MNEMO afronta en este mes de marzo el cierre de la Fase 4 (Paso a TRL 8) y por consiguiente el cierre del proyecto VULNTRACK, incluido en la Iniciativa Estratégica de Compra Publica de Innovación (IECPI) del Instituto Nacional de Ciberseguridad (INCIBE) para la contratación de “Servicios de investigación y desarrollo en materia de ciberseguridad” (ACTUACIÓN 1).

INCIBE, como entidad pública para el desarrollo de la ciberseguridad, decidió desarrollar la iniciativa IECPI en 2021, con el objetivo de ejecutar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad. El 1 de julio de 2022 fue publicado en la Plataforma de Contratación del Sector Público el citado Documento Regulador, a adjudicar por los cauces del procedimiento de diálogo competitivo.

Todos los detalles de la IECPI se pueden encontrar en la web de INCIBE: https://www.incibe.es/industria-cpi.

MNEMO cerró el pasado 30 de enero los desarrollos planificados para la fase 3, completando el despliegue de la plataforma en un entorno pre-comercial, con características a escala idénticas a un sistema real, y cubriendo todos los objetivos que se perfilaron en la memoria de proyecto, cuando se inició el mismo en enero de 2024. En estos momentos nos encontramos en pleno proceso de ejecución de la Fase 4, que tiene como objetivo obtener el sistema VULNTRACK en un grado de avance TRL8 – Sistema completo y certificado a través de pruebas y demostraciones y se cierra el próximo 31 de marzo de 2026, cumpliendo de esta forma con el final de los trabajos y el cierre del proyecto global.

En la Fase 4 se abordan tareas esenciales para el cierre de la plataforma como son la certificación de calidad del producto en base al estándar ISO25000, la certificación de seguridad sobre metodología del CCN-CERT para su inclusión en el catálogo CPSTIC y la certificación de accesibilidad sobre el estándar WCAG 2.1. Todos los procesos cuentan con certificación externa, asegurando la fiabilidad y conformidad mediante auditores independientes.

El sistema construido constituye una plataforma de gestión integral de vulnerabilidades que cubre el ciclo completo de la vulnerabilidad y permite conocer en tiempo real el riesgo efectivo de una organización en función de su estado de salud respecto a las vulnerabilidades detectadas, el nivel de amenaza asociado a las mismas y el contexto interno/externo. La gestión incluye todos los procesos operativos y de control:

1. Identificación y captura de vulnerabilidades, de forma que se dispone de todas las vulnerabilidades de la organización en un único repositorio, que permite la gestión global y centralizada de las mismas, independientemente de la fuente que las haya identificado y el proceso por el que se hayan descubierto, ya sea por una herramienta de fabricante o por un proceso de auditoría manual.

2. Tratamiento de vulnerabilidades, con la gestión de los distintos estados y modos de tratamiento, incluyendo todos los posibles casos de gestión que tradicionalmente no son gestionados por las herramientas externas de descubrimiento y que son utilizados a diario por los gestores con objeto de gestionar los recursos disponibles y el riesgo asociado a cada activo.

3. Seguimiento de la eficacia en la remediación de vulnerabilidades, a nivel de cada proceso y a nivel corporativo, de forma que se pueda visualizar el grado de evolución en la eficacia, comprobar su afectación al riesgo y establecer métricas y procesos de mejora continua.

4. Cálculo del Riesgo Efectivo real a nivel de vulnerabilidad, a nivel de activo y a nivel corporativo, incorporando valores de contexto externo e interno e integrando información de las áreas de inteligencia.

5. Foco sobre activos críticos, identificando de forma continua cuáles son los activos sobre los que se deben implantar las acciones de remediación prioritarias y haciendo viable el tratamiento de vulnerabilidades optimizando el tiempo y los recursos disponibles, y comprobando en tiempo real la evolución del Riesgo Efectivo corporativo en base a las acciones puestas en marcha.

Se muestran a continuación algunas de las imágenes representativas de la plataforma VULNTRACK, que se han ido presentando a medida que se desarrollaban las fases del proyecto:

Consulta otros artículos: