Der er et gammelt ordsprog, som regel tilskrives Confucius, der går noget som “Giv en mand en fisk, og du vil fodre ham en dag. Lær en mand at fiske, og du har fodret ham i et helt liv. Der er en vigtig livslektion i den enkle erklæring. Nogle mennesker oversætter det konceptuelt til noget som “Uddannelse er det vigtigste, du kan give nogen til at forbedre hans forhold.” Jeg er ikke sikker på, at det virkelig kommer til kernen i sagen eller altid er nøjagtigt for den sags skyld – selvom det sandsynligvis er tæt nok til regeringens arbejde.

Den oversættelse, jeg kan lide, ligner noget dette:

Giv en mand svaret, og han har kun en midlertidig løsning. Lær ham de principper, der førte dig til det svar, og han vil være i stand til at skabe sine egne løsninger i fremtiden.

Det er selvfølgelig betydeligt mindre fængende, men jeg tror, det kommer meget bedre til messingstifter end at begrænse aforismens betydning til traditionel velgørenhed. Hvis du går med uddannelsesoversættelsen, taler du kun om, hvordan man kan hæve levestandarden i tredjelande, hvilket er vigtigt, men næppe det eneste livsproblem. Faktisk bruger citatet om uddannelse ikke engang fuldt ud udsagnet inden for uddannelsessammenhæng, fordi formel uddannelse for ofte består af intet andet end at få børn til at huske svarene og ignorere vigtigheden af at lære dem, hvordan man kommer til disse svar i første omgang.

Hvis du derimod henviser til forskellen mellem midlertidige løsninger og principper til løsning af problemer, kan du meget vel ikke kun forbedre en persons levestandard, men give det person værktøjerne til at forbedre sig selv (eller sig selv, naturligvis). Dette er et centralt tema for de fleste af mine interaktioner med andre, når jeg diskuterer it-sikkerhed.

I it-sikkerhed mere end inden for mange andre områder af undersøgelse og praksis, er det vigtigt at være i stand til at tænke selv, ræsonnere gennem konsekvenserne af det, du laver, og anvende grundlæggende principper for at komme til sunde konklusioner. I mange bestræbelsesområder kræves der lidt mere for succes end at huske nogle formeløsninger udviklet af dybe tænkere fra fortiden, der var banebrydende inden for området. IT-sikkerhed er et langt mere konkurrencedygtigt felt end de fleste, fordi it-sikkerhedsprofessionals primære bekymring er en person, der forsøger at omgå alle hans bestræbelser.

Som et resultat af dette Forholdsregler er evnen til at resonnere ud fra principper altafgørende. Blot robotimitation af “bedste praksis” er ikke tilstrækkelig for nogen sikkerhed for succes. Dette er grunden til, at mange af it-sikkerhedsprofessionals ansvar ikke bare kan automatiseres væk. Automatisering mindsker arbejdsbyrden, men det kan ikke effektivt eliminere arbejdsbyrden helt, selvom hele it-feltet handler om automatisering.

Dette er grunden til, at mine artikler her i TechRepublic IT Security weblog ofte fokuserer på principper snarere end opskrifter . Sikkerhedsopskrifter kan selvfølgelig også være nyttige – og jeg har intet imod at give dem, selv i betragtning af deres nødvendigvis midlertidige nytte – men det vigtigste sikkerhedsskrivning, jeg kan gøre, er at adressere grundlæggende principper. Dette gælder både for hvilke principper, jeg kender, og hvordan man kan og bør gå frem til at opdage flere principper på egen hånd, selv så vidt man opdager fejl i de principper, jeg tilbyder.

I mit konsulentarbejde og når jeg skriver dokumentation, prøver jeg at lære klienterne og slutbrugerne af mit arbejde principperne bag, hvad der er blevet gjort. Det er simpelthen at tilskynde til, at man husker, hvordan man skal tage skridt på kort sigt, ligesom man tilskynder nogens informationsteknologiske systemer På lang sigt. Det samme gælder for at levere systemer, der forsøger at automatisere enhver brugerinteraktion uden at lære brugeren om, hvad der foregår bag kulisserne, og hvorfor. Når du ikke kun undlader at lære slutbrugeren principperne, men aktivt skjuler detaljerne i, hvordan ting fungerer, indstiller du meget direkte slutbrugeren til fiasko – uanset om du har til hensigt at resultatet eller ej. p> Nogle skruppelløse mennesker betragter en sådan uundgåelig fiasko som jobsikkerhed. Nogle uvidende mennesker betragter det som et unøjagtigt skøn over informationsteknologiens tilstand og mener, at nogen derude faktisk kan producere et system, der ikke kræver en kyndig bruger for at sikre, at det ikke vil mislykkes spektakulært. Selvom brugeren ikke behøver at vide alt om systemet for at sikre, at det fortsætter med at arbejde, har han eller hun brug for at vide nok til at kunne kontrollere, hvor godt det fungerer, og skal også være villig og i stand til at lære mere om det efter behov, når der opstår problemer. Passivitet, især inden for it-sikkerhed, er normalt en opskrift på fiasko.

En aforisme, der er relateret til den om at lære en mand at fiske, og som også finder anvendelse på langt mere end bare it-sikkerhed, er en, jeg sammensatte for mange år siden og har brugt, når det er relevant siden:

Mærket for en ægte professionel er en, der arbejder hen imod den dag, han eller hun er forældet.

Hvis du er IT-sikkerhedskonsulent, og du ikke hjælper dine klienter med at lære, hvordan man kommer sammen uden dine tjenester, er du ikke rigtig gør dit job. Husk det, når du betragter etikken i dine beslutninger som IT-professionel.