Defensa en profundidad
¿Qué es Defensa en profundidad?
Defensa en profundidadEstrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque.
La defensa en profundidad, doctrina militar adaptada a la seguridad, aplica multiples controles diversos y parcialmente redundantes en personas, procesos y tecnologia. Capas tipicas: perimetro (firewall, WAF, DDoS), red (segmentacion, IDS/IPS), endpoint (EDR, hardening), aplicacion (validacion, CSP, SAST/DAST), identidad (MFA, minimo privilegio), datos (cifrado, DLP), monitorizacion (SIEM, SOC) y recuperacion (backups, IR). La premisa es que ningun control es perfecto: las capas elevan el coste del atacante y aumentan la probabilidad de detectar una intrusion que evite las demas. Complementa el zero trust, que cuestiona la confianza implicita entre capas, y se alinea con NIST CSF e ISO/IEC 27001.
● Ejemplos
- 01
Un usuario abre un phishing: gateway de correo, SmartScreen, EDR, MFA FIDO2, minimo privilegio y SIEM ofrecen lineas de defensa separadas.
- 02
Multiples niveles de copia (snapshot, copia offline, WORM inmutable) sobreviven a un ransomware que vence a los sistemas en linea.
● Preguntas frecuentes
¿Qué es Defensa en profundidad?
Estrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Defensa en profundidad?
Estrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque.
¿Cómo funciona Defensa en profundidad?
La defensa en profundidad, doctrina militar adaptada a la seguridad, aplica multiples controles diversos y parcialmente redundantes en personas, procesos y tecnologia. Capas tipicas: perimetro (firewall, WAF, DDoS), red (segmentacion, IDS/IPS), endpoint (EDR, hardening), aplicacion (validacion, CSP, SAST/DAST), identidad (MFA, minimo privilegio), datos (cifrado, DLP), monitorizacion (SIEM, SOC) y recuperacion (backups, IR). La premisa es que ningun control es perfecto: las capas elevan el coste del atacante y aumentan la probabilidad de detectar una intrusion que evite las demas. Complementa el zero trust, que cuestiona la confianza implicita entre capas, y se alinea con NIST CSF e ISO/IEC 27001.
¿Cómo defenderse de Defensa en profundidad?
Las defensas contra Defensa en profundidad combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- compliance№ 167
Triada CIA
Modelo fundamental de seguridad de la informacion que agrupa los objetivos en Confidencialidad, Integridad y Disponibilidad.
- identity-access№ 854
Principio de mínimo privilegio
Principio de seguridad que otorga a cada usuario, proceso o servicio sólo los privilegios mínimos imprescindibles para cumplir su función.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 731
NIST Cybersecurity Framework
Marco voluntario basado en riesgo publicado por el NIST que organiza los resultados de ciberseguridad en seis funciones principales.