Axis Communications, líder mundial en la industria de la vigilancia por vídeo, anuncia que ha suscrito el compromiso Secure by Design de la Agencia de Ciberseguridad e Infraestructuras de EE. UU. para comunicar de forma transparente la postura en materia de ciberseguridad de los productos Axis.
El compromiso voluntario Secure by Design de la agencia gubernamental de EE. UU., CISA, insta a los fabricantes a hacer de la seguridad de los clientes un requisito empresarial fundamental al abordar siete aspectos clave en materia de seguridad:
- Uso de un sistema de autenticación multifactor
- Reducción de las contraseñas predeterminadas
- Reducción de las clases de vulnerabilidades
- Capacitación para que los clientes puedan instalar fácilmente parches de seguridad
- Publicación de una política de divulgación de vulnerabilidades
- Demostración de transparencia en los informes de vulnerabilidades
- Demostración de un aumento cuantificable en la capacidad de los clientes para recopilar pruebas de intrusiones relacionadas con la ciberseguridad que afecten a los productos del fabricante
«El compromiso Secure by Design de la CISA se alinea perfectamente con nuestro objetivo de convertir la ciberseguridad en un núcleo fundamental de nuestra oferta», afirma Johan Paulsson, director de tecnología de Axis. «Al suscribir este compromiso, confirmamos nuestra promesa de ayudar a los clientes a seguir las mejores prácticas de ciberseguridad e impulsar una mayor responsabilidad en el sector de la seguridad física».
A continuación, se describe cómo Axis aborda el compromiso «Secure by Design» en su catálogo de productos, que abarca desde productos de red basados en AXIS OS, software de gestión de dispositivos y vídeo hasta ofertas de servicios como AXIS Cloud Connect.
Implementación de la seguridad en el catálogo de productos de Axis
La reducción del riesgo de vulnerabilidades en el software es una parte integral del desarrollo de software de Axis. Los desarrolladores de Axis siguen el Modelo de desarrollo de seguridad de Axis (ASDM) para mitigar los riesgos de seguridad a lo largo del ciclo de vida de los productos. El marco de seguridad, que incluye procesos y herramientas, también incluye el refuerzo de la seguridad de los productos a través de recursos externos, es decir, a través de los programas de recompensas por localización de errores de Axis y al permitir que las personas y al permitir que las personas puedan informar fácilmente de errores o vulnerabilidades al equipo de seguridad de productos de Axis. Axis subsana y divulga vulnerabilidades como CVE Numbering Authority (CNA), y la política de gestión de vulnerabilidades publicada por la empresa describe qué, cuándo y cómo se ocupa de las divulgaciones de vulnerabilidades. El AXIS Trust Center tiene como objetivo proporcionar información sobre ciberseguridad y conformidad normativa para Axis como empresa y para los productos de red basados en AXIS OS, y eventualmente también abarcará otros productos y servicios de Axis.
Productos de red basados en AXIS OS
La amplia gama de dispositivos de red basados en IP de Axis, que incluye cámaras, intercomunicadores, altavoces y productos de control de acceso, funciona con el sistema operativo AXIS OS. AXIS OS está diseñado sin contraseñas predeterminadas. Admite el uso de sistemas de autenticación multifactor cuando los clientes acceden a los dispositivos mediante la gestión centralizada de acceso e identidades (IAM).
AXIS OS habilita una red de confianza cero de forma predeterminada de fábrica para la verificación e incorporación seguras de dispositivos. Permite que los productos de red de Axis se autentiquen automáticamente a través de IEEE 802.1X con sus identidades de dispositivo seguras compatibles con IEEE 802.1AR. AXIS OS también permite un cifrado potente a través de IEEE 802.1AE MACsec, que protege, a nivel fundamental, protocolos de red como NTP y DHCP que no ofrecen seguridad nativa, y protocolos seguros de doble cifrado, como HTTPS y otros protocolos basados en TLS.
Además, los dispositivos basados en AXIS OS cuentan con una funcionalidad de almacenamiento seguro de claves basada en hardware que cuenta con la certificación FIPS 140-3 Nivel 3, junto con Common Criteria EAL6+.
AXIS Camera Station
Los sistemas de software de gestión de vídeo de Axis, AXIS Camera Station Pro y AXIS Camera Station Edge, garantizan comunicaciones externas seguras entre smartphones, tabletas, navegadores o clientes de PC y cámaras de red de Axis a través del cifrado AES de 256 bits con AXIS Secure Remote Access v2. Mientras tanto, la comunicación entre los servidores cliente y los dispositivos Axis está protegida mediante cifrado AES de 256 bits y TLS 1.2 o superior. Los productos de software admiten múltiples niveles de acceso de usuario y control granular de diferentes funcionalidades. AXIS Camera Station Pro habilita la protección por contraseña de los dispositivos que utilizan usuarios locales o de dominio de directorio activo de Windows, mientras que AXIS Camera Station Edge admite la autenticación de dos factores. AXIS Camera Station Pro proporciona registros de alarmas, eventos y auditorías, lo que permite recibir notificaciones en tiempo real y llevar a cabo un seguimiento de las actividades del sistema, además de garantizar la responsabilidad de cada acción.
Software de gestión de dispositivos de Axis
Axis ofrece varios software específicos y fáciles de usar para gestionar dispositivos periféricos como cámaras, productos de audio y control de acceso. Las aplicaciones de gestión de dispositivos, AXIS Device Manager, AXIS Device Manager Edge y AXIS Device Manager Extend, ayudan a los clientes a actualizar de forma rentable el software de los dispositivos y a reforzar la seguridad de miles de dispositivos de red Axis. Otras funciones compatibles incluyen automatizar el ciclo de vida del aprovisionamiento de certificados TLS, proporcionar funciones sencillas de copia de seguridad y restauración de la configuración del dispositivo que minimicen los errores de configuración humana y gestionar los cambios de contraseña, HTTPS, IEEE 802.1X y otros servicios en los dispositivos de Axis.
Axis Cloud Connect
Axis Cloud Connect es una plataforma de nube híbrida abierta que permite a los clientes finales y socios de integración gestionar los dispositivos de Axis. Admite actividades como aplicar automáticamente nuevos sistemas de software actualizados que incluyan parches de seguridad para productos de red de Axis. La conectividad de dispositivos a la nube se establece únicamente a través de canales de comunicación seguros como HTTPS y WebRTC con TLS 1.2/1.3. Admite el inicio de sesión único (SSO) y la autenticación multifactor para las cuentas My Axis, que se utilizan para proporcionar acceso a los servicios alojados por Axis. Cloud Connect también permite la recopilación de pruebas y la detección automática de actividades sensibles de ciberseguridad mediante herramientas automáticas y la supervisión de registros de auditoría.
Como parte del compromiso creado por la CISA, Axis se compromete a compartir regularmente información y progresos acerca de la postura en materia de ciberseguridad de sus productos. Permite a los clientes verificar y responsabilizar a la empresa, y ayuda a reforzar la confianza que los clientes deben tener al utilizar los productos Axis.
Axis contribuye a crear un mundo más inteligente y seguro mejorando la seguridad, la operatividad de las empresas y la inteligencia empresarial. Como líder del sector y empresa especializada en tecnología de redes, Axis ofrece videovigilancia, control de acceso, intercomunicadores y soluciones de audio. Su valor se multiplica gracias a las aplicaciones inteligentes de analítica y una formación de primer nivel.
Axis cuenta aproximadamente con 5.000 empleados especializados en más de 50 países y proporciona soluciones a sus clientes en colaboración con sus socios de tecnología e integración de sistemas. Axis fue fundada en 1984 y su sede central se encuentra en Lund (Suecia).