En el marco de Sicur 2024 se celebró Sicur Cyber, un completo programa de conferencias, talleres y presentaciones comerciales orientados a difundir conocimiento y cultura de ciberseguridad entre el mundo del security y dar voz a las necesidades de la industria de la seguridad y sus avances. Uno de los ponentes fue Roberto de Los Santos, Sales Enginer de Axis Communications, quien impartió la charla 'Ciberseguridad en el ciclo de vida de los dispositivos de seguridad'. De los Santos explica en esta entrevista por qué es importante la ciberseguridad en estos equipos y qué soluciones implementa su compañía en esta materia.
Durante Sicur 2024, ofreció una charla sobre ciberseguridad en el ciclo de vida de los dispositivos de seguridad física. ¿Por qué es importante la ciberseguridad en este tipo de dispositivos?
Con la digitalización de los sistemas de seguridad física, la gran mayoría de dispositivos utilizados están conectados a una red de datos. Si bien originalmente la pretensión era mantener esas redes aisladas, la conectividad entre redes y la flexibilidad en la utilización de los sistemas han hecho que ese aislamiento sea cuando menos difícil, tratándose en muchas ocasiones de sistemas de seguridad física funcionando sobre infraestructuras de red de datos de uso común para toda la organización. Esta circunstancia proporciona la oportunidad para los cibercriminales de atacar estos dispositivos, tanto para afectar al propio sistema de seguridad física como para servir de vía de acceso al resto de la red corporativa. El hecho de que estos sistemas hayan estado históricamente más desatendidos desde el punto de vista de la ciberseguridad los hace especialmente atractivos para los hackers considerando que las dificultades en otros dispositivos de red son mayores debido al aumento de medidas de protección contra ciber ataques.
¿Cuáles son los ataques más comunes que sufren los dispositivos de seguridad física? ¿Cómo se pueden evitar estos ataques?
Como decía anteriormente, uno de los objetivos de los ataques a los sistemas de seguridad físicos es la interrupción o alteración del servicio que prestan para reducir su eficacia de protección, así como el acceso a información reservada como puede ser el vídeo grabado. Esto normalmente se consigue con ataques basados en malware y ransomware. Por otro lado, cuando lo que se persigue es atacar al resto de la red corporativa, son también frecuentes los ataques de denegación de servicio tipo DDoS usando la gran cantidad de dispositivos de seguridad física disponibles.
¿Cuáles son los principales requisitos para que los productos sean ciberseguros durante todo su ciclo de vida?
Considerar todo el ciclo de vida del producto es fundamental para mitigar el riesgo y proporcionar una buena protección. De un modo esquemático podríamos dividirlo en diferentes fases o estados del dispositivo, asegurando la integridad del firmware desde el diseño, fabricación y distribución, comprobando la autenticidad de cualquier software cuando arranca el dispositivo y estableciendo políticas de seguridad sólidas durante la instalación, mantenimiento y desinstalación del elemento de seguridad física.
¿Qué políticas y medidas contemplan en Axis Communications para que sus dispositivos sean ciberseguros durante todo el ciclo de vida? ¿Qué soluciones ofrece?
El compromiso de Axis con la ciberseguridad comienza con un modelo de desarrollo que contempla la seguridad desde el diseño. La confianza en nuestros partners de fabricación y distribución está basada en la transparencia y el uso de buenas prácticas, apoyadas en las propias medidas adoptadas por Axis en los productos y desarrollos. Los productos Axis están dotados con las medidas hardware y software más avanzadas para mitigar los riesgos y hacer seguros los dispositivos en su utilización dentro de los sistemas de seguridad física. Axis proporciona guías detalladas de hardening de los productos y herramientas que permiten la actualización y mantenimiento de los dispositivos de forma ágil y segura de acuerdo con las políticas de seguridad del usuario final. Esto se refleja en el Axis OS, nuestro sistema operativo común para todos los productos y que recientemente acaba de obtener la certificación ETSI EN 303 645 para dispositivos IoT. No menos importante es la transparencia que Axis mantiene respecto a las vulnerabilidades encontradas, siendo proactivo en su detección, e incentivando a los hackers éticos mediante acuerdos y programas bug bounty para descubrir nuevas vulnerabilidades. Axis tiene un portal dedicado a la ciberseguridad donde son publicadas las vulnerabilidades (Axis es autoridad de numeración de sus propios CVE), las actualizaciones recomendadas y toda la información relevante respecto a la protección de los productos frente a la amenaza cibernética.
Roberto de Los Santos durante la charla que impartió en Sicur Cyber.
Aunque Axis Communications no ha tenido stand propio en Sicur, sí ha estado presente en las charlas de Sicur Cyber. ¿Ha podido pasear por la feria? ¿Cuál es su balance de esta última edición?
En efecto, hace ya algunos años que en Axis tomamos la decisión de no participar directamente en la feria de Sicur con stand propio. Aun siendo la feria de referencia del sector en España, consideramos que obtenemos un mejor y mayor retorno de la inversión organizando nuestros eventos de marca como el Axis OPEN que celebramos el pasado mes de octubre en Madrid y que presentaremos próximamente en Lisboa en el mes de mayo.
Respecto a esta edición de Sicur, debo decir que me ha impresionado el nivel de asistencia, que se mantiene muy alto a pesar de las grandes ausencias de fabricantes e integradores de primer nivel. Está claro que representa un punto de encuentro del sector y en ese sentido se hacen más interesantes las actividades paralelas como el Sicur Cyber. En cualquier caso, me ha resultado extraño ver la presencia de algunos integradores de referencia en el área de PCI en detrimento de la de soluciones de seguridad electrónica.
En cuanto a la oferta presentada por los fabricantes y distribuidores participantes, hay que destacar sobre todo la presencia masiva de analíticas de vídeo con IA, entorno a las cuales gira la mayor parte de la oferta de soluciones de vídeo. La clasificación de objetos y personas dentro de las imágenes y su traslado a metadatos para favorecer búsquedas forenses parece ser la tendencia común de las innovaciones, algo que en Axis llevamos haciendo desde hace ya varios años. Parece también claro que los desarrollos en software prevalecen sobre aquellos del hardware, y llama la atención la extensa oferta de soluciones de control de accesos tanto con credenciales biométricas como otras más tradicionales.
En definitiva, una edición interesante, más por la oportunidad de relacionarse con otros actores del mercado y de encontrarse directamente con los proveedores que por la capacidad para mostrar novedades, algo que hoy día está solo reservado para pocas ferias de referencia a nivel mundial. Afortunadamente, el marketing digital y la información en la red son una buena alternativa para mantenerse actualizado.
“El compromiso de Axis con la ciberseguridad comienza con un modelo de desarrollo que contempla la seguridad desde el diseño”
Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos
"Nuestro principal objetivo es ofrecer al mercado soluciones de protección contra incendios antes incluso de que los propios fabricantes las desarrollen"