Las salvaguardas se evalúan según la siguiente escala


n.a. – no es aplicable

use este valor cuando la salvaguarda no tiene sentido en el sistema; esté preparado con una buena explicación para justificar la decisión frente al auditor


L0 – inexistente

use este valor cuando la salvaguarda es aplicable y debe estar; pero no está


L1 – iniciado

use este valor cuando la salvaguarda está, pero en un estado incipiente o muy inmaduro


L2 – parcialmente realizado

use este nivel cuando la salvaguarda está e incluso su operación es repetible; pero no existe un procedimiento formal a seguir para gestionarla regularmente; la gestión se realiza de forma intuitiva


L3 – en funcionamiento

use este nivel cuando se sigue un procedimiento de actuación de forma rutinaria


L4 – monitorizado

use este nivel cuando se dispone de medidas regulares de la eficacia y eficiencia de la salvaguarda en el desempeño de su cometido


L5 – mejora continua

use este nivel cuando el proceso de gestión es parte de un ciclo de mejora continua – típicamente esto significa que se emplea un sistema de gestión de la seguridad de la información (SGSI)


Cuando un elemento tiene hijos, PILAR puede presentar bien un rango (min-max) o un valor aproximado, ambos derivados de la madurez de los hijos. El rango presenta los valores mínimo y máximo entre los hijos. La presentación aproximada añade un signo “+” o “-“. 


Por ejemplo:

  • Si todos los hijos son L3, la madurez del padre es L3.
  • Si todos los hijos son L3 excepto uno que es L2, la madurez del padre es L2-L3.
  • Si todos los hijos son L3 excepto uno que es L2, la madurez aproximada del padre es L3-.
  • Si todos los hijos son L3 excepto uno que es L4, la madurez aproximada del padre es L3+.