Siguiendo con la temática iniciada en anteriores post sobre análisis de riesgos en el ámbito del ENS y la metodología MAGERIT (véase Introducción al análisis de riesgos – Metodologías, primera parte y segunda parte), hoy quiero hablarles de una aplicación muy conocida en el mundillo de la seguridad: Procedimiento Informático Lógico de Análisis de Riesgos, que visto así probablemente no les diga nada, pero si les digo PILAR, a lo mejor la cosa cambia.
Muchos de ustedes estarán familiarizados de algún modo con esta aplicación, que cuenta con detractores y seguidores a partes iguales. Si bien debo reconocer que personalmente me encuentro en el segundo bando, el objetivo de este post no es ofrecer una opinión sino introducir a nuestros lectores en esta aplicación.
Antes de empezar me gustaría hacer mención a la aplicación CHINCHON para análisis de riesgos, que podría considerarse la precursora de PILAR, implementado MAGERIT en su primera versión. Al igual que PILAR, CHINCHON también era una aplicación de D. José Antonio Mañas.
PILAR es una aplicación implementada en java basada en la segunda versión de la metodología MAGERIT, desarrollada por el Centro Criptológico Nacional y con un gran calado en la administración pública española. La versión vigente es la 5.2.3. Su licencia para Administraciones Públicas es libre, no obstante para uso en entorno privado dicha licencia tiene un coste.
La herramienta permite la realización de análisis de riesgos bajo un enfoque tanto cualitativo como cuantitativo (empleando valores simbólicos o económicos respectivamente) y la realización de análisis de impacto en el ámbito de la continuidad de negocio.
Ha sido criticada por la complejidad de su uso (justificado o no, cada uno tiene su opinión), es por esto que se desarrollaron dos nuevas versiones que facilitan la ejecución del análisis de riesgos.
- Pilar Basic, enfocado a su uso en pymes, simplifica parcialmente la herramienta y rebaja el coste de licencia
- MicroPilar, enfocado a facilitar y a automatizar el proceso de análisis de riesgos, esta iniciativa es de reciente aparición y surge a raíz del Esquema Nacional de seguridad.
En resumen y teniendo en cuenta que esta herramienta es válida para la realización de análisis de riesgos de acuerdo con el ENS y que su uso está ampliamente extendido en Administraciones Públicas, se trata de una herramienta que cualquier persona relacionada con el Análisis de Riesgos debería al menos conocer. En posteriores entradas detallaremos su funcionamiento y las posibilidades que ofrece.
(N.d.E. Con esto y un bizcocho, les esperamos el lunes, a esta hora o a cualquier otra que les apetezca. Pasen todos ustedes un buen e interminable fin de semana)
PILAR es un truño de mucho cuidado. Feo, usabilidad 0, sus resultados son incomprensibles, nadie sabe de donde salen los datos, etc etc. Parece que lo ha desarrollado un mono borracho.
El peor software que he usado en mi vida. Si podeis, huid de él como de la peste.
A esto me refería con que había tanto detractores como seguidores.
Hombre, muy ergonómica, no es, pero de ahí a afirmar que la ha desarrollado un mono borracho… Pobre Jose Antonio Mañas, con el cariño que le tiene a su criatura.