados de forma jerárquica, en este caso, los correspondientes a la
ISO 27002.
 Dudas: permite marcar esta columna para recordar que faltan datos para realizar la valoración.
 Aplica: permite determinar la aplicabilidad o no del control. Normalmente, se usa para indicar que no aplica
(«n.a.»). Por ejemplo, si disponemos de portátiles, pero no existe teletrabajo, no aplicaría el control.
Ilustración 57: Ejemplo donde se puede colocar «n.a.».
Unidad 4
78
Taller 1
 Comentario: permite escribir comentarios asociados a los controles.
 Current: permite determinar el nivel de cumplimiento que el auditor considere que tiene dicho control. Existen,
como hemos dicho, diferentes niveles:
• N.a. – No aplica: se utiliza cuando la salvaguarda no tiene sentido en el sistema, cuando no aplica el control a
lo que se está auditando.
• L0 – inexistente: se utiliza cuando la salvaguarda es aplicable y debe estar, pero no está.
• L1 – iniciado: se utiliza cuando está, pero en un estado inmaduro.
• L2 – parcialmente realizado: se utiliza cuando la salvaguarda está y su operación es repetible, pero no existe
un procedimiento formal a seguir, es decir, la gestión se realiza de forma intuitiva.
• L3 – en funcionamiento: se utiliza cuando se sigue un procedimiento de actuación de forma rutinaria.
Unidad 4
79
Taller 1
• L4 – monitorizado: dispone de medidas regulares de eficacia y eficiencia de la salvaguarda.
• L5 – mejora continua: se utiliza cuando el proceso de gestión es parte de un ciclo de mejora continua.
 Target: hace referencia al objetivo al que se desea llegar o al que se debería llegar.
 PILAR: es una recomendación por parte de la herramienta del nivel de cumplimiento que debería tener el control.
Unidad 4
80
Taller 1
• Vamos ahora a establecer el nivel de cumplimiento del control «[6.3] Formación y Concienciación» o, si te aparece en
inglés, «Informatión security awareness, education and training».
• Para establecer el nivel de cumplimiento vas a hacer clic derecho en la celda de la columna «current» y seleccionar el
nivel de madurez.
En este caso, por ejemplo, sabemos y tenemos documentos de que la organización que estamos auditando imparte
cursos formativos al personal en el momento en que entran a trabajar a la empresa, pero no realizan más de forma
periódica, ni tampoco tienen un procedimiento definido ni distribuyen píldoras informativas de seguridad de la
información, por ejemplo. Así que vamos a otorgarle un L1, ya que está iniciado, pero no disponen de un
procedimiento formal y no podemos considerar que esté parcialmente realizado.
Recordemos que esta valoración la hace el auditor, por lo que cada uno puede considerar una valoración distinta.
Unidad 4
81
Taller 1
Ilustración 58: Selecciona el nivel de cumplimiento para la columna «current» en

la fila «Informatión security awareness, education and training».
Unidad 4
82
Taller 1
• Después, haz lo mismo con la columna «target». Debería existir un mejor nivel de cumplimiento, por lo menos debería
estar parcialmente realizado, por lo que en la columna «Target», vamos a otorgarle un L2.
Unidad 4
83
Taller 1
Ilustración 59: Selecciona el nivel de cumplimiento para la columna «target» en la

fila «Informatión security awareness, education and training».
Unidad 4
84
Taller 1
• Haciendo zoom a este control en concreto podemos ver que el semáforo ha cambiado y se encuentra en amarillo, ya
que el nivel de cumplimiento actual es inferior al del objetivo.
Ilustración 60: El semáforo ha cambiado y se encuentra en amarillo.
• Vamos a realizar los subcontroles del control «[6] People controls», en español «Controles de personas»:
 El «[6.1] Screening» o, en español, «Chequeo». Se hace referencia a la necesidad de verificar la cualificación a

los empleados antes de contratarlos. Imaginemos que esta empresa, realiza varias entrevistas, busca referencias
del posible nuevo empleado y toma todas las precauciones; es decir, tiene un buen nivel de cumplimiento, así que
le otorgamos un L4, tanto en current como en target, porque está monitorizado y la organización desea mantener
el mismo control.
Unidad 4
85
Taller 1
 El «[6.2] Terms and conditions of employment» o «Términos y condiciones de empleo». Hace referencia a la
necesidad de informar a todos los nuevos empleados de su responsabilidad frente a la seguridad de la
información de la organización. Supongamos que la empresa, en el contrato, incluye una cláusula de
confidencialidad y se informa a todos los empleados de las consecuencias de su incumplimiento. Sin embargo,
no se encuentra en un ciclo de mejora continua. Por ello, le otorgamos en la columna current un L4 y en target
un L5.
 El «[6.4] Disciplinary process» o «Proceso disciplinario». Asumimos que tiene las mismas condiciones que el
control 6.2, ya que se informa a los empleados de las consecuencias de adoptar malas conductas o incurrir en
un incumplimiento de sus responsabilidades y deberes.
Unidad 4
86
Taller 1
 El «[6.5] Responsabilities after termination or change of employment» o «Responsabilidades después del fin o
cambio de empleo». Hace referencia a las responsabilidades por parte del empleado tras finalizar su relación
contractual con la empresa. Por ello, con la cláusula de confidencialidad, podemos establecer el mismo nivel que
en el 6.2 y 6.4.
 Con el punto 6.6, podemos establecer lo mismo, ya que habla sobre la confidencialidad y acuerdos de no
divulgación.
 Sobre el «[6.7] Remote working» o «Trabajo remoto», esta organización no tiene establecido el teletrabajo, por lo
que este control no aplicaría. Esto lo hacemos desde la columna que pone «Base», y hacemos clic sobre ella en
la fila correspondiente al control.
Unidad 4
87
Taller 1
 Sobre el «[6.8] Information security evento reporting» o «Informes de eventos de seguridad de la información»,
hace referencia a que la organización deben disponer de un sistema que permita que el personal pueda informar
sobre eventos de seguridad de la información anómalos o sospechosos. Supongamos que esta empresa
únicamente dispone del correo electrónico para reportar estos eventos, pero es insuficiente y deberían
encontrarse en funcionamiento (L3). En este control, vemos que inicialmente está en gris en la columna
«Recomendación» de la izquierda, eso es que o el control no aplica o algún subcontrol no aplica. Para ello,
vamos a desplegarlo haciendo doble clic sobre el punto que hay al lado izquierdo del control.
Unidad 4
88
Taller 1
Ilustración 61: Despliega la información sobre «[6.8] Information security evento

reporting».
• Esto nos desplegará los subcontroles que tiene. Vemos que hay uno que no aplica y dos sí. Además, como
tenemos una licencia en modo evaluación, no podemos ver de forma completa los subcontroles.
Ilustración 62: Subcontroles sobre «[6.8] Information security evento reporting».
Unidad 4
89
Taller 1
• Una vez hecho esto y asignado los niveles de cumplimiento, tendríamos una tabla como esta:
Ilustración 63: Tabla con los niveles de cumplimiento asignados.
Unidad 4
90
Taller 1
• Haz lo mismo con el resto de los controles. Para hacerlo más ágil, vamos a otorgar unos valores al control raíz, es
decir, en el control «[5] Organizational controls» o, en español, «[5] Controles organizativos», vamos a colocarnos
sobre la columna «current» y vamos a otorgarle un nivel de cumplimiento L4. Y en la columna «target» otorgamos un
L5, porque suponemos que la empresa dispone de todo lo necesario y está monitorizado. Al darle un nivel de
cumplimiento al control raíz, esto hará que los subcontroles que beben de él, es decir, todos los «[5]» tengan ese nivel.
Ilustración 64: Asignación de L4 a «current» y L5 a «target» en «[5]

Organizational controls».
Unidad 4
91
Taller 1
• Otorga ahora al control «[7] Physical controls», en español «[7] Controles físicos», un L4 en la columna «current» y
«target», ya que consideramos que disponen de los procedimientos y están en funcionamiento correctamente y
monitorizados.
• Por último, en el control «[8] Technological controls» o «[8] Controles tecnológicos», vamos a darle un L4 en la
columna «current» y en la columna «target», ya que consideramos que disponen de los procedimientos y están
monitorizados, y no buscan establecer un ciclo de mejora continua.
• Una vez que tengas todos los campos necesarios cumplimentados nos quedaría una tabla como la siguiente:
Unidad 4
92
Taller 1
Ilustración 65: Tabla tras los cambios aplicados.
Unidad 4
93
Taller 1
• Para continuar, haz clic en la flecha naranja para continuar a la siguiente pantalla.
Ilustración 66: Clic en la flecha para continuar.

Unidad 4
94
Taller 1
• En base a la valoración que has dado de disponibilidad, integridad y confidencialidad de los activos esenciales,
MicroPILAR va a calcular el riesgo potencial, actual, objetivo y el riesgo al que cree que deberías llegar.
• Los riesgos se miden en una escala entre 0.0 al 10.0:
Ilustración 67: Escala de riesgos.
Unidad 4
95
Taller 1
• Esta imagen hace referencia al riesgo potencial, es decir, el riesgo existente si no hubiera salvaguardas.
Ilustración 68: Imagen en la que aparece el cálculo de la valoración del riesgo potencial según los valores de
disponibilidad, integridad y confidencialidad que se han marcado.
Unidad 4
96
Taller 1
• Esta imagen hace referencia al riesgo residual actual, aplicadas las salvaguardas con la madurez declarada en la
fase «Current».
Ilustración 69: Imagen en la que aparece el cálculo de la valoración del riesgo residual actual cuando se aplican
las salvaguardas con la madurez declarada en la fase «current».
Unidad 4
97
Taller 1
• Esta imagen muestra el riesgo residual cuando se aplican las salvaguardas con la madurez declarada en la fase
«target».
Ilustración 70: Imagen en la que aparece el cálculo de la valoración del riesgo residual cuando se aplican
las salvaguardas con la madurez declarada en la fase «target».
Unidad 4
98
Taller 1
• Esta imagen muestra el riesgo residual si se siguen las recomendaciones hechas por PILAR.
Ilustración 71: Imagen en la que aparece el cálculo de la valoración del riesgo residual si se siguen las
recomendaciones hechas por PILAR.
Unidad 4
99
Taller 1
• Si avanzas haciendo clic en la flecha naranja, podrás llegar a la siguiente pantalla en la que MicroPILAR hace un top
10 de los activos con sus amenazas más preocupantes.
• Como puedes ver, si has seguido esta práctica utilizando los mismos valores, vemos que en la columna «current»,
tenemos riesgos altos, medios y bajos actualmente. Y en algunos casos distan de los riesgos objetivos establecidos.
• Estos valores pueden ser diferentes en tu práctica, por lo que debes fijarte en la semejanza o falta de ella, y si esta es
muy grande. Esto posteriormente nos servirá para realizar el tratamiento del riesgo.
Unidad 4
100
Taller 1
Ilustración 72: Según los resultados del paso anterior, el programa realiza un top
10 de los activos con sus amenazas más preocupantes.
Unidad 4
101
Taller 1
• Si continúas avanzando con la flecha naranja, llegarás a la pantalla de informes, en la que podrás descargar un
informe completo del AARR que acabas de realizar.
Ilustración 73: Imagen donde aparecen los tipos de

informes que se pueden obtener.
Unidad 4
102
Taller 1
• Si continúas avanzando llegarás a una de las pantallas más importantes. Esta pantalla te muestra las salvaguardas
sugeridas por MicroPILAR en base a la madurez indicada, el objetivo al que quieres llegar y los riesgos que has
introducido. En base a esto, cuando el riesgo sea superior de lo que debería, MicroPILAR te va a sugerir una serie de
salvaguardas que debes establecer para mitigar los riesgos que han aparecido tras la conclusión del AARR.
• Las salvaguardas se representan con el icono de un paraguas y tienen un color diferente según su importancia o
necesidad de aplicación.
Ilustración 74: Iconos de las salvaguardas.

Unidad 4
103
Taller 1
Ilustración 75: Captura que muestra las salvaguardas sugeridas por MicroPILAR
en base a la madurez indicada, el objetivo final y los riesgos introducidos.
Unidad 4
104
Taller 1
• Vamos a ver algunas de ellas. Si desplegamos la salvaguarda «[IA.5] Cuentas especiales (administración)», vamos a
ver que aparecen diferentes salvaguardas.
Ilustración 76: Despliega «[IA.5] Cuentas especiales (administración)».
Unidad 4
105
Taller 1
 La primera, aparece en amarillo, esto quiere decir que es muy importante crear cuentas específicas para los
administradores del sistema.
 La segunda y tercera, en rojo, implica que son críticas y que deberían implementarse con urgencia, tanto la
creación de cuentas específicas para administradores de seguridad como para mantenimiento.
 Por último, encontramos salvaguardas en verde, que quiere decir que es importante aplicarlas.
• La aplicación de estas salvaguardas es optativa, ya que son ideas y recomendaciones que realiza la herramienta en
base al análisis del riesgo residual; pero por supuesto, es responsabilidad del auditor y de la organización determinar
los pasos a realizar para mejorar el riesgo residual existente actualmente.
Unidad 4
106
Taller 1
¡GRACIAS!
Unidad 4
Taller
1071

11 Taller 1

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

11 Taller 1

Cargado por

Copyright:

Formatos disponibles

CURSO ONLINE DE

Duración total del taller: 1 hora 15 minutos

Vas a realizar un Análisis de Riesgos (AARR) con la herramienta MicroPILAR.

Hemos escogido la opción de ISO 27001 para la realización de esta práctica.

• Para descargar la herramienta, accede al siguiente enlace: https://pilar.ccn-cert.cni.es/index.php/pilar/pilar-micro

• En la página principal, a la derecha dispones de un menú desde donde puedes descargarla.

Ilustración 1: Menú dónde descargar MicroPILAR.

Ilustración 2: Selección de la carpeta «ES 27000».

• Ahora selecciona tu sistema operativo, en nuestro

Ilustración 3: Selección del sistema operativo Windows.

Ilustración 4: Selección del archivo «pilarmicro_202216_27000_es.exe».

Ilustración 5: Ejecución del archivo «pilarmicro_202216_27000_es.exe».

• Pulsamos «siguiente» para comenzar con la instalación.

• Seleccionamos la ruta donde queremos que se guarde la herramienta y pulsamos «siguiente».

Ilustración 7: ¿Dónde debe

Ilustración 8: ¿Dónde deben

• Dejamos seleccionada la opción «Crear un acceso directo en el escritorio».

Ilustración 9: ¿Qué tareas

• Una vez instalada, nos aparecerá

Ilustración 11: Completa la instalación de

Ilustración 12: Aviso «This application

• Pulsa en «Descargar Java».

Ilustración 13: Descarga Java.

Ilustración 14: Iniciación del proceso de instalación de Java.

• Haz clic en «Instalar» para instalar el programa.

Ilustración 15: Inicio de la instalación de Java.

Ilustración 9: Comando para actualización.

Ilustración 16: Instalación de Java.

• Una vez termine, pulsa en «Cerrar».

Ilustración 17: Cerrar la instalación.

Ilustración 18: Ejecuta la herramienta MicroPILAR.

• En este apartado vamos a introducir la licencia

• Una vez hecho doble clic sobre la herramienta o en

Ilustración 19: Ventana emergente mostrando

• Selecciona la opción «licencia de evaluación» y pulsa «OK».

Ilustración 20: Selección de la licencia.

• Aparecerá esta ventana, pulsa sobre «sí».

Ilustración 21: ¿Desea una licencia de evaluación (30 días)?

Ilustración 22: Pantalla de inicio de MicroPILAR.

Ilustración 23: Captura del inicio de la aplicación

• Cumplimenta todos los datos

• En esta pantalla puedes

Ilustración 25: Clasificación de los distintos tipos de activos.

• Nota: la P es de Personal. Puedes poner la nomenclatura que quieras.

 Nombre: usuarios internos.

 Clase de activos: essential.

 Descripción: usuarios internos.

Ilustración 27: Captura de la ventana en la que

• En el campo «Clase de activos»

Ilustración 28: Selecciona «[service] servicio».

• Vamos a seleccionar la opción

Ilustración 29: Selecciona «[personnel] relativos al personal»,

• Una vez rellenados todos los campos,

Ilustración 30: Guardado de datos para P001 «usuarios internos».

• Crea tres activos más dentro del tipo de

Ilustración 31: Guardado de datos para P002

Ilustración 32: Guardado de datos para P003

Ilustración 33: Guardado de datos para P004

Ilustración 34: Tipos de activos esenciales creados.

Ilustración 35: Añade un antivirus a «sistema de

• Rellena los campos del nuevo activo.

• Nota: Ant de antivirus.

Ilustración 36: Guardado de datos para Ant1.