Il ya un vieil adage, généralement attribué à Confucius, qui dit quelque chose comme « Donnez un poisson à un homme, et vous » le nourrirez pendant une journée. l’homme à pêcher, et vous « l’avez nourri pour une vie. » Il ya une leçon de vie importante dans cette simple déclaration. Certaines personnes le traduisent conceptuellement en quelque chose comme « L’éducation est la chose la plus importante que vous puissiez donner à quelqu’un pour améliorer sa situation. » Je ne suis pas sûr que ce soit vraiment le cœur du problème, ou toujours précis d’ailleurs – même si c’est probablement assez proche pour le travail gouvernemental.

La traduction que j’aime ressemble à quelque chose comme ceci:

Donnez la réponse à un homme, et il n’aura qu’une solution temporaire. Apprenez-lui les principes qui vous ont conduit à cette réponse, et il sera en mesure de créer ses propres solutions à l’avenir.

C’est beaucoup moins accrocheur, bien sûr, mais je pense que cela se résume bien mieux à limiter le sens de l’aphorisme à la charité traditionnelle. Si vous optez pour la traduction de l’éducation, vous ne parlez que de la manière d’élever le niveau de vie dans les pays du tiers monde, ce qui est important mais pas le seul problème universel de la vie. En fait, la citation sur l’éducation ne fait même pas pleinement usage de la déclaration dans le contexte de l’éducation, parce que l’éducation formelle ne consiste trop souvent qu’à faire mémoriser les réponses par les enfants, ignorant l’importance de leur apprendre à y parvenir. en premier lieu.

Si, au contraire, vous faites référence à la différence entre les solutions temporaires et les principes de résolution de problèmes, vous pouvez très bien non seulement améliorer le niveau de vie de quelqu’un, mais lui donner personne les outils pour s’améliorer (ou elle-même, naturellement). C’est un thème central de la plupart de mes interactions avec les autres lorsque je parle de sécurité informatique.

En sécurité informatique, plus que dans de nombreux autres domaines d’étude et de pratique, il est important d’être capable de penser par soi-même, de raisonner à travers les implications de ce que vous faites et d’utiliser les principes fondamentaux pour arriver à des conclusions solides. Dans de nombreux domaines d’activité, il ne faut guère plus pour réussir que de mémoriser des solutions formulées par des penseurs profonds du passé qui ont été les pionniers du domaine. Cependant, la sécurité informatique est un domaine beaucoup plus compétitif que la plupart des autres, car la principale préoccupation du professionnel de la sécurité informatique est que quelqu’un essaie de contourner tous ses efforts.

En conséquence état de fait, la capacité de raisonner à partir de principes est primordiale. La simple imitation robotique des «meilleures pratiques» n’est pas suffisante pour garantir la réussite. C’est pourquoi de nombreuses responsabilités du professionnel de la sécurité informatique ne peuvent pas être simplement automatisées. L’automatisation réduit la charge de travail, mais elle ne peut pas éliminer complètement la charge de travail, même si tout le domaine informatique concerne l’automatisation.

C’est pourquoi mes articles ici dans le blog TechRepublic IT Security se concentrent souvent sur des principes plutôt que sur des recettes . Les recettes de sécurité peuvent également être utiles, bien sûr – et je n’ai rien contre leur fourniture, même compte tenu de leur utilité nécessairement temporaire – mais l’écriture de sécurité la plus importante que je puisse faire est d’aborder les principes de base. Cela s’applique à la fois aux principes que je connais et à la manière dont on peut et doit faire pour découvrir plus de principes par soi-même, même en découvrant des failles dans les principes que je propose.

Dans mon travail de conseil, et lorsque j’écris de la documentation, j’essaie d’enseigner aux clients et aux utilisateurs finaux de mon travail les principes qui sous-tendent ce qui a été fait. Le simple fait d’encourager la mémorisation par cœur des étapes à suivre à court terme revient à encourager l’échec des systèmes informatiques de quelqu’un. à long terme. Il en va de même pour les systèmes qui tentent d’automatiser toute interaction de l’utilisateur sans lui apprendre ce qui se passe dans les coulisses et pourquoi. Lorsque vous échouez non seulement à enseigner les principes à l’utilisateur final, mais que vous cachez activement les détails de la façon dont les choses fonctionnent, vous mettez très directement l’utilisateur final en état d’échec – que vous vouliez ce résultat ou non.

Certaines personnes sans scrupules considèrent cet échec inévitable comme une sécurité d’emploi. Certaines personnes ignorantes la considèrent comme une estimation inexacte de l’état de la technologie de l’information, estimant que quelque part, quelqu’un peut réellement produire un système qui ne nécessite pas un utilisateur averti pour s’assurer qu’il n’échouera pas de manière spectaculaire. Bien que l’utilisateur n’ait pas besoin de tout savoir sur le système pour s’assurer qu’il continue de fonctionner, il doit en savoir suffisamment pour être en mesure de vérifier son fonctionnement, et doit également être disposé et capable d’en savoir plus. à ce sujet au besoin lorsque des problèmes surviennent. La passivité, en particulier dans le domaine de la sécurité informatique, est généralement la recette de l’échec.

Un aphorisme qui est lié à celui qui consiste à apprendre à un homme à pêcher, et qui s’applique également à bien plus que la simple sécurité informatique, est celui que j’ai inventé il y a des années et que j’ai utilisé lorsque c’est pertinent depuis:

La marque d’un vrai professionnel est celle qui travaille vers le jour où il est obsolète.

Si vous êtes un consultant en sécurité informatique et que vous n’aidez pas vos clients à apprendre à se passer de vos services, vous êtes ne fait pas vraiment votre travail. Gardez cela à l’esprit lorsque vous considérez l’éthique de vos décisions en tant que professionnel de l’informatique.