La defensa en profundidad es un concepto en seguridad de la tecnología de la información (TI) que implica el uso de múltiples capas de seguridad para mantener la información segura. Esto no se refiere al uso de programas de software particulares, pero es una metodología de "mejores prácticas" que se puede utilizar como una guía para asegurar un sistema. Hay tres componentes básicos para usar este enfoque: personas, tecnología y operaciones, y asegurar los tres componentes crea una fuerte superposición en la seguridad. La defensa en profundidad se basa en un concepto militar en el que se pueden utilizar capas escalonadas de defensa para frenar el avance de la oposición.

La idea básica detrás de un enfoque de defensa en profundidad para la seguridad de TI es que se deben usar múltiples capas de protección para proteger los datos. Esto significa que, si bien un escáner de virus puede ser una forma efectiva de evitar el uso de software malicioso, también debe combinarse con un programa de firewall, los datos confidenciales deben cifrarse y protegerse con contraseña, y los usuarios deben recibir instrucciones sobre las mejores prácticas. La Agencia de Seguridad Nacional de los Estados Unidos (NSA) estableció las prácticas de "defensa en profundidad" para proteger los sistemas informáticos de posibles ataques.

Hay tres componentes principales en la creación de un sistema de defensa en profundidad, que son las personas que tienen acceso al sistema, la tecnología utilizada y las operaciones o la administración de ese sistema. Las personas incluyen no solo a los empleados de una empresa, que pueden estar autorizados para acceder a datos confidenciales, sino también a aquellos que quieran atacar a una empresa y acceder a información ilegalmente. Se debe enseñar a los empleados las mejores prácticas, y se debe observar una presencia de seguridad notable para reforzar la importancia de las personas como un componente de la seguridad de TI.

La tecnología real utilizada en un sistema también es vital para crear un enfoque de defensa en profundidad de la seguridad. Esto significa que el software debe ser confiable y verificado por terceros confiables que lo hayan probado. Deben establecerse capas de seguridad tecnológica, que incluyen cifrado, cortafuegos, sistemas para monitorear el acceso a datos y protección con contraseña de terminales de computadora. Las operaciones involucradas en este tipo de proyecto también son vitales, ya que la gestión efectiva de las personas y la tecnología es la única forma de garantizar que estos sistemas estén en su lugar y se utilicen adecuadamente.

La defensa en profundidad está diseñada no solo para proteger mejor la información, sino para reducir la velocidad y detectar ataques a una empresa o agencia. Este enfoque reconoce que un ataque es una cuestión de "cuándo" y no de "si", por lo que el sistema está diseñado para crear una defensa en capas para ralentizar un ataque. Como un ataque tarda más en completarse, se pueden utilizar otros sistemas para detectarlo. Esto permite a una empresa o agencia no solo proteger los datos, sino también identificar y actuar contra los atacantes que intentan acceder a esos datos ilegalmente.