O documento discute os dilemas da segurança da informação em três áreas: hardware, software e pessoas. A padronização de hardware e sistemas operacionais foi adotada para facilitar a segurança, mas dispositivos móveis e comportamentos humanos ainda apresentam riscos. As violações ocorrem quando há interesse, oportunidade e capacidade técnica, cabendo ao gestor de TI combater principalmente as últimas duas.