Defensa en profundidad (informática)

Concepto de seguridad de la información

La defensa en profundidad es un concepto utilizado en seguridad de la información en el que se colocan múltiples capas de controles de seguridad (defensa) a lo largo de un sistema de tecnología de la información (TI). Su objetivo es proporcionar redundancia en caso de que falle un control de seguridad o se explote una vulnerabilidad que puede cubrir aspectos de seguridad personal , procedimental , técnica y física durante el ciclo de vida del sistema.

Fondo

La idea detrás del enfoque de defensa en profundidad es defender un sistema contra cualquier ataque particular utilizando varios métodos independientes. ^[1] Es una táctica de capas, concebida ^[2] por la Agencia de Seguridad Nacional (NSA) como un enfoque integral para la seguridad de la información y electrónica. ^{[3] [4]} El término defensa en profundidad en informática está inspirado en una estrategia militar del mismo nombre , pero es bastante diferente en concepto. La estrategia militar gira en torno a tener una defensa perimetral más débil y ceder espacio intencionalmente para ganar tiempo, envolver y, en última instancia, contraatacar a un oponente, mientras que la estrategia de seguridad de la información simplemente implica múltiples capas de controles, pero no ceder terreno intencionalmente ( cf. honeypot ) .

Controles

La defensa en profundidad se puede dividir en tres áreas: Física, Técnica y Administrativa. ^[5]

Físico

Los controles físicos ^[3] son ​​todo aquello que limita o impide físicamente el acceso a los sistemas informáticos: vallas, guardias, perros, sistemas de CCTV y similares.

Técnico

Los controles técnicos son hardware o software cuyo propósito es proteger sistemas y recursos. Algunos ejemplos de controles técnicos serían el cifrado de discos, el software de integridad de archivos y la autenticación. Los controles técnicos de hardware se diferencian de los controles físicos en que impiden el acceso a los contenidos de un sistema, pero no a los sistemas físicos en sí.

Administrativo

Los controles administrativos son políticas y procedimientos de la organización. Su finalidad es garantizar que exista una orientación adecuada en materia de seguridad y que se cumplan las normas. Incluyen aspectos como las prácticas de contratación, los procedimientos de manejo de datos y los requisitos de seguridad.

Métodos

El uso de más de una de las siguientes capas constituye un ejemplo de defensa en profundidad.

Sistema y aplicación

• Software antivirus
• Autenticación y seguridad de contraseñas
• Encriptación
• Hashing de contraseñas
• Registro y auditoría
• Autenticación multifactor
• Escáneres de vulnerabilidad
• Control de acceso temporizado
• Capacitación sobre concientización sobre seguridad en Internet
• Sandbox (caja de arena)
• Sistemas de detección de intrusiones (IDS)

Red

• Cortafuegos (hardware o software)
• Zonas desmilitarizadas (DMZ)
• Red privada virtual (VPN)

Físico

• Biometría
• Seguridad centrada en los datos
• Seguridad física (por ejemplo, cerraduras de pestillo )

Ejemplo

En el siguiente escenario se desarrolla un navegador web utilizando defensa en profundidad:

• Los desarrolladores de navegadores reciben capacitación en seguridad.
• El código base se verifica automáticamente mediante herramientas de análisis de seguridad.
• El navegador es auditado periódicamente por un equipo de seguridad interno.
• ... es auditado ocasionalmente por un equipo de seguridad externo
• ... se ejecuta dentro de un sandbox

Véase también

• Defensa en profundidad (ejército romano)
• Estrategia de defensa (informática)

Referencias

1. Schneier sobre seguridad: Seguridad en la nube
2. "Algunos principios de diseño seguro. Módulo Diseño de sistemas seguros Otoño PDF Descarga gratuita". docplayer.net . Consultado el 12 de diciembre de 2020 .
3. Defensa en profundidad: una estrategia práctica para lograr la seguridad de la información en los entornos altamente interconectados de la actualidad.
4. Hoja de referencia de OWASP: Defensa en profundidad
5. Stewart, James Michael; Chapple, Mike; Gibson, Darril (2015). Guía de estudio oficial para profesionales certificados en seguridad de sistemas de información CISSP (ISC)2. John Wiley & Sons. ISBN 978-1-119-04271-6.