A través del tiempo, diferentes ciencias, disciplinas, tecnologías y organismos (públicos y privados) fueron incorporando dicho concepto. Tal es el ejemplo del modelo de las Tres Líneas de Defensa en auditoría interna. De manera similar, la ciberseguridad también la terminó incorporando como parte de la estrategia defensiva.
En qué consiste
Si bien la cantidad y contenido de los niveles depende de la organización y los riesgos asociados, en general se presenta como un modelo de 7 niveles:
- Nivel 7: políticas, procedimientos, concientización
- Nivel 6: seguridad física
- Nivel 5: perímetro lógico
- Nivel 4: red interna
- Nivel 3: estaciones de trabajo, host
- Nivel 2: aplicaciones
- Nivel 1: datos
Así, la estrategia consiste en ir estableciendo barreras o murallas imaginarias, en forma de anillos o, más claro aún, “capas de cebolla”. Para tal fin, cada capa debe tener la mayor seguridad posible.
Como caso práctico, un atacante debería sortear primero el factor humano, ya sea mediante ingeniería social u otra técnica. Suponiendo que lograra un acceso físico, actuaría la segunda línea (esto es, cámaras de monitoreo, alarmas, vigilancia, seguridad perimetral, etc.). Si el intento fuera por vía remota, debería intervenir el perímetro lógico (firewalls, separación de redes con zonas desmilitarizadas, sistema de detección de intrusos, etc.).
Dentro de los siguientes niveles, tendrían participación los protocolos de seguridad elegidos, mecanismos de criptografía, uso de firmas digitales, programas antimalware, instalación de parches de seguridad, configuración de privilegios de acceso, autenticación de múltiples factores, trazas de auditoría y un largo etcétera.
El objetivo es claro: obligar al atacante a desplazarse, realizar varias acciones, insumir mayor cantidad de tiempo y recursos.
Efectos
El objetivo es claro: obligar al atacante a desplazarse, realizar varias acciones, insumir mayor cantidad de tiempo y recursos. Desgastarlo, disuadirlo, hacer que el beneficio sea menor al costo incurrido, en definitiva. También tiene otros efectos positivos: mayor probabilidad de identificar al atacante y mayor capacidad de respuesta, por ejemplo.
En resumen, el modelo de “defensa en profundidad” actualmente es muy útil como estrategia en ciberdefensa y, más allá de la posible modificación en sus niveles y/o adaptación a futuros cambios tecnológicos (IoT, inteligencia artificial, etc.), su eficacia hace pensar que continuará utilizándose en los años venideros.
