accesskey_mod_content
-

Herramientas de Análisis y Gestión de Riesgos

  • Nombre Abreviado:
    PILAR
    Resumen:
    PILAR conjuga los activos TIC de un sistema con las amenazas posibles, calcula los riesgos y nos permite incorporar salvaguardas para reducir el riesgo a valores residuales aceptables. Esto nos permite fundamentar la confianza en el sistema.

    USO LIBRE PARA LAS AAPP ESPAÑOLAS (General, Autonómica, Local y Universidades).
    Destinatarios:
    Cualquier Administración Pública
    Organismos Responsables:
    MINISTERIO DE DEFENSA
    Centro Nacional de Inteligencia
    Centro Criptologico Nacional
    Modo de Uso:
    Producto instalable
    Contacto:

    https://www.ccn-cert.cni.es/
    Opción Herramientas. Sección Pilar

    Tipo de Solución:
    Aplicación
    Estado de la Solución:
    Producción
    Área orgánica:
    Estatal
    Área técnica:
    Infraestructura de seguridad y gestión de identidades
    Área funcional:
    Gobierno y Sector Público
    Licencia:
    Licencia Propietaria
    Nivel Interoperabilidad:
    Técnico
    Lenguaje de Programación:
    JAVA
    Sistema Operativo:
    MAC , Linux , Windows

    Descripción

    Finalidad:

    Las organizaciones públicas dependen de forma creciente de las tecnologías de la información y comunicaciones (TIC) para la consecución de sus objetivos de servicio. La razón de ser de PILAR está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios.

    PILAR interesa a todos aquellos que trabajan con información mecanizada y los sistemas informáticos que la tratan. Si dicha información o los servicios que se prestan gracias a ella son valiosos, PILAR les permitirá saber cuánto de este valor está en juego y les ayudará a protegerlo.

    Objetivo:

    Los objetivos perseguidos por la Herramienta Pilar son:

    • Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.
    • Diseño del plan de mejora de la seguridad.

    Descripción:

    PILAR consiste en una aplicación informática que compila los activos del sistema, sus relaciones de interdependencia y su valor para la organización. Conocido el sistema, permite introducir las amenazas posibles en los aspectos de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad, para derivar los riesgos potenciales sobre el sistema.

    Una vez conocidos los riesgos, se pueden determinar una serie de salvaguardas y estimar el riesgo residual. En tratamiento del riesgo es un proceso continuo y recurrente en el que el sistema de potección se va mejorando regularmente para afrontar nuevos riesgos y aumentar la confianza que el sistema merece para los responsables y los usuarios.

    Requisitos:

    Ordenador personal con windows, linux o MacOSX y máquina virtual java 2.
    Opcionalmente se puede usar un repositorio de tipo base de datos con acceso SQL.

    Resultados:

    Herramienta para la monitorización continúa del estado de riesgo y seguimiento de proyectos de mejora de la seguridad.

    Los resultados que se obtienen con el uso de esta herramienta son los siguientes:

    • Impacto potencial y residual.
    • Riesgo potencial y residual.
    • Mapa de riesgos.
    • Plan de mejora de la seguridad
    • Monitorización continúa del Estado de Riesgo

    Ventajas:

    Las ventajas que aportan la utilización de la herramienta:

    • Conocer los riesgos a fin de poder tratarlos.
    • Conocer el grado de cumplimiento de diferentes perfiles de seguridad: 27002, protección de datos de carácter personal, esquema nacional de seguridad, etc.
    • Implementar la metodología Magerit e ISO/IEC 27005
    Suscripciones

    En esta área podrá darse de alta para recibir las notificaciones de cambios que se realicen en noticias, documentos o foros relacionados con la solución o el activo semántico.

    Los campos con asterisco * son obligatorios. Se debe marcar al menos una de las copiones de suscripción (Noticias, Documentos o Foros) e indicar el correo en el campo de texto indicado para el alta o la baja de suscripción.

    Introduzca el email con el que desea recibir las notificaciones de la solución o del activo semántico.

    *

    Puede consultar la política de protección de datos del PAe y CTT en su aviso legal

    Introduzca el email para darse de baja de la suscripción.
Responsable