Las consecuencias de una vulneración de la seguridad pueden incluir la pérdida de confidencialidad, así como la integridad y disponibilidad de los datos comprometidos. Cualquier organización con dispositivos en red IP, incluidas las cámaras de vigilancia, debe abordar las vulnerabilidades que presenta la conexión a Internet. Por lo tanto, la ciberseguridad es una de las máximas prioridades en Axis.
Dado que la ciberseguridad requiere una vigilancia y un mantenimiento continuos, la responsabilidad de mantener la seguridad no solo recae en los fabricantes, sino también en los socios y clientes, que también deben llevar a cabo su parte para maximizar la protección.
En este artículo, explicamos el enfoque de Axis en materia de ciberseguridad y por qué una responsabilidad compartida y continua entre todas las partes interesadas es vital para mantenerla.
Ciberseguridad integrada: cómo Axis minimiza los riesgos de seguridad
«La ciberseguridad es una parte fundamental y natural del ADN de Axis», afirma Jonas Falk, director de ciberseguridad, del departamento de Desarrollo de Software de Axis. «Es una parte integral de todo lo que hacemos, desde el desarrollo de nuevas tecnologías hasta nuestras propias operaciones diarias. En Axis, los temas de seguridad se abordan desde el principio del proceso de desarrollo de un nuevo producto, y este enfoque se mantiene durante todo el ciclo de vida útil del producto».
Para garantizar que esto suceda, un equipo de ciberseguridad especializado de Axis, el Axis Software Security Group, ha definido el Axis Security Development Model (ASDM, siglas en inglés de Modelo de desarrollo de seguridad de Axis) que guía a los equipos de desarrollo para minimizar el riesgo de vulnerabilidades en los productos Axis durante el diseño y la implementación. El grupo guía la metodología y las actividades, incluidas las pruebas que implican ciberataques simulados, lo que ayuda a mejorar la seguridad de los productos de Axis.
La mayoría de los dispositivos en red de Axis están controlados por AXIS OS, el sistema operativo de Axis. Aunque AXIS OS controla las funciones de los productos AXIS, también está diseñado para reducir el riesgo de vulnerabilidades y mejorar la seguridad de los productos desde la implementación hasta el desmantelamiento. Las nuevas versiones de AXIS OS para dispositivos se ponen a disposición de forma continua e incluyen los parches de seguridad y las correcciones de los errores más recientes.
«Un paso significativo que ha dado Axis ha sido transformar el desarrollo de software para dispositivos, pasando de un enfoque individual para cada producto a una plataforma de software que hoy en día es la base de la mayoría de los productos Axis», afirma Andre Bastert, director global de productos de ciberseguridad para AXIS OS en Axis. «El enfoque en una plataforma común basada en AXIS OS significa que podemos garantizar de un modo más sencillo el desarrollo y las actualizaciones para mejorar la seguridad de forma eficiente y oportuna».
Un aspecto clave de la fortaleza de Axis en materia de ciberseguridad también proviene de la sólida base proporcionada a través de la plataforma de seguridad basada en hardware llamada Axis Edge Vault. Edge Vault protege la integridad de los dispositivos Axis y habilita la ejecución de operaciones que requieren claves criptográficas. Edge Vault mejora la protección de la cadena de suministro y proporciona un almacenamiento seguro de las claves. También habilita funciones como vídeo firmado. El vídeo firmado agrega una suma de comprobación criptográfica, lo que habilita la prueba de que el vídeo no se ha editado desde que salió de la cámara, lo que es especialmente importante en una investigación o procesamiento.
No obstante, la ciberseguridad no puede lograrse solo con el desarrollo de nuevas funciones de seguridad. Es necesaria una base de seguridad, con una estrategia general que comprenda los procesos y las políticas que se implementen, que mejoren con el paso del tiempo.
Transparencia en materia de ciberseguridad
«Es importante para los clientes mitigar los riesgos de la cadena de suministro de los productos de red que se integran en sus sistemas, y en Axis creemos que los clientes merecen tener información clara acerca de sus proveedores para ayudarles a mitigar los riesgos», afirma Andre. «Por eso damos tanta importancia a la transparencia, en áreas como la gestión de vulnerabilidades de software, para ser un socio responsable a la hora de ayudar a proteger a nuestros clientes».
Axis cuenta con la homologación de la Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA) para sus productos. El programa CVE proporciona el marco y las herramientas que habilitan a organizaciones de todo el mundo para gestionar y detectar vulnerabilidades recién identificadas. La participación en el programa CVE testifica el compromiso de una organización con el seguimiento de las mejores prácticas en materia de gestión de vulnerabilidades éticas con un enfoque centrado en los clientes.
Como parte del compromiso de Axis de garantizar la ciberseguridad de sus productos, la empresa cuenta con recursos internos y externos que prueban los productos para ayudar a mejorar la seguridad. Axis también facilita un programa de recompensas por la detección de errores en el que los investigadores de seguridad que descubran vulnerabilidades en AXIS OS pueden recibir una recompensa en efectivo. Cuando se descubren nuevas vulnerabilidades, Axis resuelve los problemas y los notifica públicamente para que los clientes puedan adoptar las acciones oportunas y adecuadas.
Este enfoque transparente también se extiende a la puesta a disposición abierta de una lista de materiales de software (SBOM) para AXIS OS. La SBOM proporciona una lista de todos los componentes de software que componen la versión de AXIS OS, lo que habilita el acceso libre para su revisión. Estas medidas prácticas también están respaldadas por la conformidad con la norma ISO 27001.
Herramientas que los clientes pueden utilizar para optimizar la ciberseguridad
Las ciberamenazas evolucionan continuamente a medida que los ciberdelincuentes aprenden y desarrollan nuevas técnicas para penetrar en las defensas. Por este motivo, todas las partes interesadas (fabricantes, socios, integradores de sistemas y usuarios finales) deben compartir la responsabilidad no solo de implementar medidas de ciberseguridad, sino también de mantenerlas de forma continua.
Axis ayuda a socios y clientes en este complejo ámbito reforzando la ciberseguridad en sus ofertas. Esto incluye proporcionar orientación y herramientas para facilitar a los clientes la gestión y el uso de los productos Axis de la forma más segura posible.
Herramientas como AXIS Device Manager y el complemento AXIS Device Manager Extend ayudan a los clientes a configurar y gestionar de forma eficiente los productos Axis a lo largo de todo su ciclo de vida útil. Los usuarios finales pueden utilizar las herramientas para implementar políticas de ciberseguridad, recibir avisos de nuevas actualizaciones de AXIS OS y actualizar eficazmente el firmware de los productos.
«Axis puede proporcionar las tecnologías, herramientas y orientación para dar soporte a nuestros productos, pero esto no serviráde mucho si los propios clientes, con la ayuda del integrador de sistemas, no toman las medidas necesarias para mantener de forma activa y continua la seguridad de sus productos», señala Andre. «Todos deben poner de su parte».
La ciberseguridad siempre es una de las máximas prioridades
Dado que la ciberseguridad es un objetivo en constante evolución, Axis mantiene su enfoque de forma continua en la ciberseguridad.
«La ciberseguridad es una parte esencial de las actividades diarias de Axis», afirma Jonas. «No solo nos esforzamos por ofrecer productos que tengan medidas de seguridad integradas, sino también por garantizar que existan procesos de seguridad que regulen nuestras propias operaciones y actividades para ayudar a mitigar los riesgos de la cadena de suministro asociados a nuestros productos».