La defensa en profundidad es un concepto de seguridad de la tecnología de la información (TI) que implica el uso de múltiples capas de seguridad para mantener la información segura. Esto no se refiere al uso de programas de software en particular, sino que es una metodología de «mejores prácticas» que se puede utilizar como guía para asegurar un sistema. Hay tres componentes básicos para usar este enfoque: personas, tecnología y operaciones, y asegurar los tres componentes crea una fuerte superposición en la seguridad. La defensa en profundidad se basa en un concepto militar en el que se pueden utilizar capas escalonadas de defensa para frenar el avance de la oposición.
La idea básica detrás de un enfoque de defensa en profundidad para la seguridad de TI es que se deben usar múltiples capas de protección para proteger los datos. Esto significa que, si bien un escáner de virus puede ser una forma eficaz de mantener alejado el software malintencionado, también debe combinarse con un programa de firewall, los datos confidenciales deben estar cifrados y protegidos con contraseña, y los usuarios deben recibir instrucciones sobre las mejores prácticas. Las prácticas de «defensa en profundidad» fueron establecidas por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para proteger los sistemas informáticos de posibles ataques.
Hay tres componentes principales en la creación de un sistema de defensa en profundidad, que son las personas que tienen acceso al sistema, la tecnología utilizada y las operaciones o administración de ese sistema. Las personas incluyen no solo a los empleados de una empresa, que pueden estar autorizados para acceder a datos confidenciales, sino también a aquellos que pueden querer atacar una empresa y acceder a información ilegalmente. Se debe enseñar a los empleados las mejores prácticas y se debe considerar que una presencia de seguridad notable refuerza la importancia de las personas como un componente de la seguridad de TI.
La tecnología real utilizada en un sistema también es vital para crear un enfoque de defensa en profundidad para la seguridad. Esto significa que el software debe ser confiable y verificado por terceros confiables que lo hayan probado. Deben establecerse capas de seguridad tecnológica, incluido el cifrado, los cortafuegos, los sistemas para monitorear el acceso a los datos y la protección con contraseña de los terminales de computadora. Las operaciones involucradas en este tipo de proyecto también son vitales, ya que la gestión eficaz de las personas y la tecnología es la única forma de garantizar que estos sistemas estén en su lugar y se utilicen correctamente.
La defensa en profundidad está diseñada no solo para proteger mejor la información, sino también para ralentizar y detectar ataques a una empresa o agencia. Este enfoque reconoce que un ataque es una cuestión de «cuándo» y no «si», por lo que el sistema está diseñado para crear una defensa en capas para ralentizar un ataque. Dado que un ataque tarda más en completarse, se pueden utilizar otros sistemas para detectarlo. Esto permite que una empresa o agencia no solo proteja los datos, sino que también identifique y actúe contra los atacantes que intentan acceder a esos datos de manera ilegal.