Con el software PILAR se podrán analizar los riesgos en ciberseguridad en cualquier sector. Esta herramienta de Centro Criptológico Nacional (CCN) es desarrollada y comercializada por una empresa valenciana (S2 Grupo).
Es considerado el mejor software de ciberseguridad para analizar y gestionar los riesgos unidos al cibercrimen para conseguir reforzar la ciberseguridad en cualquier sector de actividad.
Existe un acuerdo entre el Centro Criptológico Nacional y los creadores de esta herramienta para realizar mejoras en la misma.
Historia de PILAR
PILAR fue creada para utilizarla por la OTAN. Es una herramienta criticada y ensalzada a partes iguales, posiblemente por su complicación.
Se trata de la principal herramienta para el análisis de riesgos en el sector público español. El Índice de Ciberseguridad Global (CGI) de la Unión Internacional de Telecomunicaciones ha valorado este software como uno de los elementos para considerar a nuestro país en el puesto 7 dentro de los 10 países con mayor nivel de ciberseguridad en el mundo, y en el 5º lugar a nivel europeo.
PILAR es la herramienta más usada en España dentro del análisis y gestión de riesgos. Y se pretende mejorarla para adaptarla a los futuros retos planteados en el ámbito de la ciberseguridad.
Dentro de las novedades que se pretenden incluir está:
- un análisis dinámico de riesgos,
- configuración «as a service»,
- creacción de una nube privada para garantizar la seguridad y
- definición de perfiles específicos de riesgos para distintos sectores.
Con ello se pretende calificar las amenazas específicas y aumentar la seguridad informática.
Para analizar y gestionar los riesgos en un sistema de información PILAR sigue la metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), elaborada con la cooperación del CCN.
La herramienta es actualizada periódicamente para mejorarla. En la actualidad hay una versión sencilla para la administración local y pymes, que permite análisis rápidos y personalizados.
Análisis de riesgos con PILAR
Una vez instalada la herramienta (algo que no tiene ninguna complicación), vamos a analizar los pasos a seguir para realizar el análisis de riesgos.
En primer lugar, una vez iniciada la aplicación, debemos seleccionar la opción de análisis cualitativo, dentro de análisis y gestión de riesgos. Aquí debemos crear un nuevo proyecto y nos pedirá los datos de ese proyecto.
Después de introducir los datos subiremos de nivel y nos aparecerá un menú con las distintas opciones para acceder al análisis de riesgos.
Apartado D.Proyecto
El apartado D.Proyecto se refiere a los aspectos generales del proyecto y está integrado por los siguientes elementos:
- Datos de proyecto: es el formulario inicial de alta del proyecto (podemos modificar los datos en cualquier momento).
- Fuentes de información: aquí se identifican las personas que participan en el proyecto y que proporcionan información en el análisis de riesgos.
- Dominios de seguridad: es un formulario donde podemos crear diferentes dominios donde las medidas de seguridad serán aplicadas de forma distinta. Existe por defecto un dominio BASE sobre el que se aplican todas las medidas de seguridad.
- Subconjunto de dimensiones: aquí elegiremos las dimensiones de seguridad aplicables en el análisis de riesgos. Estas son: integridad, disponibilidad, confidencialidad, autenticidad y trazabilidad.
- Subconjunto de criterios de valoración: aquí seleccionamos los criterios para valorar los activos (bajo, medio o alto).
- Subconjunto de amenazas: debemos seleccionar las amenazas habilitadas, que proceden de MAGERIT.
- Fases del proyecto: aquí especificaremos las distintas etapas sobre las que se determinarán los grados de aplicación de medidas. Es aconsejable crear una etapa por cada revisión del análisis de riesgos.
Análisis de riesgos
Una vez completado el apartado anterior, podemos comenzar con el análisis de riesgos. Aquí hay varias etapas:
- Identificación: esta primera etapa consiste en identificar los activos implicados en la prestación de los servicios. Estableceremos una estructura por defecto desde la pestaña de capas e identificaremos uno a uno cada activo, colocándoles dentro de la estructura. Para cada activo indicaremos un nombre, código, fuente de información, clase y dominio. Posteriormente tendremos que señalar las dependencias entre esos activos. Una vez definidas las dependencias debemos valorar los servicios y la información (activos). Aquí nos ofrecerá un sistema de valoración como bajo, medio o alto, o del 0 al 10, según la versión que hayamos elegido.
- Amenazas: aquí la herramienta asigna y valora las amenazas automáticamente. Debemos indicar los factores agravantes o atenuantes y asignar a cada activo la amenaza que le corresponda. Posteriormente tendremos que valorar la probabilidad de que esa amenaza se materialice en el activo mediante niveles, valores numéricos o porcentajes.
- Salvaguardas: aquí debemos asignar el grado de madurez de las medidas de seguridad.
- Impacto y riesgo: en este apartado nos aparecerán los resultados del análisis de riesgos.
Una vez realizado esto obtendremos los riesgos residuales que existen actualmente. A partir de ahí debemos determinar el nivel de riesgos que la Dirección está dispuesta a asumir y tratar de alguna forma los riesgos que queden por encima de ese nivel.
Con esta introducción al funcionamiento de PILAR espero haberos proporcionado unas nociones básicas sobre el proceso y la forma de trabajar con esta herramienta. De todas formas, solo la práctica y la experiencia nos enseñarán a usar adecuadamente la misma.