Saltar al contenido
CertENS
EN
Herramientas CCN

PILAR: la herramienta oficial del CCN para análisis de riesgos

Qué es PILAR, cuándo usarlo, cómo instalarlo y qué entregables produce. Guía práctica para equipos que empiezan con la herramienta oficial.

6 min de lectura Iván Cortés · Consultor CCN-STIC · CertENS

PILAR (Procedimiento Informático Lógico de Análisis de Riesgos) es la herramienta oficial del Centro Criptológico Nacional para aplicar MAGERIT v3. No es opcional en el sentido legal —la norma permite otras metodologías— pero en la práctica, cuando el auditor conoce PILAR y tu AR está en PILAR, la revisión es infinitamente más rápida. En este artículo repasamos qué te da PILAR, cuándo compensa, cómo empezar y qué entregables te produce directamente para la Declaración de Aplicabilidad.

Qué es exactamente PILAR

PILAR es una aplicación de escritorio (Java, multi-plataforma) que implementa completamente el método MAGERIT v3. Viene con:

  • Los tres catálogos (activos, amenazas, salvaguardas) precargados y actualizados.
  • El cálculo de impacto, riesgo potencial y riesgo residual.
  • El mapeo automático a las medidas del Anexo II del ENS.
  • La generación de informes en formato estándar.
  • Integración con el marco ENS (categorización, perfiles).

Existen dos ediciones principales:

  • PILAR completo: para proyectos complejos, con todas las funcionalidades (comparativa, simulación, fases).
  • μPILAR (micro-PILAR): versión simplificada para organizaciones pequeñas o análisis rápidos.

El CCN también distribuye RMAT, una herramienta complementaria para análisis de impacto, y PILAR Basic, pensada para entidades locales.

Cuándo usar PILAR y cuándo no

Úsalo si

  • Tu sistema es de categoría Media o Alta.
  • Tienes más de 25–30 activos diferenciados.
  • Vas a certificarte con una entidad ENAC y quieres facilitar la auditoría.
  • La organización es pública o quieres alinearte con lo que usan el resto de AAPP.
  • Vas a repetir el AR cada 1–2 años (PILAR facilita la revisión).

Puede no compensar si

  • Tu alcance es muy reducido (un único servicio acotado).
  • La categoría es Básica y ya tienes un AR funcional en hoja de cálculo.
  • Nadie del equipo va a formarse en la herramienta (PILAR no es “plug & play”).

Cómo obtenerlo y empezar

La herramienta está disponible para administraciones y organizaciones con acceso al CCN-CERT. Para entidades privadas que trabajan con el sector público, suele gestionarse a través del propio cliente o de la Oficina de Coordinación de Ciberseguridad.

Pasos recomendados para el primer proyecto:

  1. Descargar la versión correcta (PILAR vs. μPILAR) en función del tamaño del análisis.
  2. Hacer un curso básico: el CCN publica vídeos oficiales y existen formaciones gestionadas.
  3. Partir de un proyecto plantilla: PILAR incluye plantillas base por sector que aceleran la configuración inicial.
  4. Iterar con una muestra reducida: los primeros 10 activos son los que te enseñan la herramienta; el resto es replicar el patrón.

Flujo de trabajo típico

1. Crear proyecto  →  2. Cargar inventario de activos

3. Valorar activos (C, I, T, A, D)  →  4. Vincular amenazas

5. Declarar salvaguardas  →  6. Calcular riesgo potencial/residual

7. Planificar tratamiento  →  8. Exportar informes + mapa ENS

PILAR exporta directamente:

  • Informe de análisis de riesgos (PDF estructurado).
  • Hoja de activos valorados.
  • Matriz de riesgos potencial y residual.
  • Plan de tratamiento editable.
  • Mapa al Anexo II del ENS, que es el que luego alimenta la DA.

Consejos prácticos

1. Usa la categorización de PILAR, no la paralela. PILAR calcula la categoría ENS a partir de los activos valorados. Si haces una categorización aparte en un Word, tarde o temprano se desincronizan.

2. Salva el proyecto en versión, no sobre el mismo fichero. El histórico es tu mejor defensa en auditoría y te permite comparar entre años.

3. No encadenes el proyecto a una sola persona. Si quien configuró el PILAR se va, el proyecto queda en el aire. Documenta la arquitectura del proyecto PILAR (qué dominios hay, por qué, qué salvaguardas vinculan a qué activos).

4. No sobrepases 150 activos. Si te acercas a esa cifra estás inventariando demasiado al detalle. Reagrupa.

5. Vincula las salvaguardas con medidas del Anexo II, no al revés. Así la exportación al mapa ENS sale limpia y la DA se alimenta sola.

Dificultades habituales

  • Curva de aprendizaje. La primera semana cuesta: el modelo de dominios, dependencias y herencias no es intuitivo.
  • Rigidez. No permite mucho “pensamiento lateral”: o juegas con su modelo o te pelearás.
  • Interfaz. Es funcional, no bonita. Si vienes de herramientas modernas, choca.
  • Exportaciones. Los informes son completos pero requieren edición editorial antes de presentarlos en dirección.

Alternativas

En el mercado hay herramientas comerciales (eSCA, GlobalSuite, OneTrust) que también implementan MAGERIT o permiten hacer AR alineados con el ENS. Son más flexibles en UI y suelen integrar GRC, pero el auditor siempre pedirá confirmar que el método es equivalente y documentable.

Para certificaciones ENS en sector público, nuestra recomendación sigue siendo PILAR. El coste de aprenderlo se amortiza rápido y elimina fricciones que otras herramientas sí generan en auditoría.

Sigue leyendo

Herramientas CCN

Análisis de riesgos con MAGERIT v3 paso a paso

Cómo ejecutar un análisis de riesgos MAGERIT v3 para ENS: identificación de activos, amenazas, salvaguardas y valoración del riesgo residual.

7 min
Herramientas CCN

INES: cómo reportar tu estado de conformidad al CCN

Qué es INES (Informe Nacional del Estado de Seguridad), quién está obligado, qué datos se reportan y cómo organizar la recolección interna.

5 min
Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu