Qué es Defensa en Profundidad DiD en Ciberseguridad
Qué es Defensa en Profundidad DiD en Ciberseguridad
Seguridad
·7 Minutos de lectura

¿Qué es un Enfoque de Defensa en Profundidad (DiD) en Ciberseguridad?

Rebobinemos por un momento en el tiempo y pongámonos en una situación hipotética. Supongamos que eres un rey o una reina del siglo XV que quiere defender su castillo de un ataque enemigo. ¿Cuál sería tu estrategia? Lo más probable es que haya soldados y caballos en el perímetro de tu castillo, seguidos de una puerta difícil de penetrar, hombres con armas en las zonas elevadas de tu castillo, algunos de tus mejores hombres vigilando las puertas para alejar a los enemigos y un plan de respaldo para cuando las cosas se tuerzan.

Elegirás este enfoque de seguridad por capas con la esperanza de que una de estas estrategias frustre o debilite la embestida enemiga.

Concepto de DiD o Defensa en Profundidad
Concepto de DiD o Defensa en Profundidad

Pues bien, lo mismo puede extenderse a la lucha actual contra los ciberataques, en la que un enfoque de varias capas puede impedir que los códigos maliciosos y los hackers entren en tu red y tus recursos. Esta estrategia se denomina defensa en profundidad o DiD (Defense-in-Depth).

Tabla de Contenido

¿Qué es un Enfoque de Defensa en Profundidad (DiD)?

Una defensa en profundidad (DiD) es una estrategia de ciberseguridad en la que se implementan múltiples capas de control de defensa en toda la infraestructura para evitar que los hackers accedan a tus recursos.

Ilustración de equipo sistema de seguridad
Ilustración de equipo sistema de seguridad

Este enfoque comprende múltiples capas de seguridad con la esperanza de que una de ellas pueda evitar que el hacker entre en tu sistema y proporcionar redundancia incluso si una de las capas falla. Esto es una gran ventaja, especialmente cuando se trata de estrategias de hacking sofisticadas.

Además, el impacto del ataque se debilita con cada capa, por lo que incluso en el peor de los casos, cuando el atacante atraviesa todas las capas, el efecto puede ser mínimo.

Arquitectura de Defensa en Profundidad (DiD)

La arquitectura de DiD se divide a grandes rasgos en tres aspectos o capas, que son

  1. Física
  2. Técnica
  3. Administrativa
Arquitectura de DiD Defensa en Profundidad
Arquitectura de DiD Defensa en Profundidad. Fuente: imperva

Capa Física

La capa física incluye los diferentes elementos físicos que se mantienen para evitar a los intrusos. Entre ellos se encuentran los guardias de seguridad, las cámaras de vigilancia CCTV, las puertas cerradas con llave, los sistemas de verificación biométrica, las vallas, los perros, etc.

Capa Administrativa

La capa administrativa incluye todas las políticas, procedimientos, auditorías, normas y orientaciones que reducen las posibilidades de un ataque. Un buen ejemplo es la política de contraseñas de una organización que determina la longitud y la dificultad de la contraseña, la frecuencia de cambio, la autenticación multifactor, las acciones de los empleados, la formación periódica, etc.

Capa Técnica

Esta capa incluye todos los recursos de hardware y software utilizados para frustrar o mitigar un ciberataque.

Algunos ejemplos de componentes de la capa técnica son

  • Software antivirus
  • Herramientas de protección con contraseña
  • Cifrado
  • Escáneres de vulnerabilidad
  • Herramientas de supervisión
  • Segmentación de la red
  • Sistemas de detección de intrusos (IDS)
  • Cajas de arena (Sandboxes)
  • Registro (Logging)
  • Herramientas de auditoría
  • Cortafuegos (Firewalls)
  • Herramientas de inspección profunda de paquetes
  • Software de detección y respuesta de puntos finales
  • Herramientas antimalware
  • Herramientas de comprobación de la integridad de los datos
  • Herramientas de análisis del comportamiento
  • Herramientas de gestión de parches

Estas tres capas son esenciales para la DiD. De hecho, a los hackers les resulta difícil atacar los sistemas cuando se tienen más capas que abarcan estas tres grandes áreas.

Dicho esto, hay que tener en cuenta que más capas significan más costes iniciales y de mantenimiento. Por lo tanto, elige las herramientas adecuadas y decide el número de capas que necesitas para equilibrar tu presupuesto y tus necesidades de seguridad.

¿Existe Algún Inconveniente en DiD?

Hasta ahora hemos hablado de las ventajas de DiD y de cómo se aplica, pero ¿Tiene algún inconveniente?

Desgraciadamente, nada es perfecto, así que aquí hay cosas que hay que tener en cuenta a la hora de decidir tu estrategia de DiD.

Falsa Sensación de Seguridad

Las numerosas capas de seguridad de DiD tienden a hacer que las organizaciones sean complacientes, dándoles una falsa sensación de seguridad. Como resultado, las organizaciones pueden dejar de invertir en nuevas tecnologías y, en poco tiempo, el DiD existente puede quedar obsoleto e ineficaz.

Contraproducente

Dado que hay muchas capas implicadas, será difícil identificar los problemas y depurar las cuestiones entre estas capas.

Además, pueden surgir ciertas lagunas entre estas capas, especialmente cuando no están bien implementadas o no se han actualizado en un tiempo. Los hackers pueden aprovechar estas brechas fácilmente.

Caro

Las implementaciones de DiD son caras de implementar y mantener, y pueden estar fuera del alcance de muchas pequeñas y medianas empresas. Incluso para las grandes empresas, puede consumir una parte significativa de los presupuestos de TI, limitando así otras áreas de operación.

Por lo tanto, estos son algunos de los principales inconvenientes de DiD que hay que tener en cuenta antes de decidir su adopción.

¿Debes implementar DiD?

Ahora que conoces los pros y los contras de DiD, ¿debes implantarlo?

La respuesta es sencilla: depende de las necesidades de tu organización.

Utiliza DiD cuando desees:

  • Evitar los ataques de denegación de servicio (DoS).
  • Garantizar la integridad de los datos transmitidos por la red.
  • Proteger tu entorno informático.
  • Cumplir con la normativa obligatoria.
  • Defender los límites de tu red.
  • Operar eficazmente en sectores sensibles, como el financiero, que son susceptibles de sufrir ataques.

Por otro lado, DiD puede no ser útil si estás

  • Luchando con presupuestos limitados.
  • Desplegando tecnologías avanzadas como la encriptación como parte de tu pila de aplicaciones.
  • Una empresa que no tiene acciones de usuario en varios niveles.

Estas listas no son exhaustivas, sino que sólo pretenden darte una idea de cómo puedes decidir la implementación de DiD para tu organización.

Casos de Uso de la Defensa en Profundidad

Veamos algunos casos de uso de la defensa en profundidad.

Ejemplos de implementación de DiD
Ejemplos de implementación de DiD

Protección contra el Malware

Según la guía de estudio CISSP (segunda edición), una empresa que emplea a unas 12.000 personas al año recibía unos 250.000 correos electrónicos al día. La mayoría de estos correos electrónicos eran maliciosos y contenían desde spam hasta virus y troyanos. Además, los atacantes utilizaban diferentes técnicas para infiltrarse en la red de la empresa.

La organización desplegó una estrategia de defensa en profundidad para frustrar estas amenazas. Configuró servidores de correo UNIX con antivirus y antimalware de actualización automática para filtrar los correos electrónicos entrantes y enviar los “limpios” a un servidor de correo interno de Microsoft Exchange con software antivirus avanzado. Tras este filtrado, el correo se enviaba a los escritorios de los clientes que tenían otro software antivirus.

En total, cada correo electrónico pasaba por cuatro rondas de software antivirus. Aun así, algunos correos electrónicos se filtraron a través de los cuatro software antivirus, por lo que la organización implementó sistemas de detección de intrusos y prácticas de gestión de incidentes para identificar y limpiar los correos electrónicos infectados.

Todas estas medidas juntas eliminaron la amenaza de malware.

Oficinas Electorales

El Center for Internet Security ideó un elaborado plan para asegurar las oficinas electorales con DiD.

En consecuencia, las oficinas electorales instalaron cámaras de seguridad y cerraduras para proteger el equipo electoral y otras infraestructuras relacionadas. La capa técnica incluía opciones de seguridad en la nube, criptografía, autenticación multifactorial, gestión de parches, protección de puntos finales, software antimalware, etc.

Además de esto, las oficinas electorales siguieron un conjunto de prácticas establecidas para contratar personal cualificado y proporcionar la formación adecuada según fuera necesario. Asimismo, estas oficinas crearon un plan de recuperación de desastres junto con una lista de posibles ataques y acciones para mitigarlos.

Como se puede ver, los dos casos de uso anteriores implementan las diferentes capas de DiD personalizadas para satisfacer sus necesidades específicas.

Reflexiones Finales sobre los DiD

En definitiva, las múltiples capas de DiD protegen sin duda tus sistemas y recursos de los ciberataques, pero también conllevan ciertos inconvenientes, como los costes y las dificultades operativas. Comprender las ventajas e inconvenientes de las DiD en el contexto de los objetivos y operaciones de tu organización es la clave para tomar una decisión acertada.

Entonces, ¿elegirás una estrategia de defensa en profundidad para tu organización? ¿Por qué, y por qué no?

Comparte con nosotros tu opinión a través de los comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda