C’è un vecchio detto, solitamente attribuito a Confucio, che dice qualcosa come “Dai un pesce a un uomo e gli darai da mangiare per un giorno. Insegna a un uomo a pescare, e tu “gli hai dato da mangiare per tutta la vita”. C’è un’importante lezione di vita in questa semplice affermazione. Alcune persone lo traducono concettualmente in qualcosa del tipo: “L’istruzione è la cosa più importante che puoi dare a qualcuno per migliorare le sue circostanze”. Non sono sicuro che vada davvero al nocciolo della questione, o che sia sempre accurato, anche se probabilmente è abbastanza vicino per il lavoro del governo.

La traduzione che mi piace è più o meno simile questo:

Dai la risposta a un uomo e lui avrà solo una soluzione temporanea. Insegnagli i principi che ti hanno portato a quella risposta e lui sarà in grado di creare le sue soluzioni in futuro.

È molto meno accattivante, ovviamente, ma penso che si riduca a chiodi di ottone molto meglio di limitando il significato dell’aforisma alla carità tradizionale. Se vai con la traduzione dell’educazione, non stai parlando di nient’altro che di come elevare il tenore di vita nei paesi del terzo mondo, che è importante ma difficilmente l’unico problema universale della vita. In effetti, la citazione sull’istruzione non fa nemmeno pieno uso dell’affermazione nel contesto dell’educazione, perché troppo spesso l’educazione formale non consiste nient’altro che far memorizzare ai bambini le risposte, ignorando l’importanza di insegnare loro come arrivare a quelle risposte in primo luogo.

Se, d’altra parte, ti riferisci alla differenza tra soluzioni temporanee e principi per risolvere i problemi, potresti benissimo non solo migliorare il tenore di vita di qualcuno, ma darglielo persona gli strumenti per migliorare se stesso (o se stessa, naturalmente). Questo è un tema centrale della maggior parte delle mie interazioni con gli altri quando parlo di sicurezza IT.

Nella sicurezza IT, più che in molti altri campi di studio e pratica, è importante essere in grado di pensare con la propria testa, ragionare attraverso le implicazioni di ciò che si sta facendo e impiegare principi fondamentali per giungere a valide conclusioni. In molti campi di attività, per il successo è richiesto poco di più che memorizzare alcune soluzioni formali sviluppate da profondi pensatori del passato che hanno aperto la strada al campo. La sicurezza IT è un campo molto più competitivo rispetto alla maggior parte, tuttavia, perché la preoccupazione principale del professionista della sicurezza IT è che qualcuno cerchi di eludere tutti i suoi sforzi.

Come risultato di ciò stato di cose, la capacità di ragionare in base ai principi è fondamentale. La semplice imitazione robotica delle “migliori pratiche” non è sufficiente per alcuna certezza di successo. Questo è il motivo per cui molte delle responsabilità del professionista della sicurezza IT non possono essere semplicemente automatizzate. L’automazione riduce il carico di lavoro, ma non può eliminarlo completamente, anche se l’intero campo IT riguarda l’automazione.

Questo è il motivo per cui i miei articoli qui nel weblog sulla sicurezza IT di TechRepublic spesso si concentrano su principi piuttosto che su ricette . Anche le ricette sulla sicurezza possono essere utili, ovviamente – e non ho nulla contro il fornirle, anche data la loro utilità necessariamente temporanea – ma la scrittura sulla sicurezza più importante che posso fare è affrontare i principi di base. Ciò si applica sia ai principi che conosco sia a come si può e si deve scoprire da soli più principi, anche per quanto riguarda la scoperta di eventuali difetti nei principi che offro.

Nel mio lavoro di consulenza, e quando scrivo la documentazione, cerco di insegnare ai clienti e agli utenti finali del mio lavoro i principi alla base di ciò che è stato fatto. Incoraggiare semplicemente la memorizzazione meccanica dei passi da compiere a breve termine equivale a incoraggiare i sistemi informatici di qualcuno a fallire a lungo termine. Lo stesso vale per fornire sistemi che tentano di automatizzare qualsiasi interazione dell’utente senza insegnare all’utente cosa sta succedendo dietro le quinte e perché. Quando non solo non insegni i principi all’utente finale, ma nascondi attivamente i dettagli di come funzionano le cose, stai impostando direttamente l’utente finale per il fallimento, indipendentemente dal fatto che tu intenda quel risultato o meno.

Alcune persone senza scrupoli considerano questo inevitabile fallimento come la sicurezza del lavoro. Alcune persone ignoranti la considerano una stima imprecisa dello stato della tecnologia dell’informazione, credendo che da qualche parte là fuori qualcuno possa effettivamente produrre un sistema che non richiede un utente esperto per garantire che non fallisca in modo spettacolare. Sebbene l’utente non abbia bisogno di sapere tutto sul sistema per assicurarsi che continui a funzionare, deve sapere abbastanza per essere in grado di controllare come funziona e deve anche essere disposto e in grado di saperne di più se necessario quando sorgono problemi. La passività, soprattutto nel campo della sicurezza IT, è solitamente una ricetta per il fallimento.

Un aforisma che è correlato a quello sull’insegnare a un uomo a pescare, e analogamente applicabile a molto più della semplice sicurezza IT, è quello che ho inventato anni fa e da allora ho usato quando pertinente:

Il marchio di un vero professionista è colui che lavora fino al giorno in cui è obsoleto.

Se sei un consulente di sicurezza IT e non stai aiutando i tuoi clienti a imparare come cavarsela senza i tuoi servizi, lo sei non fa davvero il tuo lavoro. Tienilo a mente quando consideri l’etica delle tue decisioni come professionista IT.