En resumen
La defensa en profundidad es un principio militar que la seguridad corporativa adoptó: ningún control único es suficiente. La seguridad efectiva requiere múltiples capas que se refuerzan mutuamente.
Por qué importa
La seguridad no es un control. Es un sistema de controles. Y la efectividad del sistema no es la suma de la efectividad de cada control. Es la capacidad del sistema de funcionar cuando alguno de sus controles falla.
La defensa en profundidad es un principio que viene de la estrategia militar: en lugar de concentrar toda la defensa en una sola línea, distribuirla en múltiples capas de forma que el adversario que supera una capa enfrente inmediatamente la siguiente. Ninguna capa es perfecta. La combinación de capas sí puede serlo.
En seguridad corporativa, este principio se traduce en: ningún control único es suficiente. La seguridad efectiva requiere múltiples controles que se refuerzan mutuamente, de forma que el fallo de uno no comprometa el sistema completo.
Por qué los controles únicos fallan
Todo control tiene un punto de falla. El control biométrico falla cuando alguien tiene acceso a las credenciales de otro. El control de cámara falla cuando nadie está mirando. El control de auditoría falla cuando el auditor tiene conflicto de interés. El control de procedimiento falla cuando hay presión de tiempo.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
La defensa en profundidad reconoce que los controles fallan y diseña el sistema de forma que el fallo de un control no sea suficiente para que el incidente ocurra.
El modelo del queso suizo de James Reason ilustra perfectamente la defensa en profundidad: cada capa de control tiene agujeros, pero los agujeros raramente se alinean. El incidente ocurre cuando los agujeros de todas las capas se alinean simultáneamente.
Cómo diseñar la defensa en profundidad
- ▸Identifica los activos más críticos y diseña múltiples capas de control para cada uno.
- ▸Asegúrate de que las capas son independientes — que el fallo de una no compromete automáticamente las demás.
- ▸Combina controles preventivos, detectivos y correctivos.
- ▸Incluye controles humanos y tecnológicos — la diversidad de tipos reduce los puntos de falla comunes.
- ▸Prueba el sistema completo, no solo cada control individualmente.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
|TSR · FSR · FBSR
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.