A segurança aplicacional e o ROI

A ler. shrdlu @ Layer8: Connecting the risk dots. E também são interessantes as respostas da Marisa Fagan e do Adrian Lane sobre o tema.

Os meus dois cêntimos: As decisões sobre a introdução, análise, e revisão da segurança aplicacional são tomadas, regra geral, por pessoas que não são chamadas a pagar a conta quanto a coisa bate na ventoinha. Nem são avaliadas por isso. Aliás, esta ideia pode ser extrapolada para a engenharia de sistemas, também. E esta é, na minha opinião, a razão principal para as asneiras que vamos encontrando aqui e ali.