El concepto de defensa en profundidad tiene su origen en la estrategia militar de colocar barreras para frenar el avance de los intrusos y dar tiempo a las tropas para seguir los movimientos de los intrusos y desarrollar una respuesta. El objetivo de este método era frenar o retrasar el avance del atacante en lugar de detenerlo inmediatamente.
En ciberseguridad, la defensa en profundidad es un concepto que implica el uso de múltiples capas de seguridad para mantener la información segura. El modelo consiste en aplicar controles de seguridad para proteger los datos en diferentes capas, de modo que vulnerar una línea de defensa no implique el compromiso total del activo protegido. Esta estrategia de defensa permite combatir las amenazas de seguridad que inevitablemente existen. Por ejemplo:
- Tardar demasiado en descubrir virus o malware.
- Empleados víctimas de tácticas de phishing.
- Vulnerabilidades conocidas que no se parchean, o actualizaciones que se ignoran.
- Falta de protección frente a malware.
- Fallos de seguridad física.
- No utilizar cifrado o implementarlo inadecuadamente.
- Entre otras.
A la hora de aplicar un modelo de defensa en profundidad hay tres componentes básicos: las personas, las tecnologías y las operaciones. La idea fundamental es el uso de múltiples capas de protección para proteger los datos. Esto significa que, si bien un escáner de virus puede ser una forma eficaz de protección frente al malware, esto debe combinarse con otra serie de técnicas como el uso de un sistema firewall, el cifrado y protección con contraseñas de los datos confidenciales, la formación e instrucción de los usuarios sobre las mejores prácticas, entre otras.
Las prácticas de defensa en profundidad fueron establecidas por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para proteger los sistemas informáticos de posibles ataques. A este respecto:
- Se debe enseñar a los empleados las mejores prácticas y se debe considerar que una presencia de seguridad notable refuerza la importancia de las personas como un componente de la seguridad TI.
- La tecnología de red es vital para crear dicho enfoque. Esto significa que el software debe ser confiable y verificado por terceros confiables que lo hayan probado. Deben establecerse capas de seguridad tecnológica, incluido el cifrado, los firewalls, los sistemas de monitorización de datos, etc. …
- Las operaciones involucradas en este tipo de proyectos también son vitales, ya que la gestión eficaz de las personas y la tecnología pasa por garantizar que estos sistemas estén en su lugar y se utilicen correctamente.
En definitiva, la defensa en profundidad está diseñada tanto para proteger la información, como para ralentizar y detectar ataques a una organización. Dado que un ataque tarda más en completarse, se pueden utilizar otros sistemas para detectarlo. Esto permite que una empresa proteja los datos, e identifique y actúe contra los atacantes que intentan acceder a sus sistemas ilegalmente.
