Eugene Spafford e soluções mágicas

Eugene Spafford é uma das maiores mentes da segurança da informação. Este post dele está bem alinhado com aquele que comentei aqui ontem do Anton Aylward. Acredito em boa parte do que ele está dizendo. Em resumo, ele aponta que ficamos gastando tempo e dinheiro buscando soluções do tipo "remendo" para problemas para os quais já conhecemos soluções melhores, mais completas. Um exemplo é "ao invés de gastar tentando detectar malware na rede, usar tecnologias que não deixam malware existir". Se olharmos a segurança de forma isolada ele está certíssimo. Ele e o Ranum, que costuma ir por uma linha parecida.

Porém, acho que é uma abordagem muito tecnicista, para não dizer simplista. É o equivalente a dizer "já temos carros elétricos, vamos simplesmente parar de usar carros movidos a petróleo e pronto, resolvemos o aquecimento global". Há diversos outros fatores interligados nessas questões, e não podemos ignorá-los. Assim como há as questões econômicas nos assuntos ambientais, também há para as questões de infosec. Não só economicos mas também com relação à compatibilidade, à vantagem competitiva, à complexidade, etc. Ah, se todos os problemas fossem tão simples como parecem ser para o Dr. Spafford!