Hay un viejo dicho, generalmente atribuido a Confucio, que dice algo así como «Dale un pescado a un hombre y lo alimentarás por un día. hombre a pescar, y lo has alimentado durante toda la vida. Hay una importante lección de vida en esa simple declaración. Algunas personas lo traducen conceptualmente en algo como «La educación es lo más importante que puedes darle a alguien para mejorar sus circunstancias». No estoy seguro de que eso llegue al meollo del asunto, o que sea siempre exacto, aunque probablemente sea lo suficientemente cercano para el trabajo del gobierno.

La traducción que me gusta es algo así como esto:

Dale a un hombre la respuesta, y solo tendrá una solución temporal. Enséñele los principios que lo llevaron a esa respuesta, y podrá crear sus propias soluciones en el futuro.

Es considerablemente menos pegajoso, por supuesto, pero creo que se reduce a tachuelas mucho mejor que limitando el significado del aforismo a la caridad tradicional. Si opta por la traducción educativa, no está hablando más que de cómo elevar el nivel de vida en los países del tercer mundo, lo cual es importante pero difícilmente el único problema universal de la vida. De hecho, la cita sobre educación ni siquiera hace un uso completo de la declaración dentro del contexto de la educación, porque la educación formal a menudo consiste en hacer que los niños memoricen las respuestas, ignorando la importancia de enseñarles cómo llegar a esas respuestas. en primer lugar.

Si, por otro lado, se refiere a la diferencia entre soluciones temporales y principios para resolver problemas, es muy posible que no solo mejore el nivel de vida de alguien, sino que también persona las herramientas para mejorarse a sí misma (o ella misma, naturalmente). Este es un tema central de la mayoría de mis interacciones con otros cuando hablo de seguridad de TI.

En seguridad de TI, más que en muchos otros campos de estudio y práctica, es importante poder pensar por sí mismo, razonar a través de las implicaciones de lo que está haciendo y emplear principios fundamentales para llegar a conclusiones sólidas. En muchos campos de actividad, poco más se requiere para el éxito que memorizar algunas soluciones formuladas desarrolladas por pensadores profundos del pasado que fueron pioneros en el campo. La seguridad de TI es un campo mucho más competitivo que la mayoría, sin embargo, porque la principal preocupación del profesional de seguridad de TI es alguien que intenta eludir todos sus esfuerzos.

Como resultado de esto estado de cosas, la capacidad de razonar a partir de principios es de suma importancia. La mera imitación robótica de las «mejores prácticas» no es suficiente para tener certeza de éxito. Esta es la razón por la que muchas de las responsabilidades del profesional de seguridad de TI no pueden simplemente automatizarse. La automatización disminuye la carga de trabajo, pero no puede eliminarla por completo de manera efectiva, a pesar de que todo el campo de TI se trata de automatización.

Es por eso que mis artículos aquí en el weblog de TechRepublic IT Security a menudo se enfocan en principios más que en recetas. . Las recetas de seguridad también pueden ser útiles, por supuesto, y no tengo nada en contra de proporcionarlas, incluso dada su utilidad necesariamente temporal, pero la redacción de seguridad más importante que puedo hacer es abordar los principios básicos. Esto se aplica tanto a los principios que conozco como a cómo uno puede y debe ir descubriendo más principios por sí mismo, incluso en la medida en que descubra cualquier defecto en los principios que ofrezco.

En mi trabajo de consultoría, y cuando escribo documentación, trato de enseñar a los clientes y usuarios finales de mi trabajo los principios detrás de lo que se ha hecho. Simplemente alentar la memorización de los pasos que se deben tomar a corto plazo equivale a alentar a los sistemas de tecnología de la información a fallar a largo plazo. Lo mismo ocurre con el suministro de sistemas que intentan automatizar cualquier interacción del usuario sin enseñarle al usuario lo que sucede detrás de escena y por qué. Cuando no solo falla en enseñar los principios al usuario final, sino que oculta activamente los detalles de cómo funcionan las cosas, está preparando al usuario final muy directamente para el fracaso, ya sea que desee obtener ese resultado o no.

Algunas personas sin escrúpulos consideran un fracaso tan inevitable como la seguridad laboral. Algunas personas ignorantes lo consideran como una estimación inexacta del estado de la tecnología de la información, creyendo que en algún lugar alguien puede producir un sistema que no requiera un usuario informado para asegurarse de que no fallará espectacularmente. Si bien el usuario no necesita saber todo sobre el sistema para asegurarse de que continúe funcionando, sí necesita saber lo suficiente para poder verificar qué tan bien está funcionando, y también debe estar dispuesto y ser capaz de aprender más. sobre ello según sea necesario cuando surjan problemas. La pasividad, especialmente en el ámbito de la seguridad de TI, suele ser una receta para el fracaso.

Un aforismo que está relacionado con el de enseñar a pescar a un hombre, y aplicable de manera similar a mucho más que solo seguridad de TI, es uno que inventé hace años y he usado cuando es relevante desde entonces:

La marca de un verdadero profesional es aquel que trabaja para el día en que se vuelva obsoleto.

Si usted es un consultor de seguridad de TI y no está ayudando a sus clientes a aprender cómo vivir sin sus servicios, está realmente no está haciendo su trabajo. Tenga esto en cuenta cuando considere la ética de sus decisiones como profesional de TI.