Syvällinen puolustus on tietotekniikan (IT) turvallisuuden käsite, joka sisältää useiden suojaustasojen käytön tietojen turvaamiseksi. Tämä ei viittaa tiettyjen ohjelmistojen käyttöön, vaan on ”parhaiden käytäntöjen” menetelmä, jota voidaan käyttää ohjeena järjestelmän suojaamisessa. Tässä lähestymistavassa on kolme peruskomponenttia – ihmiset, tekniikka ja toiminta – ja kaikkien kolmen komponentin suojaaminen luo vahvan päällekkäisyyden turvallisuudessa. Syvällinen puolustus perustuu sotilaskonseptiin, jossa porrastettuja puolustuskerroksia voidaan käyttää hidastamaan etenevää vastustusta.
Perusidea tietoturvan perusteellisen puolustamisen takana on, että tietojen suojaamiseen on käytettävä useita suojakerroksia. Tämä tarkoittaa sitä, että vaikka virustentorjuntaohjelma voi olla yksi tehokas tapa estää haittaohjelmat, se on myös yhdistettävä palomuuriohjelmaan, arkaluonteiset tiedot on salattava ja salasanasuojattu ja käyttäjiä on opastettava parhaista käytännöistä. Yhdysvaltain kansallinen turvallisuusvirasto (NSA) loi “syvällisen puolustuksen” käytännöt suojatakseen tietokonejärjestelmiä mahdollisilta hyökkäyksiltä.
Puolustuksen perusteellisen järjestelmän luomisessa on kolme pääkomponenttia, jotka ovat järjestelmään pääsevät ihmiset, käytetty tekniikka ja järjestelmän toiminta tai hallinta. Ihmisiin kuuluvat paitsi yrityksen työntekijät, joille voidaan antaa lupa käyttää arkaluonteisia tietoja, myös ne, jotka saattavat haluta hyökätä yritykseen ja käyttää tietoja laittomasti. Työntekijöille olisi opetettava parhaita käytäntöjä, ja huomattavan turvallisuuden läsnäolon tulisi nähdä vahvistavan ihmisten merkitystä tietoturvan osana.
Varsinainen järjestelmässä käytetty tekniikka on myös elintärkeää puolustuksen luomisessa syvälliseen lähestymistapaan turvallisuuteen. Tämä tarkoittaa sitä, että ohjelmiston tulee olla luotettava ja ohjelmiston testaavien luotettavien kolmansien osapuolten tarkistamat. Olisi luotava teknisen turvallisuuden kerrokset, mukaan lukien salaus, palomuurit, tietojen käytön valvontajärjestelmät ja tietokonepäätteiden salasanasuojaus. Tämäntyyppisiin hankkeisiin liittyvät toiminnot ovat myös elintärkeitä, koska ihmisten ja tekniikan tehokas hallinta on ainoa tapa varmistaa, että nämä järjestelmät ovat paikallaan ja niitä käytetään asianmukaisesti.
Syvällinen puolustus on suunniteltu paitsi suojaamaan paremmin tietoja myös hidastamaan ja havaitsemaan hyökkäyksiä yritykseen tai virastoon. Tämä lähestymistapa myöntää, että hyökkäys on kysymys “milloin” eikä “jos”, joten järjestelmä on suunniteltu luomaan kerrostettu puolustus hidastamaan hyökkäystä. Koska hyökkäys kestää kauemmin, sen havaitsemiseksi voidaan käyttää muita järjestelmiä. Tämän avulla yritys tai virasto voi paitsi suojata tietoja myös tunnistaa ja toimia hyökkääjiä vastaan, jotka yrittävät käyttää tietoja laittomasti.