En su “Compendio sobre el concepto de la seguridad en profundidad aplicada a los SI“, el Ministerio de la Defensa Francés, explica el origen militar de la defensa en profundidad:
“El concepto de defensa en profundidad parecería haber tenido sus comienzos con Vauban. En el siglo XV, la aparición de balas de cañón metálicas capaces de destruir las fortificaciones verticales provoca la construcción de fortificaciones mucho más bajas que utilizan la profundidad del terreno. Los conceptos subyacentes son los siguientes:
- los bienes que se deben proteger están rodeados de varias líneas de defensa;
- cada línea de defensa participa en la defensa global;
- cada línea de defensa desempeña un papel: debilitar el ataque, entorpecerlo,
- retardarlo (por ejemplo, entrega de terreno a cambio de ganar tiempo);
- cada línea de defensa es autónoma (está prevista la pérdida de la línea anterior para evitar un efecto castillo de naipes): la pérdida de una línea de defensa debilita a la siguiente pero ésta dispone de sus propios medios de defensa frente a los distintos ataques (cada posible proceso de ataque ocasiona su correspondiente defensa);
- Se ponen en marcha todos los medios para reforzar la defensa de las distintas líneas:
- utilización del terreno (la fortificación es una adecuación del terreno);
- murallas para limitar los efectos de penetraciones y los tiros por carambola;
- informarse para evitar sorpresas.”
Este concepto de defensa en profundidad se utiliza actualmente en los ámbitos militares, industriales (industria nuclear francesa) y de la seguridad de los sistemas de información.
En el ámbito de la industria nuclear se establece que, delante de cada amenaza o riesgo identificado, se requiere anteponer 3 líneas de defensas autónomas. La primera es naturalmente derrumbada por el incidente de seguridad al momento que ocurre. La segunda puede fallar por alguna contingencia o causa fortuita. Así que con una tercera línea de defensa es casi imposible que el riesgo no sea circunscrito.
Cuantas empresas hoy en México tienen establecido 3 líneas de defensas para sus principales riesgos de seguridad informática? Cuantas practican la defensa en profundidad?
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Gael,
Muy buena página!!!…
Se me está ocurriendo algo que creo podría ser una oportunidad de hacer algo juntos… Deberíamos hablarlo.
Un abrazo!.
Gabriel