Security products are increasingly becoming commodities. Obviously the software ones - anti-virus tools, software firewalls, intrusion detection systems - have a marginal cost of zero, and even many of the hardware devices are built on commodity parts that get cheaper every month. What hasn't gotten cheaper is the expertise required to put the bewildering array of security tools together into a coherent system that's customized for a firm's particular business. Indeed, as security products have gotten more numerous and more complex, it has actually gotten harder to keep track of them all and know which security tools are the best ones to use in any given situation.
A cada dia, as soluções tradicionais de segurança começam a fazer parte da infra-estrutura operacional básica de uma empresa (ninguém imagina uma rede sem Firewall nem um computador sem anti-vírus). Ao mesmo tempo, as tecnologias tradicionais de segurança vão atingindo um grau cada vez maior de maturidade que torna-se difícil distinguir ferramentas de concorrentes distintos: todas cobrem as funcionalidades "básicas" e, quando alguma lança algum tipo de recurso "avançado", certamente os concorrentes o farão em um curto prazo. Assim, as tecnologias de segurança tornam-se "commodities", simples produtos de prateleira. Nessa hora é que entra a capacidade do profissional de segurança e indentificar, dentro de todo o leque possível de tecnologias, ferramentas e fornecedores, quais são as ferramentas de segurança que realmente agregam valor ao negócio.
Uma empresa não compra soluções de segurança porque quer. Compra porque precisa, porque sua infra-estrutura tecnológica, por si só, não é capaz de garantir a segurança necessária contra os riscos de negócio e contra os ataques e ameaças do dia-a-dia. As soluções de segurança funcionam como uma proteção preventiva: já que a rede não tem condições de se proteger sozinha, já que as aplicações tem bugs, vamos adicionar uma camada de proteção nelas. Outro trecho deste mesmo artigo mostra isso muito bem, do ponto de vista de negócio:
(...) non-security-focused software firms buying security firms to help bolster the security and reputation of their products. This may indicate that developers of other software products are recognizing that better security is one of the key features customers are demanding in their products.
A indústria tem se mostrado, historicamente, incapaz de fabricar um software seguro. Por outro lado, a empresa não quer comprar segurança: ela quer comprar o software, a aplicação que atende sua necessidade imediata de negócio (sua folha de pagamento, seu sistema contábil, seu site de comércio eletrônico). Uma solução dedicada de segurança existe justamente porque a empresa está buscando meios de trazer segurança ao seu negócio. Hoje a empresa tem que comprar dezenas de softwares e ferramentas de segurança (Firewall, IDS, IPD, anti-virus, personal firewall, criptografia, backup, etc) justamente porque a infra-estrutura de TI não consegue garantir sua disponibilidade, confidencialidade e integridade por si só.