Implementación
PILAR se basa en la metodología MAGERIT.
Los pasos para la implementación de esta metodología son los siguientes:
- Identificación de Activos. Son los activos que posee la Organización clasificados de acuerdo a su función.
- Valoración de Activos. Es la valoración asignada al activo de acuerdo a la criticidad y teniendo en cuenta las cinco dimensiones de seguridad.
- Identificación de Amenazas. Son eventos que degradarían el valor de los activos.
- Frecuencia. Se refiere a los eventos que suceden en un tiempo determinado.
- Degradación. Es cuán perjudicado resultaría el activo al materializarse las amenazas.
- Impacto. Es un indicador de qué puede suceder cuando ocurren las amenazas.
- Cálculo del Riesgo. Es la probabilidad de materialización de amenazas sobre el activo.
- Identificación y valoración de Salvaguardas. Son las medidas precisas a tomar para reducir el riesgo.
- Cálculo del Riesgo Residual. Es el riesgo remanente después de aplicar las salvaguardas.

Recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su Dirección.
(Fuente: Magerit)
Un activo es, generalmente hablando, algo que la Organización tiene o usa y que, si es perdido o dañado, causaría un daño a la Organización.
Es la valoración asignada al activo de acuerdo a la criticidad y teniendo en cuenta las cinco dimensiones de seguridad:
- confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
- integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
- disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
- autenticidad: ¿qué perjuicio causaría que fuese suplantado o falsificado?
- trazabilidad: ¿qué daño causaría no saber quién accede a qué datos?
Tipos de valoración de activos:
Los activos se pueden valorar en dos dimensiones. Por un lado:
- Valoración cuantitativa: Cuando hablamos de valor cuantitativo, hablamos del incremento de gastos más la merma de beneficios derivada de la materialización de la amenaza. Podemos calcular este valor determinando los ingresos que se ven reducidos y los gatos derivados del incidente.
- Valoración cualitativa: Consiste en ordenar el valor en una escala que relativiza el valor de cada cosa utilizando ciertos umbrales y unos criterios homogéneos: relativizar entre dimensiones, compartir/combinar análisis realizados por separado y uniformidad de conocimiento.
Por otro:
- Valoración de Dominios: Se llama dominio de seguridad al conjunto de activos sometido a una política única. Una vez identificados los dominios y las dependencias entre ellos se calcula su valoración, siendo ésta la mayor de todos los activos del sistema, por cada una de las cinco dimensiones de seguridad.
- Valoración de Dependencias: Se valoran las dimensiones de los activos esenciales y a través del establecimiento de estas dependencias, PILAR determinar el valor de todos los activos del sistema.
Una vez identificados los activos y realizada su valoración, el siguiente paso trata de identificar las amenazas a las que nos enfrentamos en términos de probabilidad (medidas preventivas) e impacto (medidas reactivas).
El CORE de PILAR es el catálogo de amenazas y la asociación entre cada amenaza con los activos a los que afectaría en caso de que esa amenaza se materializara. Por defecto, PILAR asocia una probabilidad y una degradación del activo por amenaza pero está abierto al usuario el ajuste de estos valores ya que es el propio usuario quien mejor conoce las características de su sistema.
El impacto de una amenaza se mide en función de la degradación de los activos afectados, entendiendo dicha degradación como la perdida de valor por materialización de la amenaza.
La degradación puede verse afectada por los factores agravantes (aumentan el impacto) o atenuantes (disminuyen el impacto).
PILAR permite:
- seleccionar los agravantes y los atenuantes para caracterizar en mayor detalle un sistema
- seleccionar y configurar el grado de aplicación (en %)
- especificar el grado en el que el agravante o el atenuante afecta al sistema
Si un activo es vulnerable, la amenaza lleva a un incidente.
Las salvaguardas son medios para luchar contra las amenazas. Pueden tratar aspectos organizativos, técnicos, físicos o relativos a la gestión de personal.
En PILAR, las salvaguardas se pueden evaluar por dominio o por activo. La evaluación consiste en asignar un nivel de madurez [al proceso asociado] a la salvaguarda.





