Seguridad de los productos de AMD
Describe el enfoque de AMD en cuanto a la administración de vulnerabilidades, la divulgación coordinada y la mitigación de riesgos empresariales.
Preparación para la Ley de Ciberresiliencia de la UE con AMD
La Ley de Ciberresiliencia de la Unión Europea (CRA de la UE) representa un paso importante para establecer los requisitos de ciberseguridad para los productos en nuestro mundo cada vez más digital. Como líder en computación de alto rendimiento, AMD participa activamente en el proceso de estandarización para ayudar a dar forma a los requisitos que mejoran la ciberseguridad y, al mismo tiempo, permiten la innovación.
AMD está totalmente comprometido a cumplir con todos los requisitos aplicables de la Ley de Ciberresiliencia (CRA) de la UE y a garantizar que los clientes que operan en la UE implementen tecnologías de AMD compatibles con la CRA. Nuestra continua inversión en el diseño de productos seguros, la administración de vulnerabilidades y los procesos de cumplimiento nos posiciona para cumplir con los requisitos de la CRA a medida que entra en vigor.
¿Qué es la CRA de la UE?
La CRA tiene como objetivo proteger a los consumidores y a las empresas mediante la incorporación de requisitos obligatorios de ciberseguridad para fabricantes y minoristas de productos con componentes digitales. Esta protección se extiende durante todo el ciclo de vida del producto y se aplica a los dispositivos conectados, con ciertas excepciones para los productos ya cubiertos por las regulaciones existentes.
La CRA se aplica directamente a microprocesadores y FPGA (Field-Programmable Gate Arrays, matrices de puertas lógicas programable en campo) con funciones relacionadas con la seguridad, así como a productos finales como servidores, laptops, sistemas integrados y dispositivos para consumidores.
Cronogramas clave
Tu camino hacia el cumplimiento
El cumplimiento de la CRA es fundamental para cualquier empresa que opere en la UE, ya que garantiza el acceso legal al mercado de la UE y genera confianza con los clientes mediante la demostración de un fuerte compromiso con la ciberseguridad durante todo el ciclo de vida de los productos. Como la CRA se basa en el riesgo, el primer paso es que realices una evaluación de riesgos de tus productos. La evaluación de riesgos te informa sobre las amenazas que pueden aplicarse al producto y, posteriormente, impulsa los requisitos de ciberseguridad que deben cumplirse para lograr la conformidad.
Tu camino hacia el cumplimiento depende del resultado de la evaluación de riesgos. Los procesos de seguridad, la documentación y las prácticas de divulgación de productos AMD están diseñados para complementar las evaluaciones de riesgo de la CRA.
El enfoque de AMD para permitir la innovación de acuerdo con la CRA consta de tres pilares:
Cumplimiento
Los clientes de AMD pueden implementar productos AMD líderes en la industria en mercados regulados por la UE con confianza.
Capacidad
El acceso a funciones de seguridad avanzadas habilita incluso las aplicaciones más importantes.
Comunicación
AMD mantiene a los clientes al tanto a través de la documentación a largo plazo y la generación de informes de vulnerabilidades.
Cumplimiento
Cumplimiento de productos AMD según la CRA
Según la CRA, los productos se clasifican según las características relacionadas con la ciberseguridad o la función y el nivel de riesgo de ciberseguridad que representa el producto. Esta clasificación determina los pasos que deben seguir los fabricantes para lograr el cumplimiento. Según los marcos actuales de la CRA, se prevé que los productos AMD se agrupen en las siguientes categorías:
- Predeterminado: La mayoría de las herramientas de desarrollo estándar de AMD
- Clase I (importante):
- Procesadores y FPGA con funciones de seguridad
- Determinados componentes de software esenciales para la seguridad y soluciones integradas
Ciertos estándares verticales dentro de la CRA aún se encuentran en proceso de finalización por parte de los organismos de estándares. AMD participa activamente en estos desarrollos y actualizará las directrices tan pronto como se publiquen los estándares finales. AMD acatará todas las normas y regulaciones de la CRA necesarias según estas clasificaciones, siempre y cuando tengas productos que cumplan con las normativas y que puedan servir como base para tu desarrollo.
Capacidad
Capacidades de seguridad avanzadas con productos AMD
La seguridad debe considerarse a lo largo de todo el ciclo de vida del producto para maximizar la protección de un sistema. Por ejemplo, desarrollar soluciones de seguridad de nivel de aplicación tolerantes a fallas implementadas en un dispositivo que no inicia de forma segura es como construir una mansión sobre una base de arena. AMD y nuestros clientes tienen funciones independientes que desempeñar en el diseño de sistemas que abordan la seguridad. También es importante reconocer que ningún sistema es completamente inmune a los ataques; con suficiente tiempo, energía, recursos y dinero, cualquier sistema puede verse comprometido. La seguridad se trata de gestionar el riesgo y de la inversión que quiere hacer un cliente para gestionar ese riesgo.
AMD emplea prácticas recomendadas de primer nivel para establecer la confiabilidad de sus herramientas de chip, software y desarrollo. Las contramedidas que están diseñadas para ayudar a brindar protección contra una gran cantidad de vectores de ataque están integradas en el chip. El arranque seguro, o la configuración, de nuestros productos emplea una raíz de confianza de hardware con autenticidad, confidencialidad e integridad incorporadas.
En el futuro, los requisitos de diseño específicos establecidos por la CRA se incorporan en la metodología de diseño de AMD. Para obtener más información sobre tecnologías de seguridad específicas de AMD, comunícate con tu representante local de ventas de AMD.
Comunicación
Documentación
Para maximizar la seguridad durante todo el ciclo de vida de los productos, la CRA requiere documentación de varios aspectos clave, lo que incluye la evaluación de riesgos, una declaración de conformidad de la UE, una lista de materiales de software (SBOM) e información sobre el período de soporte, que establece la duración mínima del mantenimiento del cumplimiento de la CRA prevista por un proveedor. Actualmente, AMD está revisando nuestros procesos existentes y bien establecidos para garantizar el cumplimiento de los requisitos de documentación de la CRA.
Generación de informes de vulnerabilidades
Como miembro de la Autoridad de numeración de CVE (CNA), AMD ya aplica prácticas coordinadas de divulgación de vulnerabilidades y busca responder de manera rápida y adecuada ante los problemas informados. AMD aprovechará esta experiencia comprobada para cumplir con los requisitos específicos de administración de vulnerabilidades de la CRA. Para obtener más información, visita Seguridad de los productos de AMD.
Compromiso de AMD
Si no has tenido que considerar la ciberseguridad en los requisitos de tus productos antes, esta nueva legislación puede traer desafíos desconocidos. Con más de 50 años prestando servicio en aplicaciones fundamentales, AMD cuenta con la experiencia necesaria para ayudarte a atravesar estos cambios, ya que proporciona tecnologías que cumplen con los requisitos de la CRA.
