OposAs / Categorías SAS / Volver a Técnico/a Especialista en Informática / Tema 37

Tema 37. Análisis y Gestión de Riesgos. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información. El plan de seguridad. Técnicas de análisis para estimación del impacto y el riesgo. Los modelos cualitativo y cuantitativo. La herramienta PILAR.

Tema específico de Técnico/a Especialista en Informática
Probar demo gratis

1. Análisis y Gestión de Riesgos

🎯 Idea clave

  • El análisis y gestión de riesgos constituye un proceso sistemático para responder preguntas fundamentales sobre seguridad de la información en organizaciones que dependen de sistemas informáticos críticos.
  • Este proceso permite identificar activos valiosos, analizar amenazas potenciales y evaluar la probabilidad de materialización de incidentes que puedan afectar al servicio.
  • Se fundamenta en la estimación del impacto que causarían las amenazas sobre los activos y en el análisis de las salvaguardas existentes.
  • La gestión del riesgo residual y la priorización de mejoras completan el ciclo de tratamiento, permitiendo decisiones de seguridad razonadas y documentadas.

📚 Desarrollo

Proceso sistemático. El análisis y gestión de riesgos se configura como una metodología de análisis sistemático que proporciona el lenguaje, las fases, los conceptos, los criterios y los procedimientos necesarios para tomar decisiones de seguridad razonadas, documentadas y revisables.

Preguntas fundamentales. Este proceso nace de la necesidad práctica de responder interrogantes esenciales en entornos donde los sistemas informáticos soportan servicios esenciales y procesos administrativos: qué activos son valiosos para la organización, qué amenazas pueden afectarlos y con qué probabilidad pueden materializarse.

Evaluación de impacto. Una dimensión central del análisis consiste en determinar qué impacto causarían las amenazas sobre los activos identificados, permitiendo cuantificar o cualificar el daño potencial derivado de la materialización de incidentes de seguridad.

Salvaguardas y riesgo residual. El proceso incluye el inventario y análisis de las salvaguardas existentes, así como la determinación del riesgo que subsiste tras su aplicación, estableciendo mecanismos sistemáticos para priorizar las mejoras necesarias en el sistema de seguridad.

Elementos estructurales. La gestión de riesgos se estructura mediante conceptos interrelacionados que permiten modelar la postura de seguridad: activos, dimensiones de seguridad, amenazas, salvaguardas, impacto y riesgo, configurando un marco integral para la toma de decisiones.

🧩 Elementos esenciales

  • Activos: Elementos valiosos para la organización que soportan servicios esenciales, procesos administrativos e información sensible.
  • Amenazas: Factores o eventos potenciales que pueden afectar negativamente a los activos identificados.
  • Probabilidad: Posibilidad de que las amenazas identificadas se materialicen efectivamente sobre los activos del sistema.
  • Impacto: Daño o consecuencias derivadas de la materialización de una amenaza sobre un activo o servicio.
  • Salvaguardas: Medidas de protección existentes para prevenir, detectar o mitigar los efectos de las amenazas sobre los activos.
  • Riesgo residual: Nivel de riesgo que permanece después de la aplicación de las salvaguardas establecidas.
  • Priorización: Mecanismo para ordenar las mejoras necesarias según el nivel de riesgo residual identificado.
  • Decisiones documentadas: Resultado del proceso debe ser susceptible de documentación y revisión posterior.

🧠 Recuerda

  • El análisis responde preguntas fundamentales sobre qué proteger, contra qué y con qué probabilidad ocurre.
  • La materialización de amenazas se evalúa siempre en términos de probabilidad e impacto conjuntos.
  • Las salvaguardas reducen pero no eliminan completamente el riesgo existente.
  • El riesgo residual requiere gestión activa y priorización de acciones correctoras.
  • El proceso debe ser reproducible y comparable entre diferentes ámbitos organizativos.
  • La gestión integra activos, amenazas, salvaguardas y dimensiones de seguridad de forma sistemática.
  • Las decisiones de seguridad deben ser razonadas, documentadas y revisables.

2. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información

🎯 Idea clave

  • MAGERIT es la metodología oficial española para el análisis y gestión de riesgos de los sistemas de información en el ámbito de las Administraciones Públicas.
  • El Consejo Superior de Administración Electrónica (CSAE), dependiente del Ministerio de Hacienda y Administraciones Públicas, es el órgano responsable de su desarrollo y publicación.
  • La versión vigente es la número 3, publicada en 2012, estructurada en tres libros fundamentales: Método, Catálogo de elementos y Guía de técnicas.
  • No constituye una norma jurídica con fuerza vinculante ni una certificación, sino una metodología de análisis sistemático que proporciona lenguaje, conceptos y procedimientos.
  • Ordena el análisis mediante la gestión de activos, dimensiones de seguridad, amenazas, salvaguardas, impacto y riesgo para justificar medidas de seguridad proporcionadas.
  • Sirve como base metodológica fundamental para la herramienta PILAR.

📚 Desarrollo

Denominación y alcance. MAGERIT son las siglas de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Constituye la metodología de referencia española para el análisis y gestión de riesgos en el ámbito de las tecnologías de la información aplicadas a las Administraciones Públicas, ordenando los elementos necesarios para justificar medidas de seguridad proporcionadas.

Órgano responsable. El Consejo Superior de Administración Electrónica (CSAE), órgano dependiente del Ministerio de Hacienda y Administraciones Públicas, es el responsable del desarrollo y mantenimiento de esta metodología oficial española, publicando las actualizaciones y versiones correspondientes.

Versión vigente. La versión 3, publicada en 2012, adapta la denominación completa al contexto de la Administración electrónica, presentándose como "MAGERIT – versión 3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información", manteniendo su aplicabilidad específica en el sector público español.

Estructura documental. La metodología se organiza en tres libros fundamentales: el Libro I (Método), que establece el proceso de análisis y gestión; el Libro II (Catálogo de elementos), que recoge activos, amenazas y salvaguardas; y el Libro III (Guía de técnicas), que desarrolla las técnicas de aplicación práctica.

Naturaleza jurídica. MAGERIT no es una norma jurídica con fuerza vinculante por sí misma, ni equivale a una certificación. Se define como una metodología de análisis sistemático que proporciona lenguaje, fases, conceptos, criterios y procedimientos para la toma de decisiones de seguridad razonadas, documentadas y revisables.

Propósito funcional. La metodología responde a preguntas fundamentales sobre qué activos son valiosos, qué amenazas pueden afectarlos, con qué probabilidad pueden materializarse, qué impacto causarían, qué salvaguardas existen, qué riesgo subsiste tras aplicarlas y cómo priorizar las mejoras necesarias.

Base metodológica. La metodología ordena el análisis gestionando activos, dimensiones de seguridad, amenazas, salvaguardas, impacto y riesgo, proporcionando un marco completo que sirve como base metodológica para la herramienta PILAR.

🧩 Elementos esenciales

  • CSAE: Consejo Superior de Administración Electrónica, órgano dependiente del Ministerio de Hacienda y Administraciones Públicas encargado del desarrollo y publicación de MAGERIT.
  • Versión 3: Edición vigente desde 2012, que adapta la nomenclatura al contexto de Administración electrónica.
  • Libro I (Método): Contiene la descripción del proceso de análisis y gestión de riesgos.
  • Libro II (Catálogo de elementos): Recopila los elementos básicos como activos, amenazas y salvaguardas.
  • Libro III (Guía de técnicas): Desarrolla las técnicas específicas para la aplicación práctica de la metodología.
  • No vinculante: No es norma jurídica obligatoria ni certificación, sino metodología de referencia para decisiones de seguridad.
  • Decisiones razonadas: Proporciona criterios y procedimientos para obtener decisiones de seguridad documentadas y revisables.
  • Base de PILAR: Fundamento metodológico sobre el que se sustenta la herramienta informática PILAR.

🧠 Recuerda

  • MAGERIT es el acrónimo de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas.
  • El Consejo Superior de Administración Electrónica (CSAE) es el autor y mantenedor de la metodología.
  • La versión vigente es la 3, publicada en 2012.
  • La estructura se organiza en tres libros: Método, Catálogo de elementos y Guía de técnicas.
  • No tiene carácter normativo vinculante ni certificador.
  • Ordena el análisis mediante activos, dimensiones de seguridad, amenazas, salvaguardas, impacto y riesgo.
  • Sirve de base metodológica para la herramienta PILAR.
  • Proporciona un marco sistemático para decisiones de seguridad razonadas y documentadas.

3. El plan de seguridad

🎯 Idea clave

  • El plan de seguridad traduce el análisis de riesgos en actuaciones concretas y medibles sobre los sistemas de información.
  • Constituye el instrumento que convierte la evaluación teórica en proyectos, controles y cambios organizativos reales.
  • Debe incluir medidas específicas, riesgos justificativos, prioridades, responsables, plazos, dependencias y criterios de seguimiento.
  • La elaboración sigue fases secuenciales: recogida de información, análisis de la situación actual y definición de objetivos y alcance.
  • Su contenido debe ser proporcional al valor de los activos y al nivel de riesgo detectado, evitando respuestas maximalistas.
  • Sin plan de seguridad, el análisis de riesgos genera conocimiento pero no produce mejora real en la protección de los sistemas.

📚 Desarrollo

Naturaleza y propósito. El plan de seguridad forma parte natural de la gestión de riesgos dentro de la metodología MAGERIT. No se trata de un mero apéndice documental, sino del instrumento que materializa las decisiones de seguridad adoptadas tras el análisis de riesgos, traduciendo el diagnóstico en intervenciones operativas.

Componentes esenciales. Debe detallar las medidas a implantar o reforzar, identificando los riesgos específicos que las justifican. Asimismo, ha de establecer la prioridad de ejecución de cada actuación, asignar responsables claros, definir plazos concretos y describir las dependencias entre diferentes medidas que condicionan su implementación.

Seguimiento y revisión. El documento debe incorporar criterios explícitos para el seguimiento continuo y la revisión periódica del conjunto de medidas adoptadas, garantizando la adaptación del plan a nuevas amenazas o cambios en los activos protegidos a lo largo del tiempo.

Proporcionalidad y adecuación. La metodología exige que el plan sea proporcionado, evitando respuestas maximalistas. Las medidas deben ser coherentes con el valor de los activos y el nivel de riesgo detectado, conectando directamente con el principio del Esquema Nacional de Seguridad sobre medidas justificadas y proporcionadas.

Fase de recogida. La elaboración comienza con la recopilación exhaustiva de información sobre el sistema: inventario de activos, arquitectura tecnológica, flujos de datos, marcos normativos aplicables, incidentes de seguridad previos y resultados de auditorías anteriores que constituyen la materia prima del análisis.

Análisis de situación. En la segunda fase se realiza el análisis de riesgos propiamente dicho y se evalúa el nivel de implantación de las salvaguardas existentes, produciendo un diagnóstico de la situación de partida que servirá de línea base para medir el progreso posterior de las actuaciones.

Definición de alcance. Finalmente, se determinan los niveles de riesgo objetivo, los requisitos normativos a satisfacer y el perímetro exacto del plan, definiendo qué sistemas y procesos quedan incluidos en el ámbito de actuación y cuáles quedan expresamente excluidos.

🧩 Elementos esenciales

  • Medidas específicas: Descripción detallada de las salvaguardas a implantar o reforzar para reducir los riesgos identificados en el análisis.
  • Justificación de riesgos: Identificación explícita de los riesgos específicos que motivan cada medida de seguridad adoptada en el plan.
  • Priorización: Establecimiento de niveles de prioridad en la ejecución de las diferentes actuaciones contempladas según su urgencia e impacto.
  • Asignación de responsables: Designación de personas o unidades concretas encargadas de la implantación y seguimiento de cada medida.
  • Temporalización: Definición de plazos concretos y realizables para la ejecución de cada actuación prevista en el plan.
  • Dependencias: Identificación de las relaciones y condicionantes entre diferentes actuaciones que afectan a su orden o viabilidad.
  • Criterios de seguimiento: Establecimiento de mecanismos y métricas para controlar la evolución y efectividad de las medidas implantadas.
  • Revisión periódica: Previsión de actualizaciones del plan ante cambios en los activos, nuevas amenazas o modificaciones normativas.
  • Proporcionalidad: Adecuación de las medidas al valor de los activos protegidos y al nivel de riesgo detectado, evitando sobredimensionamiento.
  • Conexión normativa: Vinculación directa con los requisitos del Esquema Nacional de Seguridad y la metodología MAGERIT aplicada.
  • Línea base: Diagnóstico inicial de la situación de seguridad que permite medir objetivamente el progreso real de las actuaciones.
  • Perímetro definido: Delimitación clara y explícita de qué sistemas, procesos y activos quedan incluidos en el ámbito de aplicación del plan.

🧠 Recuerda

  • El plan de seguridad es el puente indispensable entre el análisis de riesgos y la mejora real de la protección de los sistemas.
  • Sin plan de seguridad, el análisis de riesgos solo genera conocimiento teórico sin traducirse en controles efectivos.
  • Debe incluir necesariamente medidas concretas, riesgos justificativos, prioridades, responsables asignados, plazos y criterios de seguimiento.
  • Las tres fases de elaboración son: recogida de información, análisis de la situación actual y definición de objetivos y alcance.
  • La proporcionalidad es un requisito clave: las medidas deben ajustarse al valor de los activos y al riesgo, sin respuestas excesivas.
  • El plan conecta directamente con el Esquema Nacional de Seguridad, que exige medidas justificadas y proporcionadas al riesgo.
  • El diagnóstico de situación de partida funciona como línea base para medir objetivamente el progreso de las actuaciones.
  • Es necesario definir claramente el perímetro del plan para evitar ambigüedades sobre qué sistemas quedan incluidos en su ámbito.
  • Las dependencias entre actuaciones deben identificarse para planificar correctamente la secuencia de implantación.
  • El plan debe prever mecanismos de revisión periódica ante cambios en el entorno de amenazas o en los propios sistemas.

4. Técnicas de análisis para estimación del impacto y el riesgo

🎯 Idea clave

  • MAGERIT admite diversas técnicas de análisis sin imponer una fórmula universal, permitiendo adaptar el método a las características específicas de cada sistema organizativo.
  • Las técnicas cualitativas emplean escalas descriptivas como bajo, medio, alto o muy alto cuando no existen datos históricos suficientes para cuantificar económicamente los daños.
  • Las técnicas cuantitativas expresan valores, frecuencias o pérdidas en magnitudes numéricas precisas, posiblemente en unidades monetarias, cuando se dispone de datos fiables.
  • Los modelos mixtos combinan elementos cualitativos y cuantitativos, traduciendo escalas descriptivas a números índice que permiten establecer prioridades de riesgo.
  • La elección de la técnica debe priorizar la claridad y consistencia del razonamiento sobre la sofisticación matemática innecesaria.
  • Una técnica sencilla pero bien fundamentada resulta más útil que otra compleja alimentada con supuestos arbitrarios.

📚 Desarrollo

Flexibilidad metodológica. MAGERIT contempla múltiples técnicas para estimar impacto y riesgo, sin establecer un único procedimiento obligatorio, ya que los sistemas y contextos organizativos son distintos y requieren adaptaciones específicas.

Enfoque cualitativo. Este modelo utiliza escalas descriptivas o niveles numéricos convencionales sin pretensión de exactitud matemática estricta, resultando especialmente útil cuando la disponibilidad de datos es limitada o cuando se necesita una aproximación comprensible para responsables no técnicos.

Estimación cuantitativa. Intenta expresar frecuencias o pérdidas en magnitudes numéricas precisas, aportando rigor analítico cuando existen datos fiables y series históricas consolidadas, aunque debe evitarse que genere una falsa sensación de exactitud si las estimaciones son débiles o especulativas.

Técnica mixta semi-cuantitativa. MAGERIT implementa específicamente este enfoque valorando activos en escala de 0 a 10 (o mediante etiquetas como "Muy alto") y estimando amenazas mediante frecuencia y degradación potencial en escalas discretas, produciendo niveles de riesgo ordinales que permiten comparaciones y priorizaciones sin ser magnitudes económicas directas.

Instrumentos analíticos disponibles. Entre las técnicas aplicables según el caso se encuentran matrices de impacto y probabilidad, escalas de valoración por niveles, escenarios de amenaza, árboles de ataque o de fallo, tablas comparativas de salvaguardas y estimaciones basadas en juicio experto.

Criterio de selección. La metodología prefiere el razonamiento sólido a la complejidad innecesaria, considerando que una técnica sofisticada carece de valor práctico si se sustenta en supuestos arbitrarios, mientras que una técnica sencilla resulta eficaz cuando está bien fundamentada y permite priorizar decisiones de seguridad.

🧩 Elementos esenciales

  • Matrices de impacto y probabilidad: herramientas visuales que cruzan la severidad del daño potencial con la frecuencia estimada de ocurrencia para determinar niveles de riesgo.
  • Escalas descriptivas: sistemas de valoración cualitativa (bajo, medio, alto, muy alto) aplicables cuando los datos históricos son insuficientes para cuantificación económica.
  • Escenarios de amenaza: construcción de situaciones hipotéticas que permiten evaluar consecuencias potenciales y consecuencias derivadas de la materialización de riesgos.
  • Árboles de ataque o de fallo: diagramas analíticos que descomponen las vías mediante las cuales una amenaza puede materializarse o producirse un fallo en el sistema.
  • Tablas comparativas de salvaguardas: instrumentos de evaluación de la efectividad relativa de diferentes controles de seguridad para el tratamiento del riesgo.
  • Estimación por juicio experto: técnica basada en el conocimiento profesional de especialistas cuando no existe información estadística suficiente o fiable.
  • Escala 0-10: sistema semi-cuantitativo específico de MAGERIT para valorar la importancia de los activos según sus dimensiones de seguridad.
  • Degradación y frecuencia: parámetros utilizados en el método mixto para estimar el potencial dañino de las amenazas sobre los activos.
  • Modelo de valor: producto documental de la fase de análisis que recoge los activos identificados y su valoración según las dimensiones de seguridad establecidas.
  • Modelo de riesgo: documento resultante que registra las amenazas, el impacto estimado y el nivel de riesgo para cada par amenaza-activo identificado.

🧠 Recuerda

  • MAGERIT no prescribe una única fórmula matemática universal para el cálculo del riesgo.
  • Las técnicas cualitativas son adecuadas cuando falta información histórica cuantificable o el público objetivo no es técnico.
  • Las técnicas cuantitativas requieren datos fiables y series históricas para evitar falsas precisiones en los resultados.
  • El enfoque mixto de MAGERIT utiliza escalas ordinales que permiten comparar y priorizar riesgos sin expresarlos necesariamente en unidades monetarias.
  • La calidad del análisis depende más del razonamiento sólido y coherente que de la complejidad técnica del instrumento utilizado.
  • Las matrices de impacto y probabilidad constituyen una de las herramientas más frecuentemente empleadas en la práctica.
  • Los árboles de ataque permiten descomponer visualmente las rutas de materialización de las amenazas.
  • El juicio experto es una técnica válida y reconocida cuando la información estadística disponible es insuficiente.
  • Lo fundamental es que los criterios de valoración estén claramente definidos y sean coherentes entre sí.
  • Una técnica simple bien fundamentada supera en utilidad a otra compleja basada en supuestos arbitrarios.

5. Los modelos cualitativo y cuantitativo

🎯 Idea clave

  • MAGERIT admite valoraciones cualitativas, cuantitativas y mixtas según el contexto del sistema analizado.
  • El modelo cualitativo emplea escalas descriptivas como bajo, medio, alto o muy alto para estimar el riesgo.
  • El modelo cuantitativo expresa valores, frecuencias y pérdidas en magnitudes numéricas precisas y unidades monetarias.
  • El modelo mixto combina elementos de ambos enfoques adaptándose a la disponibilidad de datos de cada activo.
  • La selección del modelo debe basarse en la información disponible, la criticidad del sistema y la finalidad de la decisión.
  • La precisión debe ser suficiente para decidir y justificar, no necesariamente absoluta ni matemáticamente exacta.

📚 Desarrollo

Modelo cualitativo. Este enfoque utiliza escalas descriptivas como bajo, medio, alto o muy alto, o niveles numéricos convencionales sin pretensión de exactitud matemática. Resulta especialmente útil cuando no existen datos históricos suficientes para cuantificar económicamente cada daño, cuando la disponibilidad de datos es limitada o cuando se necesita una aproximación comprensible para responsables no técnicos.

Modelo cuantitativo. Intenta expresar valores, frecuencias o pérdidas en magnitudes numéricas más precisas, posiblemente en unidades monetarias o de impacto. Puede aportar rigor cuando existen datos fiables y series históricas, aunque no debe crear una falsa sensación de exactitud si las estimaciones son débiles o especulativas.

Precisión y trazabilidad. El valor del modelo cuantitativo depende de la calidad de los datos de entrada, de las hipótesis y de la trazabilidad del cálculo. Es útil para comparar inversiones, justificar presupuestos o priorizar medidas cuando existen datos suficientes, pero transmite inseguridad si las cifras se construyen sobre suposiciones no verificadas.

Modelo mixto. Combina elementos cualitativos y cuantitativos según las necesidades del análisis. Se pueden valorar activos mediante escalas descriptivas, estimar frecuencias con rangos, traducir resultados a números índice y presentarlos como prioridades. Lo fundamental es que los criterios estén definidos, sean coherentes y permitan comparar riesgos.

Criterios de selección. La elección entre modelos no responde a preferencia abstracta, sino a la información disponible, la criticidad del sistema y la finalidad de la decisión. MAGERIT busca una decisión razonada, no una matemática aparente. La precisión debe ser suficiente para decidir, justificar y revisar el análisis.

Sistemas públicos. En sistemas públicos la prudencia es especialmente importante porque existen impactos jurídicos, organizativos y sociales que no se reducen bien a dinero. Muchos análisis combinan ambos enfoques según el tipo de activo y amenaza evaluados.

🧩 Elementos esenciales

  • Escalas descriptivas: Utilizan niveles como bajo, medio, alto o muy alto para valorar activos sin precisión numérica exacta.
  • Niveles numéricos convencionales: En el modelo cualitativo, números que sirven de referencia sin pretensión de exactitud matemática rigurosa.
  • Magnitudes monetarias: Expresión del impacto en unidades de dinero propia del modelo cuantitativo con datos fiables.
  • Falsa exactitud: Riesgo del modelo cuantitativo cuando se construye sobre estimaciones débiles o especulativas no verificadas.
  • Trazabilidad: Capacidad de seguir el cálculo y las hipótesis en el modelo cuantitativo para garantizar su rigor.
  • Combinación mixta: Valoración cualitativa de activos con estimación cuantitativa de frecuencias según disponibilidad de datos.
  • Criterios definidos: Requisito indispensable en cualquier modelo para permitir comparaciones válidas entre riesgos.
  • Datos históricos: Requisito fundamental para aplicar el modelo cuantitativo con garantías de fiabilidad.
  • Responsables no técnicos: Destinatarios preferentes del modelo cualitativo por su comprensibilidad inmediata.
  • Impactos no monetarios: En sistemas públicos, daños jurídicos, organizativos y sociales difíciles de cuantificar económicamente.

🧠 Recuerda

  • MAGERIT v3 admite valoraciones cualitativas, cuantitativas o mixtas indistintamente.
  • El modelo cualitativo es útil cuando faltan datos históricos suficientes para cuantificar daños.
  • El modelo cuantitativo requiere datos fiables y series históricas para evitar falsas sensaciones de precisión.
  • La calidad del modelo cuantitativo depende de la calidad de los datos de entrada y las hipótesis.
  • El modelo mixto permite adaptar la técnica a la información disponible en cada caso concreto.
  • Lo importante es que los criterios estén definidos y permitan comparar riesgos coherentemente.
  • En sistemas públicos, no todos los impactos se pueden expresar en unidades monetarias.
  • La precisión debe ser suficiente para decidir y justificar, no necesariamente absoluta.

6. La herramienta PILAR

🎯 Idea clave

  • PILAR es la herramienta informática oficial del Centro Criptológico Nacional que implementa la metodología MAGERIT para el análisis de riesgos en sistemas de información.
  • Su nombre completo es Procedimiento Informático-Lógico para el Análisis de Riesgos y se distribuye gratuitamente a las Administraciones Públicas españolas.
  • Permite modelar activos, dependencias, amenazas, salvaguardas e impactos, automatizando los cálculos de riesgo potencial y residual.
  • Dispone de variantes especializadas como PILAR RM para riesgos, PILAR BCM para continuidad y PILAR Basic para sistemas básicos del ENS.
  • Facilita la colaboración entre distintos perfiles profesionales al ofrecer una visión ordenada y común del sistema y sus necesidades de protección.
  • No sustituye el juicio experto ni garantiza automáticamente el cumplimiento normativo, pues la calidad del análisis depende de los datos de entrada.

📚 Desarrollo

Desarrollo institucional y denominación. PILAR constituye el entorno de análisis de riesgos desarrollado por el Centro Criptológico Nacional, organismo dependiente del Centro Nacional de Inteligencia y adscrito al Ministerio de Defensa. Su denominación completa, Procedimiento Informático-Lógico para el Análisis de Riesgos, refleja su naturaleza de instrumento computacional destinado a aplicar metodologías de gestión de riesgos en entornos corporativos.

Distinción metodológica fundamental. Es imperativo distinguir entre MAGERIT y PILAR: mientras el primero constituye el método mediante procedimientos, criterios y catálogos conceptuales, PILAR representa la herramienta software que implementa dicho método. Esta separación permite utilizar MAGERIT manualmente o con otras herramientas, manteniendo PILAR como una implementación específica y oficial de referencia para las Administraciones Públicas.

Modelado integral del sistema. La herramienta posibilita la construcción de un modelo completo del sistema de información, incluyendo el inventario de activos, sus dependencias, las amenazas identificadas, las salvaguardas implementadas y las dimensiones de seguridad afectadas. Este modelado exhaustivo constituye la base para el análisis cuantitativo y cualitativo del riesgo.

Automatización del cálculo del riesgo. PILAR ejecuta automáticamente la estimación del riesgo potencial, calculado sin considerar salvaguardas existentes, y del riesgo residual, que incorpora la eficacia de las medidas de protección vigentes. Esta comparación automatizada permite identificar aquellos activos que mantienen niveles de riesgo inaceptables pese a las protecciones establecidas.

Variantes funcionales especializadas. La familia de herramientas incluye PILAR RM, orientada específicamente al análisis de riesgos; PILAR BCM, centrada en el impacto y la continuidad de operaciones; y PILAR Basic, diseñada para sistemas catalogados como básicos según el Esquema Nacional de Seguridad. Adicionalmente, existen versiones como µPILAR para sistemas de menor complejidad.

Interfaz para múltiples perfiles profesionales. La herramienta sirve como punto de encuentro entre responsables de seguridad, analistas de riesgos, auditores internos y personal técnico, permitiendo que cada perfil extraiga información relevante sobre activos, medidas aplicables, continuidad o cumplimiento desde una base modelada común. Esta funcionalidad reduce incoherencias documentales y evita que el análisis quede circunscrito a un único ámbito técnico.

Generación documental y relación con el ENS. PILAR facilita la creación de la Declaración de Aplicabilidad requerida por el Esquema Nacional de Seguridad y categoriza el sistema conforme a dicho esquema. No obstante, su limitación principal radica en que no garantiza por sí sola la calidad del análisis ni el cumplimiento normativo automático, dependiendo siempre de la corrección de los datos introducidos y del criterio experto de los analistas.

🧩 Elementos esenciales

  • Denominación completa: Procedimiento Informático-Lógico para el Análisis de Riesgos, desarrollada por el Centro Criptológico Nacional.
  • Naturaleza: Software que implementa computacionalmente la metodología MAGERIT, no la metodología en sí misma.
  • Distribución: Gratuita para el sector público español, previa solicitud al CCN, con más de 500 organismos como usuarios.
  • Funcionalidades centrales: Modelado de activos, gestión de catálogos, análisis de amenazas, valoración por dimensiones de seguridad y cálculo automatizado de riesgos.
  • Producto destacado: Mapa de riesgos que visualiza el riesgo potencial y residual como base para el plan de seguridad.
  • Tipos de riesgo calculados: Riesgo potencial (sin salvaguardas) y riesgo residual (con salvaguardas existentes).
  • Variantes principales: PILAR RM (análisis de riesgos), PILAR BCM (continuidad de operaciones), PILAR Basic (sistemas básicos ENS) y µPILAR (sistemas pequeños).
  • Alineación normativa: Incluye módulos de apoyo al Esquema Nacional de Seguridad y generación de la Declaración de Aplicabilidad.
  • Limitación crítica: La calidad del resultado depende estrictamente de la calidad de los datos de entrada y del criterio experto; no automatiza el cumplimiento.
  • Valor organizativo: Permite que diferentes perfiles profesionales trabajen sobre un mismo mapa de riesgos compartido y trazable.

🧠 Recuerda

  • PILAR es la herramienta, MAGERIT es el método; no son intercambiables.
  • Desarrollada por el CCN, dependiente del CNI y adscrito al Ministerio de Defensa.
  • Nombre completo: Procedimiento Informático-Lógico para el Análisis de Riesgos.
  • Calcula automáticamente el riesgo potencial y el riesgo residual comparando ambos.
  • Disponible en variantes RM, BCM, Basic y µPILAR según el alcance del análisis.
  • Facilita la colaboración entre técnicos, auditores y responsables de seguridad mediante una base común.
  • Genera la Declaración de Aplicabilidad del ENS pero no garantiza cumplimiento automático.
  • La herramienta es tan buena como los datos y el criterio experto que alimentan el análisis.
  • Más de 500 organismos públicos la utilizan como entorno estándar de análisis.
  • Convierte conceptos metodológicos abstractos en un entorno de trabajo trazable y reutilizable.
Acceder a la demo
Tema anterior Tema 36. El Esquema Nacional de Seguridad. Ley de la protección de las infraestructuras críticas Tema siguiente Tema 38. La legislación de protección de datos de carácter personal. Normativa europea y estatal: el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Evaluación de Impacto en la Protección de Datos.

Prueba la demo si quieres ver el resto

Has visto un tema abierto completo. En la demo puedes comprobar cómo encajan el temario, las preguntas justificadas y los simulacros dentro de OposAs.

Qué vas a probar

Una demo pensada para decidir con criterio

Temario, test y simulacro conectados

La idea no es solo leer un tema: es estudiar con continuidad y comprobar cómo se relaciona con el resto de herramientas.

Preguntas justificadas

Verás explicaciones de la correcta y de las incorrectas para estudiar con más criterio, no solo para memorizar.

Acceso rápido

Con tu nombre y tu email, eliges categoría y te enviamos el acceso por correo sin compromiso.

Gratis Sin compromiso Acceso por email

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y apellidos (si quieres), elige categoría y prueba antes de decidir. Es gratis.

Gratis Sin compromiso Acceso por email

* campos obligatorios

Usaremos tu correo solo para enviarte el acceso. Tras registrarte tendrás 1 hora para abrir el email y pulsar el botón de acceso.

OposAs es una plataforma privada e independiente de preparación. No es una web oficial del Servicio Andaluz de Salud ni de la Junta de Andalucía.

Política de privacidad Política de cookies Aviso legal
Acceso solicitado

Revisa tu correo y también spam.

En tienes el enlace para terminar el autoregistro.

Ábrelo antes de 1 hora.

OposAs