En una época en la que las amenazas a la ciberseguridad evolucionan a diario, crear productos seguros requiere algo más que parches reactivos. Exige un enfoque proactivo y sistemático desde el principio. 

Para mí, la seguridad de los productos no consiste en añadir una capa protectora al final del proceso. Se trata de comprender cómo se comporta un sistema, cómo puede fallar y cómo podría utilizarse indebidamente antes de decidir cómo construirlo. En nuestras soluciones de videovigilancia y análisis de datos, esto es aún más importante, ya que protegen entornos sensibles, datos operativos y pruebas en las que nuestros clientes confían a diario. 

Mi función en March Networks en la intersección entre la seguridad de los productos, la arquitectura y la gestión práctica de riesgos. Trabajo en estrecha colaboración con nuestros equipos de I+D para garantizar que las decisiones en materia de seguridad no solo sean técnicamente sólidas, sino que también se ajusten a la forma en que nuestras soluciones se implementan y utilizan en la práctica. 

A lo largo del último año, March Networks asociado con Security Pattern para establecer un proceso integral de modelización de amenazas y análisis de riesgos. Esta colaboración nos ha ayudado a pasar de considerar la seguridad como una actividad de revisión a verla como una disciplina de ingeniería, integrada directamente en la forma en que diseñamos y desarrollamos nuestras soluciones de videovigilancia. 

Descubre nuestras prácticas de ciberseguridad.

¿Qué es el modelado de amenazas? 

El modelado de amenazas es una metodología estructurada que identifica, evalúa y prioriza las posibles amenazas a la seguridad en una fase temprana del ciclo de vida del desarrollo del producto. En lugar de detectar vulnerabilidades tras la implementación —cuando las correcciones resultan costosas y causan interrupciones—, el modelado de amenazas sienta unas bases sólidas para el desarrollo seguro de dispositivos al identificar los riesgos antes de que se conviertan en problemas. 

«La conciencia es nuestra brújula magnética; la razón, nuestra carta de navegación». — Joseph Cook 

Esta cita plasma a la perfección la esencia de nuestro marco de trabajo. Nuestra metodología de modelización de amenazas se sustenta en dos pilares complementarios que funcionan conjuntamente, al igual que lo hacen la conciencia y la razón: 

La brújula: identificación sistemática de amenazas con STRIDE y CIA. Al igual que la conciencia nos guía sin dejar pasar ningún detalle, STRIDE (suplantación, manipulación, repudio, divulgación de información, denegación de servicio y elevación de privilegios) nos sirve de brújula moral para identificar amenazas. Garantiza que abordemos cada sistema con rigor y exhaustividad, sin pasar por alto nunca ninguna categoría de riesgo. La combinación de STRIDE con CIA (Confidencialidad, Integridad y Disponibilidad) nos permite identificar tanto las amenazas potenciales como las capacidades de seguridad ya presentes en nuestras soluciones. Juntos, estos marcos proporcionan una perspectiva exhaustiva y minuciosa a través de la cual ninguna categoría de amenaza queda sin examinar. 

Brújula de latón sobre un mapa antiguo que simboliza las directrices para la modelización de amenazas de ciberseguridad

 

El gráfico: los indicadores como guía rigurosa para la puntuación de riesgos. Una vez identificadas las amenazas, la razón toma el relevo. Un conjunto bien definido de métricas, que miden tanto el impacto como la viabilidad de cada amenaza, proporciona la carta de navegación que guía nuestras decisiones. Estas métricas permiten a los equipos clasificar objetivamente los riesgos, priorizar las contramedidas y realizar un seguimiento de la mejora a lo largo del tiempo. Sin esta guía de puntuación estructurada, la mera identificación de amenazas dejaría a los equipos a la deriva; las métricas transforman una lista de preocupaciones en una hoja de ruta práctica y priorizada para la inversión en seguridad. 

Mapa de modelización de amenazas con STRIDE, CIA, brújula y diagrama del panorama de soluciones 

La combinación de estos dos componentes se perfeccionó gracias a la colaboración entre March Networks Security Pattern, adaptando los enfoques diseñados originalmente para el desarrollo de nuevos productos con el fin de abordar también el análisis de las soluciones existentes. Este doble marco permitió a los equipos de desarrollo diseñar nuevas funcionalidades e implementar las contramedidas adecuadas como partes integrales de la arquitectura general del sistema, y también ha demostrado ser un potente motor de innovación en materia de seguridad. 

Por qué es importante el modelado de amenazas 

Los enfoques tradicionales de seguridad suelen considerar la ciberseguridad como un elemento más de una lista de comprobación que se aborda en una fase tardía del desarrollo. Esta actitud reactiva da lugar a que se pasen por alto ciertas características, a implementaciones innecesarias y a vulnerabilidades cuya corrección resulta costosa. El modelado de amenazas da un giro a este paradigma al convertir la seguridad en un principio fundamental del diseño, en lugar de un aspecto secundario. 

Según mi experiencia, el valor del modelado de amenazas no reside únicamente en la lista final de amenazas. El verdadero valor está en las conversaciones que genera. Reúne a los responsables de producto, arquitectos, desarrolladores, el equipo de control de calidad y los especialistas en seguridad en un mismo debate con la suficiente antelación como para influir en las decisiones de diseño. Ahí es donde se producen las mejoras significativas en materia de seguridad. 

Al comprender las amenazas antes de aplicar las medidas de protección, las organizaciones pueden: 

  • Reducir los costes de desarrollo evitando costosas correcciones tras la implementación 
  • Mejorar la calidad del producto mediante la identificación sistemática de vulnerabilidades 
  • Fomenta la confianza de los clientes con compromisos de seguridad demostrables 
  • Mantener el cumplimiento con las normas y regulaciones del sector en constante evolución 

Nuestra trayectoria: mejoras cuantificables en materia de seguridad 

Desde que implantamos nuestro proceso de modelización de amenazas con Security Pattern, March Networks aplicado esta metodología en March Networks nuestras March Networks . El proceso abarca desde el software Command Enterprise y sus aplicaciones hasta los servidores de grabación Command y las grabadoras integradas R6, incluyendo un modelo para los dispositivos periféricos configurados en las grabadoras, como cámaras y codificadores. Los resultados hablan por sí solos. 

Mejora progresiva a lo largo de las versiones 

Versión MN.2025.0.0  

Implementación inicial, con un análisis exhaustivo de las soluciones existentes y de sus medidas de seguridad ya implementadas. 

  • Se han identificado y evaluado 178 amenazas 
  • 46 funciones de seguridad implementadas 
  • Se ha alcanzado una cobertura de amenazas del 87 % 

Versión MN.2025.1.0  

Perfeccionamientos en el análisis y mejoras adicionales. 

  • Se han identificado 183 amenazas (+5 nuevas amenazas analizadas) 
  • Se han implementado 51 funciones de seguridad (+5 funciones nuevas) 
  • Cobertura de amenazas del 88 % (mejora del 1 %) 
  • Novedades destacadas: integración con SIEM, opciones de autenticación HTTP/S reforzadas 

Versión MN.2025.2.0 

Perfeccionamientos y mejoras adicionales. 

  • Se han identificado 184 amenazas (+1 amenaza adicional analizada) 
  • 52 capacidades de seguridad implementadas (+1 nueva capacidad) 
  • Cobertura de amenazas del 89 % (mejora del 1 %) 
  • Novedades destacadas: compatibilidad con SNMPv3 e integración con CyberArk para la rotación de credenciales 

Versión MN.2026.0.0  

Nuevos ajustes y mejoras. 

  • Se han identificado 185 amenazas (+1 amenaza adicional analizada) 
  • 53 capacidades de seguridad implementadas (+1 nueva capacidad) 
  • Cobertura de amenazas del 89 % (mejora del 1 %) 
  • Novedades destacadas: se han añadido recomendaciones sobre buenas prácticas 

Qué significan realmente las cifras 

El aumento del número de amenazas identificadas —de 178 a 185— no es señal de un incremento de las vulnerabilidades. Más bien, demuestra nuestro compromiso con la mejora continua y un análisis de seguridad más exhaustivo. A medida que nuestros equipos adquieren mayor destreza en la modelización de amenazas, tratamos de definir nuevos riesgos potenciales que quizá no se hayan tenido en cuenta en revisiones de seguridad anteriores o que estén relacionados con nuevos casos extremos derivados de las solicitudes de los clientes o de nuevas funcionalidades implementadas. 

Al mismo tiempo, nuestras capacidades de seguridad han pasado de 46 a 53, lo que nos permite hacer frente directamente a las amenazas que hemos identificado. Y lo que es más importante, la clasificación general de riesgo de las amenazas ha disminuido, ya que, a medida que aplicamos contramedidas específicas, cada vez son más las amenazas que pasan a las categorías de «muy bajo» y «bajo». Esto demuestra que no solo identificamos los problemas, sino que los resolvemos de forma sistemática. 

La mejora constante en la cobertura de amenazas, del 87 % al 89 %, refleja nuestro compromiso continuo con una seguridad integral. Cada punto porcentual representa mejoras reales en materia de seguridad que protegen la infraestructura crítica de nuestros clientes. 

Consulta nuestro enfoque en materia de ciberseguridad. 

Seguridad desde el diseño: un compromiso constante 

La «seguridad desde el diseño» no es un eslogan. Lo que hace que nuestro enfoque sea realmente eficaz es reconocer que la modelización de amenazas no es un ejercicio puntual, sino un proceso continuo integrado en nuestro ciclo de vida de desarrollo. Con cada lanzamiento, hacemos lo siguiente: 

  • Perfeccionar nuestros modelos de amenazas en función de los nuevos conocimientos y de la evolución del panorama de amenazas 
  • Implementar nuevas medidas de seguridad para hacer frente a los riesgos identificados 
  • Verificar los controles existentes para garantizar su eficacia continuada 
  • Compartir la responsabilidad con los clientes mediante unas directrices operativas claras 

Este enfoque iterativo encarna la verdadera «seguridad desde el diseño», en la que las consideraciones de seguridad marcan las decisiones arquitectónicas desde las primeras fases del desarrollo. 

Para March Networks, esto reviste especial importancia, ya que nuestras soluciones suelen funcionar en entornos complejos, desde sistemas empresariales hasta dispositivos periféricos, y desde implementaciones locales hasta arquitecturas cloud. 

Mejoras en la seguridad en el mundo real 

Nuestro proceso de modelización de amenazas ha dado lugar a mejoras concretas en materia de seguridad en toda nuestra gama de productos. Entre ellas se incluyen: 

  • Mecanismos de autenticación mejorados que impiden los ataques de enumeración de usuarios 
  • Integración de SIEM para la supervisión de la seguridad en toda la empresa 
  • Compatibilidad con SNMPv3 para un aprovisionamiento seguro de la red 
  • Integración con CyberArk para la rotación automática de credenciales 
  • Cifrado de extremo a extremo para transmisiones multimedia 
  • Control de acceso basado en roles con autenticación multifactorial 
  • Actualizaciones de firmware firmadas para evitar la manipulación 

Cada una de estas capacidades aborda directamente las amenazas específicas identificadas mediante nuestro análisis sistemático, lo que garantiza que las inversiones en seguridad aporten el máximo valor. 

De cara al futuro 

Nuestra colaboración con Security Pattern ha demostrado que la modelización sistemática de amenazas no es solo un ejercicio de cumplimiento normativo, sino una ventaja competitiva. Al identificar y abordar los riesgos de seguridad en una fase temprana, ofrecemos productos más seguros, reducimos los costes de desarrollo y reforzamos la confianza de los clientes. 

A medida que las amenazas cibernéticas siguen evolucionando, nuestro compromiso con la «seguridad desde el diseño» garantiza que las soluciones March Networkssigan siendo resistentes, fiables y estén preparadas para proteger los activos críticos de nuestros clientes. No nos limitamos a responder a las amenazas actuales, sino que nos adelantamos a los retos del futuro. 

Acerca de la colaboración 

March Networks Security Pattern se han asociado para aportar una experiencia de primer nivel en modelización de amenazas a las soluciones de videovigilancia y análisis integrado de datos. Esta colaboración combina la amplia experiencia March Networksen el sector con las metodologías contrastadas de Security Pattern para ofrecer excelencia en materia de seguridad a lo largo de todo el ciclo de vida del producto. 

Para aquellas organizaciones que deseen reforzar su nivel de seguridad mediante la modelización sistemática de amenazas, tanto March Networks Security Pattern ofrecen orientación, formación y servicios de consultoría para ayudarles a integrar la seguridad en sus productos desde el primer momento. 

 

Vincenzo Bono es el asesor principal de seguridad y tecnología de productos en March Networks, donde lleva más de 20 años contribuyendo a dar forma a la arquitectura de software, la estrategia de productos y la innovación centrada en la seguridad de la empresa. Con una amplia experiencia en vídeo IP, diseño de sistemas y gestión de riesgos de ciberseguridad, trabaja en estrecha colaboración con equipos multidisciplinares para ofrecer soluciones seguras y escalables a clientes de todo el mundo. 

Acerca de March Networks

March Networks® es líder mundial en soluciones de vídeo inteligente, ayudando a grandes empresas y a pymes a convertir el vídeo en información útil. Con más de 25 años de experiencia, prestamos servicio a más de 1.700 entidades financieras, más de 670 minoristas y más de 735 marcas comerciales e industriales. Nuestras tecnologías cloud combinan la videovigilancia con el análisis mediante IA, los puntos de venta (POS), el Internet de las cosas (IoT) y la integración de cajeros automáticos para mejorar la seguridad, la eficiencia y la experiencia del cliente. Respaldados por una red global de socios certificados, ofrecemos soporte a clientes en más de 75 países con soluciones flexibles, escalables y de plataforma abierta. Con sede en Ottawa (Canadá) y propiedad de Delta, líder mundial en gestión de la energía y la termia, March Networks como parte del Smart Security Solutions Group dentro de Delta Intelligent Building Technologies, y es un socio de confianza e innovador en el ámbito de la videovigilancia cloud e impulsada por la inteligencia artificial.   

March Networks el March Networks son marcas comerciales de Delta Intelligent Building Technologies (International) Corporation. 

Para estar al día de las novedades y actualizaciones March Networks , suscríbase a nuestroBlog de vídeo IP inteligentey manténgase conectado siguiendo a March Networks enLinkedIn.

 

Acerca de Security Pattern 

Modelo de seguridad ayuda a los creadores de dispositivos inteligentes conectados a diseñar, implementar y gestionar sus sistemas con un nivel de seguridad sostenible. 

Nos centramos en el sistema, que puede ser un único dispositivo, un conjunto de dispositivos interconectados o un ecosistema que incluya dispositivos integrados, aplicaciones móviles y cloud . 

Creemos que una seguridad eficaz requiere la combinación adecuada de hardware, software y procesos operativos. Gracias a nuestra experiencia contrastada en criptografía, ciberseguridad y sistemas integrados, ayudamos a los fabricantes de dispositivos a alcanzar sus objetivos de seguridad y empresariales a través de: 

  • Consultoría en ciberseguridad: Nuestros proyectos se centran en revisar los requisitos de los productos y los procesos, así como ambos aspectos. Algunos ejemplos son la modelización de amenazas y la evaluación de riesgos, el análisis de deficiencias, las pruebas de penetración y el cumplimiento de las normas RED/CRA.
  • Formación corporativa: Módulos presenciales o a distancia sobre ciberseguridad para sistemas embebidos 
  • Plataforma ARIANNA: Gestión de vulnerabilidades para fabricantes de dispositivos