Ranum e a falta de ciência em Infosec

O Marcus Ranum faz pouco marketing pessoal, portanto quando ele publica alguma coisa interessante é difícil ficar sabendo. Hoje vi um PPT dele do ano passado que é simplesmente genial.

Nós passamos o dia defendendo os processos de gestão de riscos, etc, mas não paramos muito para pensar o quanto eles são bem fundamentados. É o tipo de análise que eu gosto de fazer e ver os outros fazendo, como aquele artigo provocativo do Don Parker no ISSA Journal sobre não usar gestão de Risco, ou o P-CSO do Mike Rothman.

"na física, se você diz que tem um moto-contínuo isso vai passar por um exame minucioso e cético. Em Segurança se você diz que tem um Intrusion Prevention System, vende milhões"

Ranum tem razão ao dizer que temos pouca ciência em segurança da informação. É por isso que é interessante ver trabalhos como aqueles do Ross Anderson, baseados em teorias de Economia. Ele se perde um pouco na conclusão da apresentação, mas as "leis da segurança" básicas que ele propõe são de fato extremamente inteligentes e suficientes para matar 9 em 10 casos de "snake oil".

Leia e pense nas soluções de segurança que você está implementando e propondo. É um exercício muito interessante.