Proyecto VULNTRACK
Mayo 2025
PROYECTO VULNTRACK
Mayo 2025
MNEMO YA HA ARRANCADO LA FASE 3 DEL PROYECTO “VULNTRACK”
MNEMO ha traspasado el ecuador del proyecto VULNTRACK, incluido en la Iniciativa Estratégica de Compra Publica de Innovación (IECPI) del Instituto Nacional de Ciberseguridad (INCIBE) para la contratación de “Servicios de investigación y desarrollo en materia de ciberseguridad” (ACTUACIÓN 1).
INCIBE, como entidad pública para el desarrollo de la ciberseguridad, decidió desarrollar la iniciativa IECPI en 2021, con el objetivo de ejecutar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad. El 1 de julio de 2022 fue publicado en la Plataforma de Contratación del Sector Público el citado Documento Regulador, a adjudicar por los cauces del procedimiento de diálogo competitivo.
Todos los detalles de la IECPI se pueden encontrar en la web de INCIBE: https://www.incibe.es/industria-cpi.
El proyecto comenzó el 1 de octubre de 2023 , se han completado las primeras fases de cierre de desarrollo de la plataforma el pasado 31 de marzo e inmediatamente después comenzó la fase 3, actualmente en desarrollo, consistente en completar el grado de avance TRL7 – Prototipo en entorno operacional, cuya fecha prevista de cierre es el 31 de octubre.
El grado de avance TRL7 es un paso de maduración significativo que requiere una demostración real en el entorno operativo previsto. El objetivo principal para alcanzar este nivel de madurez está vinculado a garantizar la confianza de la ingeniería de sistemas y la gestión del desarrollo. Por lo tanto, la demostración debe corresponder a un prototipo de la aplicación real prevista, y el nivel de exigencia a nivel de producto terminado es alto:
- Se debe demostrar el sistema funcionando en el entorno operativo real previsto.
- Se debe evolucionar el prototipo de software, de forma que disponga de todas las funcionalidades clave que deben estar disponibles para demostración y prueba.
- Debe existir una integración realista con los sistemas de HW/SW, que permita demostrar la viabilidad operativa.
- Deben estar depurados los errores de software principales.
Esto significa que se procederá a desplegar el prototipo en un entorno pre-comercial (características a escala idénticas a un sistema real) para realizar los diferentes tipos de pruebas de funcionalidad, fiabilidad, rendimiento, etc., que garanticen un adecuado funcionamiento del sistema en un entorno real, incluyendo todos los componentes identificados en el proyecto:
- Repositorio global de vulnerabilidades
- Motor de alerta temprana
- Procesos de descubrimiento de vulnerabilidades
- Repositorio de activos con vulnerabilidades
- Tratamiento de vulnerabilidades
- Seguimiento de vulnerabilidades
- Sincronización con fuentes de identificación externa de vulnerabilidades
- Generación de artefactos de respuesta
- Integración con fabricantes para procesos de remediación
- Cálculo avanzado del riesgo
- Modelo de gestión de riesgo de vulnerabilidades y activos
- Integración con herramientas externas de Análisis de Riesgos
El sistema incluye la disponibilidad de la funcionalidad completa para los componentes indicados, de forma que al final de la fase actual se podrá realizar la demostración de todas las funciones de la gestión integral de vulnerabilidades de principio a fin:
- Identificación y captura de vulnerabilidades, de forma que se dispone de todas las vulnerabilidades de la organización en un único repositorio, que permite la gestión global y centralizada de las mismas, independientemente de la fuente que las haya identificado y el proceso por el que se hayan descubierto, ya sea por una herramienta de fabricante o por un proceso de auditoría manual.
- Tratamiento de vulnerabilidades, con la gestión de los distintos estados y modos de tratamiento, incluyendo todos los posibles casos de gestión que tradicionalmente no son gestionados por las herramientas externas de descubrimiento y que son utilizados a diario por los gestores con objeto de gestionar los recursos disponibles y el riesgo asociado a cada activo.
- Seguimiento de la eficacia en la remediación de vulnerabilidades, a nivel de cada proceso y a nivel corporativo, de forma que se pueda visualizar el grado de evolución en la eficacia, comprobar su afectación al riesgo y establecer métricas y procesos de mejora continua.
- Cálculo del Riesgo Efectivo real a nivel de vulnerabilidad, a nivel de activo y a nivel corporativo, incorporando valores de contexto externo e interno e integrando información de las áreas de inteligencia.
- Foco sobre activos críticos, identificando de forma continua cuáles son los activos sobre los que se deben implantar las acciones de remediación prioritarias y haciendo viable el tratamiento de vulnerabilidades optimizando el tiempo y los recursos disponibles, y comprobando en tiempo real la evolución del Riesgo Efectivo corporativo en base a las acciones puestas en marcha.
Las siguientes imágenes ilustran algunas de las pantallas de información incluidas en el desarrollo del proyecto:
MNEMO continúa con paso firme hacia el cierre de la fase 3 en la fecha prevista del 31 de octubre y con el objetivo de completar el desarrollo del proyecto VULNTRACK en el primer trimestre de 2026.
MNEMO, miembro GOLD de la Red Nacional de SOC del Centro Criptológico Nacional
MNEMO, compañía especializada en ciberseguridad, se ha integrado en la Red Nacional de SOC del Centro Criptológico Nacional como miembro Gold.
Revista SIC: INNOVATE, la respuesta de MNEMO a los nuevos retos de seguridad de la nube
Consulta el artículo de David Pérez Lázaro, co-fundador y CEO MNEMO INNOVATE publicado en la Revista SIC del mes de noviembre.
MNEMO se convierte en la primera compañía de ciberseguridad en ser Premier Partner de KNOWBE4 en España
MNEMO ha alcanzado la categoria de “Premier Partner” de KNOWBE4 en España como parte de su estrategia para convertirse en un partner de referencia en servicios gestionados de formación y concienciación en ciberseguridad.