¿Qué es la Defensa en profundidad?

¿Qué es la Defensa en profundidad? (Defense in depth)


La defensa en profundidad fue generada como estrategia para el mundo militar, siendo de gran ayuda para poder disminuir el impacto que pudieran tener los ataques de los ejércitos contrarios y en la medida de lo posible, detenerlos antes de que llegaran al corazón de la ciudad, también, ayudaba a que el avance de las tropas enemigas fuera más lento, dando tiempo a los ejércitos defensores para poder atacar y mermar a sus contrarios.

La defensa en profundidad se encuentra basada en los siguientes 5 puntos:
  • Proteger los bienes con varias líneas de defensa (capas de defensa).
  • Cada capa o línea de defensa contribuye a la seguridad global.
  • Cada capa o línea de defensa tiene el objetivo de retrasar, detener o debilitar un ataque.
  • Todas las capas o líneas de defensa son autónomas, si alguna falla, las otras podrán actuar.
  • Reforzar la defensa, mediante la adaptación de las líneas, limitación e informes de cada una de ellas. 

¿Cómo aplica en ciberseguridad?


La idea base de este concepto, aplicándolo al mundo de la ciberseguridad, es que debemos proteger los activos de la organización con más de una capa de seguridad, ya que para que un ataque pueda ser exitoso, deberá de pasar y/o vulnerar más de una línea de defensa.

Este modelo también puede resultar un poco más costoso para la empresa ya que se deberá pensar en la implantación de controles capa por capa.

Un ejemplo sencillo es:

Un servidor que se encuentra dentro de nuestra infraestructura corporativa protegido con un Firewall en el perímetro y un Antimalware en el dispositivo.

El antimalware aplica como la segunda barrera de protección contra algún intento de ataque por malware o virus, pero se invierte y se vuelve la primera barrera si el ataque llega por correo electrónico o un dispositivo externo conectado al equipo. Aquí aplicamos dos capas o líneas de defensa.


Al final debemos de adaptar las capas de seguridad para que puedan mantenerse coordinadas y proporcionen información relevante a los especialistas, que mediante el monitoreo y análisis de eventos, puedan llevar a cabo un análisis para detectar algún ataque o actividad sospechosa.

La información es poder


Los eventos (información) generados por nuestras herramientas que protegen cada capa, se convertirán en una primera línea de defensa donde podremos identificar las amenazas, ataques, actividades sospechosas y comportamientos  anormales de nuestros activos, pero para poder identificar todo lo anterior, es necesario llevar a cabo un monitoreo activo de las herramientas, que ayudará a familiarizarse con el comportamiento de los usuarios, activos, etc. para poder detectar todo lo que no sea normal.

Este modelo podrá ayudarte a disminuir el impacto de un ataque cuando suceda y/o retrasarlo y actuar antes de que afecte a la empresa, por lo que se debe considerar la implementación de este modelo si es que piensas invertir en materia de ciberseguridad. 

También es importante que consideres que entre más capas implementes, el servicio podría verse afectado y esto es debido a la independencia de cada capa, siendo que cada una de ellas realizará un análisis de todo lo que pase por sus terrenos.

Como siempre lo recomiendo, la defensa en profundidad deberá de adaptarse a los procesos del negocio y los activos que se desean proteger, apegándose a los objetivos de la empresa en todo momento.


Publicar un comentario

0 Comentarios