Axis Communications ha recibido una certificación que avala el cumplimiento de la norma de ciberseguridad ETSI EN 303 645. La certificación comprende un amplio abanico de productos Axis que utilizan AXIS OS 11 o versiones posteriores y se aplica a más de 150 dispositivos Axis en el mercado, así como a nuevos modelos pendientes de lanzamiento. AXIS OS es el sistema operativo basado en Linux que se utiliza en la mayoría de los productos de red Axis. Esta certificación está expedida por Underwriters Laboratories
(UL TS B.V.) y se ha obtenido tras las pruebas realizadas en uno de los centros de UL en Estados Unidos. Axis tiene la intención de repetir estas pruebas periódicamente para conservar la certificación y aplicarla a nuevos productos.
La norma ETSI EN 303 645 incluye 68 disposiciones de requisitos técnicos considerados básicos para la ciberseguridad de los dispositivos conectados. Estos requisitos hacen referencia a aspectos relacionados con los propios dispositivos, como la compatibilidad con funciones de seguridad integradas en el hardware como el almacenamiento seguro de claves y funciones de seguridad por omisión como HTTPS activado y la ausencia de contraseñas predeterminadas. Otra cuestión analizada es la gestión del ciclo de vida, como tener un periodo de soporte definido para las actualizaciones de seguridad de los dispositivos. También comprende requisitos como contar con una metodología para reducir el riesgo de vulnerabilidades en el desarrollo de software, tener una política transparente para la gestión de vulnerabilidades e implementar las prácticas recomendadas en el tratamiento de los datos personales. Estos requisitos tienen en cuenta las prácticas recomendadas en el sector, garantía de que los productos certificados tienen nivel de seguridad mínimo a lo largo de su ciclo de vida.
La norma está firmada por el Instituto Europeo de Normas de Telecomunicaciones (ETSI), una organización independiente y sin ánimo de lucro para la estandarización de las comunicaciones y la información. Aunque se ha desarrollado en Europa, la ETSI EN 303 645 es relevante en todo el mundo y puede aplicarse en muchos contextos. Esta norma sigue una línea similar a otras normas, certificaciones y legislaciones sobre ciberseguridad de diferentes sectores en los siguientes países/regiones:
- Unión Europea (Ley de ciberresiliencia de la UE, Directiva sobre equipos radioeléctricos de la UE)
- Finlandia (Etiqueta de ciberseguridad finesa)
- Alemania (BSI – Etiqueta de seguridad de TI)
- Reino Unido (Ley de infraestructura de telecomunicaciones y seguridad de los productos y Código de prácticas de seguridad del consumidor en relación con el Internet de las cosas)
- Estados Unidos (NIST IR 8425, Cyber Trust Mark)
- India (TEC Código de prácticas para la protección del consumidor en relación con el Internet de las cosas)
- Singapur (Cybersecurity Labelling Scheme)
- Australia (Code of Practice – Securing the Internet of Things for Consumers)
La norma aparece publicada en el sitio web de ETSI y se puede consultar de forma gratuita.
Las certificaciones de organismos externos basadas en normas permiten demostrar el cumplimiento de la legislación o incluso la capacidad de anticipación a nuevas leyes. Sin embargo, la ciberseguridad son mucho más que certificaciones. Para mejorar los niveles de ciberseguridad, es necesario ir un paso más allá de las normas. En Axis, esta idea se traduce en hechos como la compatibilidad con redes de confianza cero, un programa de recompensas por la detección de errores y un modelo de gestión del ciclo de vida de los dispositivos.
El sector de la TI, donde todo cambia a un ritmo vertiginoso y la seguridad es uno de los motores de la innovación, normalmente avanza más rápido que las normas y las certificaciones. Por lo tanto, las normas y las certificaciones constituyen un elemento más de los muchos que deben tenerse en cuenta en determinadas situaciones. Centrar los esfuerzos exclusivamente en las certificaciones para cumplir el expediente no siempre ofrece a los clientes el valor deseado y los fabricantes pueden quedarse atrás en terrenos tan importantes como la innovación tecnológica.
