MNEMO está a pleno rendimiento de la Fase 3 del proyecto VULNTRACK, incluido en la Iniciativa Estratégica de Compra Publica de Innovación (IECPI) del Instituto Nacional de Ciberseguridad (INCIBE) para la contratación de “Servicios de investigación y desarrollo en materia de ciberseguridad” (ACTUACIÓN 1).

INCIBE, como entidad pública para el desarrollo de la ciberseguridad, decidió desarrollar la iniciativa IECPI en 2021, con el objetivo de ejecutar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad. El 1 de julio de 2022 fue publicado en la Plataforma de Contratación del Sector Público el citado Documento Regulador, a adjudicar por los cauces del procedimiento de diálogo competitivo.

Todos los detalles de la IECPI se pueden encontrar en la web de INCIBE: https://www.incibe.es/industria-cpi.

El proyecto comenzó el 1 de octubre de 2023 , se completaron las primeras fases de cierre de desarrollo de la plataforma el pasado 31 de marzo e inmediatamente después comenzó la fase 3, actualmente en desarrollo, consistente en completar el grado de avance TRL7 – Prototipo en entorno operacional, cuya fecha prevista de cierre es el 31 de octubre.

El grado de avance TRL7 es un paso de maduración significativo que requiere una demostración real en el entorno operativo previsto. El objetivo principal para alcanzar este nivel de madurez está vinculado a garantizar la confianza de la ingeniería de sistemas y la gestión del desarrollo. Por lo tanto, la demostración debe corresponder a un prototipo de la aplicación real prevista, y el nivel de exigencia a nivel de producto terminado es alto:

• Se debe demostrar el sistema funcionando en el entorno operativo real previsto.
• Se debe evolucionar el prototipo de software, de forma que disponga de todas las funcionalidades clave que deben estar disponibles para demostración y prueba.
• Debe existir una integración realista con los sistemas de HW/SW, que permita demostrar la viabilidad operativa.
• Deben estar depurados los errores de software principales.

Esto significa que se procederá a desplegar el prototipo en un entorno pre-comercial (características a escala idénticas a un sistema real) para realizar los diferentes tipos de pruebas de funcionalidad, fiabilidad, rendimiento, etc., que garanticen un adecuado funcionamiento del sistema en un entorno real.

Para conseguir el objetivo de la fase 3 y demostrar el avance a TRL 7 se han definido los casos de uso que definen de forma completa las capacidades desarrolladas para la plataforma. Cada caso de uso supone un proceso específico de valor para los futuros usuarios de VULNTRACK, y el conjunto de casos de uso permitirá comprobar que el producto está preparado para ejecutar las tareas previas al posterior lanzamiento comercial.

El sistema incluye la disponibilidad de la funcionalidad completa para los componentes definidos en el proyecto, de forma que al final de la fase actual se podrá realizar la demostración de todas las funciones de la gestión integral de vulnerabilidades de principio a fin:

1. Identificación y captura de vulnerabilidades, de forma que se dispone de todas las vulnerabilidades de la organización en un único repositorio, que permite la gestión global y centralizada de las mismas, independientemente de la fuente que las haya identificado y el proceso por el que se hayan descubierto, ya sea por una herramienta de fabricante o por un proceso de auditoría manual.

2. Tratamiento de vulnerabilidades, con la gestión de los distintos estados y modos de tratamiento, incluyendo todos los posibles casos de gestión que tradicionalmente no son gestionados por las herramientas externas de descubrimiento y que son utilizados a diario por los gestores con objeto de gestionar los recursos disponibles y el riesgo asociado a cada activo.

3. Seguimiento de la eficacia en la remediación de vulnerabilidades, a nivel de cada proceso y a nivel corporativo, de forma que se pueda visualizar el grado de evolución en la eficacia, comprobar su afectación al riesgo y establecer métricas y procesos de mejora continua.

4. Cálculo del Riesgo Efectivo real a nivel de vulnerabilidad, a nivel de activo y a nivel corporativo, incorporando valores de contexto externo e interno e integrando información de las áreas de inteligencia.

5. Foco sobre activos críticos, identificando de forma continua cuáles son los activos sobre los que se deben implantar las acciones de remediación prioritarias y haciendo viable el tratamiento de vulnerabilidades optimizando el tiempo y los recursos disponibles, y comprobando en tiempo real la evolución del Riesgo Efectivo corporativo en base a las acciones puestas en marcha.

Las siguientes imágenes ilustran algunas de las pantallas de información incluidas en el desarrollo del proyecto:

MNEMO continúa con paso firme hacia el cierre de la fase 3 en la fecha prevista del 31 de octubre y con el objetivo de completar el desarrollo del proyecto VULNTRACK en el primer trimestre de 2026.

Consulta otros artículos: