La defensa en profundidad es un concepto utilizado en la seguridad de la información en el que se colocan múltiples capas de controles de seguridad (defensa) en todo un sistema de tecnología de la información (TI). Su intención es proporcionar redundancia en caso de que falle un control de seguridad o se explote una vulnerabilidad que pueda cubrir aspectos de seguridad personal , procesal , técnica y física durante todo el ciclo de vida del sistema.
La idea detrás del enfoque de defensa en profundidad es defender un sistema contra cualquier ataque particular utilizando varios métodos independientes. [1] Es una táctica de capas, concebida [2] por la Agencia de Seguridad Nacional (NSA) como un enfoque integral de la seguridad electrónica y de la información. [3] [4] El término defensa en profundidad en informática está inspirado en una estrategia militar del mismo nombre , pero tiene un concepto bastante diferente. La estrategia militar gira en torno a tener una defensa perimetral más débil y ceder espacio intencionalmente para ganar tiempo, envolver y, en última instancia, contraatacar a un oponente, mientras que la estrategia de seguridad de la información simplemente implica múltiples capas de controles, pero no ceder terreno intencionalmente ( cf. honeypot). )
La defensa en profundidad se puede dividir en tres áreas: Física, Técnica y Administrativa. [5]
Los controles físicos [3] son cualquier cosa que limite o impida físicamente el acceso a los sistemas de TI. Cercas, guardias, perros y sistemas de CCTV y similares.
Los controles técnicos son hardware o software cuyo propósito es proteger sistemas y recursos. Ejemplos de controles técnicos serían el cifrado de disco, el software de integridad de archivos y la autenticación. Los controles técnicos de hardware se diferencian de los controles físicos en que impiden el acceso al contenido de un sistema, pero no a los sistemas físicos en sí.
Los controles administrativos son las políticas y procedimientos de la organización. Su propósito es garantizar que exista una orientación adecuada disponible con respecto a la seguridad y que se cumplan las regulaciones. Incluyen cosas como prácticas de contratación, procedimientos de manejo de datos y requisitos de seguridad.
Usar más de una de las siguientes capas constituye un ejemplo de defensa en profundidad.
En el siguiente escenario, se desarrolla un navegador web utilizando defensa en profundidad: