Vanha sanonta, yleensä Konfutseukselle annettu, kuuluu esimerkiksi ”Anna miehelle kala, ja sinä syötät häntä päiväksi. Opeta mies kalastamaan, ja olet ruokkinut häntä koko eliniän. ”Siinä yksinkertaisessa lausunnossa on tärkeä elämänoppitunti. Jotkut ihmiset kääntävät sen käsitteellisesti esimerkiksi ”Koulutus on tärkein asia, jonka voit antaa jollekulle parempaan olosuhteisiin”. En ole varma, että se on todella pääsemässä asian ytimeen tai aina oikein asiasta – vaikka se on todennäköisesti riittävän lähellä hallituksen työtä.

Pidän siitä, että pidän käännöksestä tämä:

Anna miehelle vastaus, ja hänellä on vain väliaikainen ratkaisu. Opeta hänelle periaatteet, jotka johtivat sinut tähän vastaukseen, ja hän pystyy luomaan omat ratkaisunsa tulevaisuudessa.

Se on tietysti huomattavasti vähemmän tarttuvaa, mutta mielestäni se menee paljon paremmin vaskipeliin kuin aforismin merkityksen rajoittaminen perinteiseen hyväntekeväisyyteen. Jos siirryt koulutuksen käännökseen, et puhu mistään muusta kuin siitä, kuinka nostaa elintasoa kolmannen maailman maissa, mikä on tärkeää, mutta tuskin ainoa elämän universaali ongelma. Itse asiassa koulutusta koskevassa lainauksessa ei edes hyödynnetä lausuntoa täysimääräisesti koulutuksen yhteydessä, koska muodollinen koulutus koostuu liian usein vain siitä, että lapset saatetaan muistamaan vastaukset jättämättä huomiotta opetuksen aloittamista näihin vastauksiin. ensinnäkin.

Jos toisaalta viitat väliaikaisten ratkaisujen ja ongelmien ratkaisemisperiaatteiden väliseen eroon, et voi paitsi parantaa jonkun elintasoa myös antaa sen henkilölle työkalut itsensä (itsensä luonnostaan) parantamiseen. Tämä on keskeinen teema useimmissa kanssakäymisissäni muiden kanssa keskustellessani IT-turvallisuudesta.

IT-tietoturvassa enemmän kuin monilla muilla aloilla opintojen ja käytäntöjen kannalta on tärkeää, että pystyt ajattelemaan itse, pohtimaan tekemäsi vaikutuksia ja käyttämään perusperiaatteita vakaiden johtopäätösten tekemiseksi. Monilla aloilla menestys vaatii vain muutakin kuin muistaa joitain kaavamaisia ratkaisuja, jotka kentän edelläkävijät ovat kehittäneet menneisyyden syvälliset ajattelijat. IT-turvallisuus on kuitenkin paljon kilpailukykyisempi ala kuin useimmat, koska IT-tietoturva-alan ammattilaisen ensisijainen huolenaihe on joku, joka yrittää kiertää kaikkia hänen ponnistelujaan.

Tämän seurauksena Asiatila, kyky päättää periaatteista on erittäin tärkeää. Pelkkä robottien jäljitteleminen ”parhaista käytännöistä” ei riitä menestyksen varmuuteen. Siksi monia tietoturva-alan ammattilaisen vastuita ei voida yksinkertaisesti automatisoida. Automaatio vähentää työmäärää, mutta se ei voi tehokkaasti poistaa työmäärää kokonaan, vaikka koko IT-ala koskee automatisointia.

Siksi artikkelissani täällä TechRepublic IT Security -blogissa keskityn usein periaatteisiin eikä resepteihin . Tietoturvareseptit voivat tietysti olla hyödyllisiä – ja minulla ei ole mitään vastaan niiden tarjoamista, vaikka niiden välttämättä väliaikainen hyödyllisyyskin on -, mutta tärkein tietoturvakirjoittaminen, jonka voin tehdä, on käsitellä perusperiaatteita. Tämä koskee sekä mitä periaatteita tunnen että kuinka voimme ja pitäisi edetä löytääkseen lisää periaatteita omasta puolestani, vaikka löydänkin mahdollisia puutteita tarjoamistani periaatteista.

Konsultointityössäni ja kirjoittaessani dokumentaatiota yritän opettaa asiakkailleni ja loppukäyttäjilleni työni periaatteet, jotka ovat taustalla. Yksinkertainen rohkaisu muistiin vaiheista, jotka tulisi suorittaa lyhyellä aikavälillä, merkitsee kannustamista jonkun tietotekniikkajärjestelmiin epäonnistumaan pitkällä aikavälillä. Sama pätee järjestelmiin, jotka yrittävät automatisoida käyttäjän välisen vuorovaikutuksen opettamatta käyttäjälle kulissien takana ja miksi. Kun et vain opeta periaatteita loppukäyttäjälle, vaan piilotat aktiivisesti yksityiskohdat asioiden toiminnasta, asetat loppukäyttäjän suoraan epäonnistumiseen – aiotko tuloksen vai et.

Jotkut häikäilemättömät ihmiset pitävät väistämätöntä epäonnistumista työturvallisuutena. Jotkut tietämättömät ihmiset pitävät sitä epätarkkana estimaattina tietotekniikan tilasta, koska he uskovat, että jonnekin siellä joku voi todella tuottaa järjestelmän, joka ei vaadi asiantuntevaa käyttäjää varmistaakseen, että se ei onnistu näyttävästi. Vaikka käyttäjän ei tarvitse tietää kaikkea järjestelmästä varmistaakseen, että se toimii edelleen, hänen on tiedettävä tarpeeksi voidakseen tarkistaa, kuinka hyvin se toimii, ja hänen on myös oltava halukas ja kykenevä oppimaan lisää tarvittaessa siitä, kun ongelmia ilmenee. Passiivisuus, etenkin tietoturvan alalla, on yleensä resepti epäonnistumiseen.

Aforismi, joka liittyy ihmisen kalastamisen opettamiseen ja joka soveltuu vastaavasti paljon muuhun kuin pelkästään IT-turvallisuuteen, on se, jonka olen keksinyt vuosia sitten ja jota olen käyttänyt tarvittaessa aina:

Todellisen ammattilaisen merkki on se, joka työskentelee vanhentuneena päivänä.

Jos olet tietoturvakonsultti etkä auta asiakkaitasi oppimaan tulemaan toimeen ilman palveluitasi, olet ei todellakaan tee työtäsi. Pidä tämä mielessä, kun harkitset päätöksesi eettisyyttä IT-ammattilaisena.