Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD
Especialidad Compliance
Taller 1
Unidad 4. Compliance, las normas
son importantes
Unidad 4
Taller11
Contenidos
1 ENTORNO MICROPILAR 3
2 INSTALACIÓN DE MICROPILAR 5
3 DESCARGA DE JAVA 17
4 LICENCIA MICROPILAR 25
5 USO DE LA HERRAMIENTA 30
Unidad 2
3
Actividad 1
1 ENTORNO MICROPILAR
Esta herramienta permite realizar análisis de riesgos, y consiste en una versión simplificada de PILAR, por lo que,
aunque permite realizar el análisis de riesgos de forma rápida, no es tan preciso. La herramienta nos va a ayudar a
conocer los riesgos existentes para así poder realizar un tratamiento de los mismos posteriormente, esto es, eliminarlos,
reducirlos, asumirlos o transferirlos.
En el transcurso de la práctica irás descubriendo paso a paso desde cómo crear un nuevo proyecto, la creación y
valoración de activos, aplicación de salvaguardas y, para finalizar, cómo obtener informes de los datos tratados.
Unidad 4
4
Taller 1
INSTALACIÓN DE
2
MICROPILAR
Unidad 2
5
Actividad 1
2 INSTALACIÓN DE MICROPILAR
Unidad 4
6
Taller 1
2 INSTALACIÓN DE MICROPILAR
• Cuando hagamos clic sobre «Descargar», nos redirigirá a esta otra página y pulsaremos sobre la carpeta «ES
27000».
• Selecciona el archivo .exe que tiene una rueda como icono a la izquierda.
Unidad 4
9
Taller 1
2 INSTALACIÓN DE MICROPILAR
• Una vez descargada, hacemos doble clic sobre ella para ejecutarla.
Unidad 4
10
Taller 1
2 INSTALACIÓN DE MICROPILAR
Ilustración 6: Inicio de la
instalación de MicroPILAR.
Unidad 4
11
Taller 1
2 INSTALACIÓN DE MICROPILAR
Unidad 4
12
Taller 1
2 INSTALACIÓN DE MICROPILAR
• Para los accesos directos del programa dejamos la opción por defecto.
• Pulsamos en «Instalar».
Ilustración 10:
Instalación de
MicroPILAR.
Unidad 4
15
Taller 1
2 INSTALACIÓN DE MICROPILAR
Unidad 4
16
Taller 1
3
DESCARGA DE JAVA
Unidad 2
17
Actividad 1
3 DESCARGA DE JAVA
• Es posible que te aparezca el aviso «This application requires a Java Runtime Environment 1.8.0». Si aparece es
que no tienes instalado Java y deberás descargarlo. Al pulsar en «Aceptar» te redirige a una página desde la que
puedes descargarlo.
Unidad 4
18
Taller 1
3 DESCARGA DE JAVA
• Por el contrario, si al pulsar en «Finalizar» te ha abierto la herramienta de MicroPILAR, puedes avanzar hasta el
apartado 4. Licencias MicroPILAR.
Unidad 4
19
Taller 1
3 DESCARGA DE JAVA
• Haz doble clic sobre el archivo descargado, en nuestro caso, llamado «jre-8u351-windows-x64».
Unidad 4
20
Taller 1
3 DESCARGA DE JAVA
Unidad 4
22
Taller 1
3 DESCARGA DE JAVA
• Si has tenido que instalar Java, no se te ha ejecutado automáticamente la herramienta, por lo que tendrás que
abrirla haciendo doble clic sobre ella.
Unidad 4
24
Taller 1
4
LICENCIA
MICROPILAR
Unidad 2
25
Actividad 1
4 LICENCIA MICROPILAR
Unidad 4
26
Taller 1
4 LICENCIA MICROPILAR
• Ahora nos aparecerá esta ventana para que seleccionemos la licencia. Normalmente, las empresas suelen tener
licencia o se suele comprar en función del número de usuarios que queramos que la usen. Se puede pedir enviando
un correo a pilar@ccn-cert.cni.es, pero esta herramienta ofrece una versión de 30 días que podemos utilizar para
realizar la práctica.
Unidad 4
28
Taller 1
4 LICENCIA MICROPILAR
¡Enhorabuena!
Ya tienes MicroPILAR lista para utilizarla.
Unidad 4
29
Taller 1
5
USO DE LA
HERRAMIENTA
Unidad 2
30
Actividad 1
5 USO DE LA HERRAMIENTA
• Te animamos a que uses e investigues la herramienta para familiarizarte con ella y veas las distintas opciones que te
puede ofrecer. En este taller, vamos a centrarnos en realizar un análisis de riesgos sobre los activos que pueden estar
relacionados con el personal; pero hay muchas otras opciones que puedes investigar.
• En el siguiente enlace puedes ver los diferentes tipos de activos que podrían incorporarse para valorar su riesgo, que
te puede servir para realizar tus propios simulacros de análisis de riesgos: https://pilar.ccn-
cert.cni.es/index.php/docman/documentos/2-magerit-v3-libro-ii-catalogo-de-elementos/file.
• Una vez abierta la aplicación, tienes que hacer clic en el icono señalado para crear un nuevo proyecto.
Unidad 4
31
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
32
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
33
Taller 1
5 USO DE LA HERRAMIENTA
• Como puedes observar, hay cuatro tipos de activos que en MicroPILAR nos vienen dados por defecto. El principal es
el de «Activos esenciales» que recogerán los activos principales, de los que el resto dependerán, como iremos viendo
a lo largo de la práctica.
Unidad 4
34
Taller 1
5 USO DE LA HERRAMIENTA
• Para poder incluir tus propios activos, bastará con hacer clic derecho sobre el tipo de activo del listado que desees y
seleccionar la opción de «nuevo activo».
Ilustración 26: Muestra de los diferentes tipos de activos que realiza MicroPILAR. Para incluir los
propios, solo es necesario con hacer clic derecho sobre cualquiera de ellos y seleccionar nuevo activo.
Unidad 4
35
Taller 1
5 USO DE LA HERRAMIENTA
• Sobre el tipo de activo «Activos esenciales», cuando pulsamos sobre «nuevo activo» aparecerá una nueva ventana
para completar los datos requeridos del nuevo activo.
Código: P001
Propietario: personal.
Unidad 4
36
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
37
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
38
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
39
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
40
Taller 1
5 USO DE LA HERRAMIENTA
Administradores de sistemas.
Administradores de seguridad.
Desarrolladores / Programadores.
Unidad 4
42
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
43
Taller 1
5 USO DE LA HERRAMIENTA
• Como vemos, ahora tienes los cuatro tipos de activos esenciales que acabamos de crear.
Unidad 4
44
Taller 1
5 USO DE LA HERRAMIENTA
• Después, haz lo mismo en «sistema de protección de frontera lógica», pero esta vez, añade un antivirus.
Código: Ant1
Nombre: antivirus
Propietario: software
Descripción: antivirus
• Nota: en este caso no necesitamos seleccionar la clase de activo, ya que viene por defecto.
Unidad 4
46
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
47
Taller 1
5 USO DE LA HERRAMIENTA
• Ahora haremos lo mismo, añadiendo el activo «seguridad tornos de entrada» bajo el tipo «sistema de protección física
del perímetro».
Código SF01
Propietario: personal.
• Nota: en este caso no necesitamos seleccionar la clase de activo, ya que viene por defecto.
Unidad 4
49
Taller 1
5 USO DE LA HERRAMIENTA
• Por último, añadiremos el activo «SW de terceros» dentro del tipo de activo «contratado a terceros».
Código: 3rd-01
Nombre: SW de terceros.
Propietario: software.
Descripción: SW de terceros.
• Nota: en este caso no necesitamos seleccionar la clase de activo, ya que viene por defecto.
Unidad 4
52
Taller 1
5 USO DE LA HERRAMIENTA
• Una vez que crees todos los activos, quedará un cuadro de activos de la siguiente forma:
Unidad 4
54
Taller 1
5 USO DE LA HERRAMIENTA
• Una vez que tengas todos los activos que quieres incluidos en la herramienta, vas a realizar la valoración de cada uno
de ellos. Como vas a realizar un AARR sobre la ISO 27001 comenzarás por valorar las columnas de «Disponibilidad»,
«Integridad» y «Confidencialidad».
• Si haces doble clic en la casilla de disponibilidad del activo «usuarios internos» puedes ver, aparecerá una nueva
pantalla para valorar este activo.
Unidad 4
55
Taller 1
5 USO DE LA HERRAMIENTA
Ilustración 42: Al hacer doble clic en uno de los activos se abre una
nueva pantalla para valorar ese activo.
Unidad 4
56
Taller 1
5 USO DE LA HERRAMIENTA
• Para cada activo se puede marcar el nivel requerido en materia de seguridad en cada una de las dimensiones que
hemos visto (D, disponibilidad; I, integridad y C, confidencialidad). Aunque también se pueden añadir en autenticidad
(A) y trazabilidad (T), pero nos vamos a centrar en los tres primeros para esta práctica.
Unidad 4
57
Taller 1
5 USO DE LA HERRAMIENTA
• La valoración que se haga dependerá de los requisitos de seguridad que se necesiten para proteger el activo, es decir,
si un activo requiere mucha protección respecto a la confidencialidad, le daremos un nivel alto (entre 7 y 10) o crítico
(entre 9 y 10); y por el contrario, si no lo requiere, podríamos darle un nivel bajo (entre 1 y 3).
• Estos valores dependerán de cada organización y de la criticidad que supongan para ellas, por lo que, de una
empresa a otra, pueden variar.
• Una vez que aparezca esta pantalla, haz clic en el desplegable de nivel para dar una valoración del activo.
Unidad 4
58
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
59
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
62
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
63
Taller 1
5 USO DE LA HERRAMIENTA
• Como has podido ver, aunque sólo hemos establecido valores para los usuarios internos, nos aparecen valores en los
tres activos finales que hemos creado. Esto se debe a que es MicroPILAR, por tanto, disponemos de unas
funcionalidades más limitadas, y a que el resto de activos van a depender o «beber» de los activos esenciales.
• Este paso debes hacerlo para la disponibilidad, integridad y confidencialidad de cada uno de los activos esenciales.
Una vez que tengas todos los activos valorados, podrás visualizarlos como en la siguiente pantalla:
Unidad 4
64
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
65
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
66
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
67
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
68
Taller 1
5 USO DE LA HERRAMIENTA
• Aparecerá la siguiente pantalla en la que podrás seleccionar una serie de activos de soporte. Una vez que hayas
seleccionado los que te interesan, pulsa la flecha de naranja para continuar.
• En este caso, seleccionaremos de la lista «Personal» los cuatro que hemos añadido de activos:
Usuarios internos.
Administradores de sistemas.
Administradores de seguridad.
Desarrolladores / programadores.
Unidad 4
69
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
70
Taller 1
5 USO DE LA HERRAMIENTA
• Después de seleccionar los activos de soporte deseados, llegarás a esta pantalla en la cual podrás seleccionar una
serie de factores agravantes/atenuantes. Estos factores harán que se incrementen o se reduzcan los riesgos una vez
realices la valoración completa de los activos.
• Esta selección depende del auditor y lo que él o ella considere que puede ser un agravante o atenuante, por lo que
podrás seleccionar los que consideres.
En nuestro caso, al tratarse de personal, tiene sentido que algunos de los factores agravantes/atenuantes sean, por
ejemplo, el público en general y el personal interno, así como la sobrecarga de trabajo o con conflictos de interés.
Unidad 4
71
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
72
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
73
Taller 1
5 USO DE LA HERRAMIENTA
• En esta pantalla darás valoración a cada uno de los puntos del anexo 27002. Como puedes visualizar, tienes que
cumplimentar la columna «current» en la cual, en los siguientes pasos, vas a establecer de L0 a L5 el nivel de
cumplimentación que tiene tu sistema para cada uno de los puntos. Cabe destacar que, a parte de la valoración actual
y del objetivo que vas a dar para los controles, dónde estás y hasta dónde quieres llegar mediante la maduración de
los controles, MicroPILAR da una recomendación del nivel que cree que deberías de tener para cada uno de los
controles.
• Hay que tener en cuenta que cuanto mayor sea el número, mayor es el nivel de cumplimiento que tiene el sistema. Es
decir, si consideramos que un activo no cumple con los requisitos de seguridad adecuados, podemos poner un L0 o
L1; si por el contrario consideramos que los cumple todos, podemos poner un L5. Un poco más adelante veremos qué
significa cada nivel.
Unidad 4
74
Taller 1
5 USO DE LA HERRAMIENTA
Ilustración 55: Captura de la pantalla donde se valora cada uno de los puntos del
anexo 27002.
Unidad 4
75
Taller 1
5 USO DE LA HERRAMIENTA
• Antes de continuar, vamos a realizar un cambio. Como ves en esta imagen superior, la columna «target» está en rojo y
la columna «PILAR» en verde. Lo que vamos a hacer es que la columna «current» esté en rojo y la columna «target»
en verde. Esto nos va a servir para que realice la comparativa de forma adecuada, entre la situación actual y el
objetivo.
Para ello, colócate sobre la columna «current», y presiona el botón izquierdo del ratón; deberá ponerse en rojo ahora.
Ahora colócate sobre la columna «target», y presiona el botón derecho del ratón, que lo pondrá verde.
Unidad 4
76
Taller 1
5 USO DE LA HERRAMIENTA
Recomendación: consiste en un valor estimado por la propia herramienta en función de los activos que hemos
declarado, la valoración que hemos hecho previamente en cada dimensión de seguridad (Disponibilidad,
Integridad y Confidencialidad), y el nivel de riesgo que se afronta en cada control.
Semáforo: consiste en una comparación mostrada en colores. Comienza en rojo porque no hemos completado
nada. Compara la valoración en la fase de referencia (en color rojo) con la valoración en la fase objetivo (en color
verde) y de ello muestra un color, que puede ser:
Unidad 4
77
Taller 1
5 USO DE LA HERRAMIENTA
Árbol de controles: son los controles mostrados de forma jerárquica, en este caso, los correspondientes a la
ISO 27002.
Dudas: permite marcar esta columna para recordar que faltan datos para realizar la valoración.
Aplica: permite determinar la aplicabilidad o no del control. Normalmente, se usa para indicar que no aplica
(«n.a.»). Por ejemplo, si disponemos de portátiles, pero no existe teletrabajo, no aplicaría el control.
Unidad 4
78
Taller 1
5 USO DE LA HERRAMIENTA
Current: permite determinar el nivel de cumplimiento que el auditor considere que tiene dicho control. Existen,
como hemos dicho, diferentes niveles:
• N.a. – No aplica: se utiliza cuando la salvaguarda no tiene sentido en el sistema, cuando no aplica el control a
lo que se está auditando.
• L2 – parcialmente realizado: se utiliza cuando la salvaguarda está y su operación es repetible, pero no existe
un procedimiento formal a seguir, es decir, la gestión se realiza de forma intuitiva.
Unidad 4
79
Taller 1
5 USO DE LA HERRAMIENTA
• L5 – mejora continua: se utiliza cuando el proceso de gestión es parte de un ciclo de mejora continua.
Target: hace referencia al objetivo al que se desea llegar o al que se debería llegar.
PILAR: es una recomendación por parte de la herramienta del nivel de cumplimiento que debería tener el control.
Unidad 4
80
Taller 1
5 USO DE LA HERRAMIENTA
• Vamos ahora a establecer el nivel de cumplimiento del control «[6.3] Formación y Concienciación» o, si te aparece en
inglés, «Informatión security awareness, education and training».
• Para establecer el nivel de cumplimiento vas a hacer clic derecho en la celda de la columna «current» y seleccionar el
nivel de madurez.
En este caso, por ejemplo, sabemos y tenemos documentos de que la organización que estamos auditando imparte
cursos formativos al personal en el momento en que entran a trabajar a la empresa, pero no realizan más de forma
periódica, ni tampoco tienen un procedimiento definido ni distribuyen píldoras informativas de seguridad de la
información, por ejemplo. Así que vamos a otorgarle un L1, ya que está iniciado, pero no disponen de un
procedimiento formal y no podemos considerar que esté parcialmente realizado.
Recordemos que esta valoración la hace el auditor, por lo que cada uno puede considerar una valoración distinta.
Unidad 4
81
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
82
Taller 1
5 USO DE LA HERRAMIENTA
• Después, haz lo mismo con la columna «target». Debería existir un mejor nivel de cumplimiento, por lo menos debería
estar parcialmente realizado, por lo que en la columna «Target», vamos a otorgarle un L2.
Unidad 4
83
Taller 1
5 USO DE LA HERRAMIENTA
• Haciendo zoom a este control en concreto podemos ver que el semáforo ha cambiado y se encuentra en amarillo, ya
que el nivel de cumplimiento actual es inferior al del objetivo.
• Vamos a realizar los subcontroles del control «[6] People controls», en español «Controles de personas»:
Unidad 4
85
Taller 1
5 USO DE LA HERRAMIENTA
El «[6.2] Terms and conditions of employment» o «Términos y condiciones de empleo». Hace referencia a la
necesidad de informar a todos los nuevos empleados de su responsabilidad frente a la seguridad de la
información de la organización. Supongamos que la empresa, en el contrato, incluye una cláusula de
confidencialidad y se informa a todos los empleados de las consecuencias de su incumplimiento. Sin embargo,
no se encuentra en un ciclo de mejora continua. Por ello, le otorgamos en la columna current un L4 y en target
un L5.
El «[6.4] Disciplinary process» o «Proceso disciplinario». Asumimos que tiene las mismas condiciones que el
control 6.2, ya que se informa a los empleados de las consecuencias de adoptar malas conductas o incurrir en
un incumplimiento de sus responsabilidades y deberes.
Unidad 4
86
Taller 1
5 USO DE LA HERRAMIENTA
El «[6.5] Responsabilities after termination or change of employment» o «Responsabilidades después del fin o
cambio de empleo». Hace referencia a las responsabilidades por parte del empleado tras finalizar su relación
contractual con la empresa. Por ello, con la cláusula de confidencialidad, podemos establecer el mismo nivel que
en el 6.2 y 6.4.
Con el punto 6.6, podemos establecer lo mismo, ya que habla sobre la confidencialidad y acuerdos de no
divulgación.
Sobre el «[6.7] Remote working» o «Trabajo remoto», esta organización no tiene establecido el teletrabajo, por lo
que este control no aplicaría. Esto lo hacemos desde la columna que pone «Base», y hacemos clic sobre ella en
la fila correspondiente al control.
Unidad 4
87
Taller 1
5 USO DE LA HERRAMIENTA
Sobre el «[6.8] Information security evento reporting» o «Informes de eventos de seguridad de la información»,
hace referencia a que la organización deben disponer de un sistema que permita que el personal pueda informar
sobre eventos de seguridad de la información anómalos o sospechosos. Supongamos que esta empresa
únicamente dispone del correo electrónico para reportar estos eventos, pero es insuficiente y deberían
encontrarse en funcionamiento (L3). En este control, vemos que inicialmente está en gris en la columna
«Recomendación» de la izquierda, eso es que o el control no aplica o algún subcontrol no aplica. Para ello,
vamos a desplegarlo haciendo doble clic sobre el punto que hay al lado izquierdo del control.
Unidad 4
88
Taller 1
5 USO DE LA HERRAMIENTA
• Esto nos desplegará los subcontroles que tiene. Vemos que hay uno que no aplica y dos sí. Además, como
tenemos una licencia en modo evaluación, no podemos ver de forma completa los subcontroles.
Unidad 4
89
Taller 1
5 USO DE LA HERRAMIENTA
• Una vez hecho esto y asignado los niveles de cumplimiento, tendríamos una tabla como esta:
Unidad 4
90
Taller 1
5 USO DE LA HERRAMIENTA
• Haz lo mismo con el resto de los controles. Para hacerlo más ágil, vamos a otorgar unos valores al control raíz, es
decir, en el control «[5] Organizational controls» o, en español, «[5] Controles organizativos», vamos a colocarnos
sobre la columna «current» y vamos a otorgarle un nivel de cumplimiento L4. Y en la columna «target» otorgamos un
L5, porque suponemos que la empresa dispone de todo lo necesario y está monitorizado. Al darle un nivel de
cumplimiento al control raíz, esto hará que los subcontroles que beben de él, es decir, todos los «[5]» tengan ese nivel.
• Otorga ahora al control «[7] Physical controls», en español «[7] Controles físicos», un L4 en la columna «current» y
«target», ya que consideramos que disponen de los procedimientos y están en funcionamiento correctamente y
monitorizados.
• Por último, en el control «[8] Technological controls» o «[8] Controles tecnológicos», vamos a darle un L4 en la
columna «current» y en la columna «target», ya que consideramos que disponen de los procedimientos y están
monitorizados, y no buscan establecer un ciclo de mejora continua.
• Una vez que tengas todos los campos necesarios cumplimentados nos quedaría una tabla como la siguiente:
Unidad 4
92
Taller 1
5 USO DE LA HERRAMIENTA
Unidad 4
93
Taller 1
5 USO DE LA HERRAMIENTA
• Para continuar, haz clic en la flecha naranja para continuar a la siguiente pantalla.
• En base a la valoración que has dado de disponibilidad, integridad y confidencialidad de los activos esenciales,
MicroPILAR va a calcular el riesgo potencial, actual, objetivo y el riesgo al que cree que deberías llegar.
Unidad 4
95
Taller 1
5 USO DE LA HERRAMIENTA
• Esta imagen hace referencia al riesgo potencial, es decir, el riesgo existente si no hubiera salvaguardas.
Ilustración 68: Imagen en la que aparece el cálculo de la valoración del riesgo potencial según los valores de
disponibilidad, integridad y confidencialidad que se han marcado.
Unidad 4
96
Taller 1
5 USO DE LA HERRAMIENTA
• Esta imagen hace referencia al riesgo residual actual, aplicadas las salvaguardas con la madurez declarada en la
fase «Current».
Ilustración 69: Imagen en la que aparece el cálculo de la valoración del riesgo residual actual cuando se aplican
las salvaguardas con la madurez declarada en la fase «current».
Unidad 4
97
Taller 1
5 USO DE LA HERRAMIENTA
• Esta imagen muestra el riesgo residual cuando se aplican las salvaguardas con la madurez declarada en la fase
«target».
Ilustración 70: Imagen en la que aparece el cálculo de la valoración del riesgo residual cuando se aplican
las salvaguardas con la madurez declarada en la fase «target».
Unidad 4
98
Taller 1
5 USO DE LA HERRAMIENTA
• Esta imagen muestra el riesgo residual si se siguen las recomendaciones hechas por PILAR.
Ilustración 71: Imagen en la que aparece el cálculo de la valoración del riesgo residual si se siguen las
recomendaciones hechas por PILAR.
Unidad 4
99
Taller 1
5 USO DE LA HERRAMIENTA
• Si avanzas haciendo clic en la flecha naranja, podrás llegar a la siguiente pantalla en la que MicroPILAR hace un top
10 de los activos con sus amenazas más preocupantes.
• Como puedes ver, si has seguido esta práctica utilizando los mismos valores, vemos que en la columna «current»,
tenemos riesgos altos, medios y bajos actualmente. Y en algunos casos distan de los riesgos objetivos establecidos.
• Estos valores pueden ser diferentes en tu práctica, por lo que debes fijarte en la semejanza o falta de ella, y si esta es
muy grande. Esto posteriormente nos servirá para realizar el tratamiento del riesgo.
Unidad 4
100
Taller 1
5 USO DE LA HERRAMIENTA
Ilustración 72: Según los resultados del paso anterior, el programa realiza un top
10 de los activos con sus amenazas más preocupantes.
Unidad 4
101
Taller 1
5 USO DE LA HERRAMIENTA
• Si continúas avanzando con la flecha naranja, llegarás a la pantalla de informes, en la que podrás descargar un
informe completo del AARR que acabas de realizar.
• Si continúas avanzando llegarás a una de las pantallas más importantes. Esta pantalla te muestra las salvaguardas
sugeridas por MicroPILAR en base a la madurez indicada, el objetivo al que quieres llegar y los riesgos que has
introducido. En base a esto, cuando el riesgo sea superior de lo que debería, MicroPILAR te va a sugerir una serie de
salvaguardas que debes establecer para mitigar los riesgos que han aparecido tras la conclusión del AARR.
• Las salvaguardas se representan con el icono de un paraguas y tienen un color diferente según su importancia o
necesidad de aplicación.
Ilustración 75: Captura que muestra las salvaguardas sugeridas por MicroPILAR
en base a la madurez indicada, el objetivo final y los riesgos introducidos.
Unidad 4
104
Taller 1
5 USO DE LA HERRAMIENTA
• Vamos a ver algunas de ellas. Si desplegamos la salvaguarda «[IA.5] Cuentas especiales (administración)», vamos a
ver que aparecen diferentes salvaguardas.
Unidad 4
105
Taller 1
5 USO DE LA HERRAMIENTA
La primera, aparece en amarillo, esto quiere decir que es muy importante crear cuentas específicas para los
administradores del sistema.
La segunda y tercera, en rojo, implica que son críticas y que deberían implementarse con urgencia, tanto la
creación de cuentas específicas para administradores de seguridad como para mantenimiento.
Por último, encontramos salvaguardas en verde, que quiere decir que es importante aplicarlas.
• La aplicación de estas salvaguardas es optativa, ya que son ideas y recomendaciones que realiza la herramienta en
base al análisis del riesgo residual; pero por supuesto, es responsabilidad del auditor y de la organización determinar
los pasos a realizar para mejorar el riesgo residual existente actualmente.
Unidad 4
106
Taller 1
¡GRACIAS!
Unidad 4
Taller
1071