Det er et gammelt ordtak, vanligvis tilskrevet Confucius, som går omtrent som «Gi en mann en fisk, og du vil mate ham en dag. Lær en mann å fiske, og du har matet ham i en mannsalder. Det er en viktig livsleksjon i den enkle uttalelsen. Noen oversetter det konseptuelt til noe sånt som «Utdanning er det viktigste du kan gi noen for å bedre forholdene.» Jeg er ikke sikker på at det virkelig kommer til kjernen, eller alltid nøyaktig for den saks skyld – selv om det sannsynligvis er nært nok for myndighetsarbeid.

Oversettelsen jeg liker går omtrent som dette:

Gi en mann svaret, og han vil bare ha en midlertidig løsning. Lær ham prinsippene som førte deg til det svaret, og han vil være i stand til å lage sine egne løsninger i fremtiden.

Det er selvfølgelig betydelig mindre fengende, men jeg tror det blir mye bedre enn messingstifter enn begrense betydningen av aforismen til tradisjonell veldedighet. Hvis du går med utdanningsoversettelsen, snakker du ikke om annet enn hvordan du kan heve levestandarden i land i den tredje verden, som er viktig, men neppe det eneste livsproblemet. Sitatet om utdanning bruker ikke engang uttalelsen fullstendig innen utdanningssammenheng, fordi formell utdanning for ofte består av ingenting mer enn å få barn til å huske svarene, og ignorere viktigheten av å lære dem hvordan de kommer til disse svarene. i første omgang.

Hvis du derimot refererer til forskjellen mellom midlertidige løsninger og prinsipper for å løse problemer, kan du veldig godt ikke bare forbedre noens levestandard, men gi det person verktøyene for å forbedre seg selv (eller seg selv, naturlig). Dette er et sentralt tema for de fleste av mine interaksjoner med andre når jeg diskuterer IT-sikkerhet.

I IT-sikkerhet, mer enn på mange andre felt av studier og praksis, er det viktig å være i stand til å tenke selv, resonnere gjennom implikasjonene av det du gjør, og bruke grunnleggende prinsipper for å komme til gode konklusjoner. I mange forsøksfelt er det lite som kreves for å lykkes enn å huske noen formeløsninger utviklet av dype tenkere fra fortiden som var pionerer i feltet. IT-sikkerhet er et langt mer konkurransedyktig felt enn de fleste, fordi IT-sikkerhetens profesjonelle først og fremst er en som prøver å omgå all sin innsats.

Som et resultat av dette forhold er evnen til å resonnere fra prinsipper viktig. Bare robotimitasjon av «beste praksis» er ikke tilstrekkelig for å garantere suksess. Dette er grunnen til at mange av ansvarsområdene til IT-fagpersonen ikke bare kan automatiseres. Automatisering reduserer arbeidsmengden, men den kan ikke effektivt eliminere arbeidsmengden, selv om hele IT-feltet handler om automatisering.

Dette er grunnen til at artiklene mine her i TechRepublic IT Security-webloggen ofte fokuserer på prinsipper i stedet for oppskrifter . Sikkerhetsoppskrifter kan selvfølgelig være nyttige – og jeg har ingenting imot å gi dem, selv med tanke på deres nødvendigvis midlertidige nytte – men den viktigste sikkerhetsskrivingen jeg kan gjøre er å ta opp grunnleggende prinsipper. Dette gjelder både hvilke prinsipper jeg vet og hvordan man kan og bør gå fram for å oppdage flere prinsipper på egen hånd, til og med så langt som å oppdage eventuelle mangler i prinsippene jeg tilbyr.

I mitt konsulentarbeid, og når jeg skriver dokumentasjon, prøver jeg å lære klientene og sluttbrukerne av arbeidet mitt prinsippene bak det som er gjort. Bare å oppmuntre til å huske trinnene man bør ta på kort sikt, tilsvarer å oppmuntre noens informasjonsteknologiske systemer til å mislykkes på lang sikt. Det samme gjelder å tilby systemer som prøver å automatisere enhver brukerinteraksjon uten å lære brukeren om hva som skjer bak kulissene og hvorfor. Når du ikke bare unnlater å lære prinsippene til sluttbrukeren, men aktivt skjuler detaljene om hvordan ting fungerer, setter du veldig direkte sluttbrukeren for feil – enten du har til hensikt at resultatet eller ikke.

Noen skruppelløse mennesker ser på en slik uunngåelig svikt som jobbsikkerhet. Noen uvitende mennesker ser på det som et unøyaktig estimat av tilstanden til informasjonsteknologi, og tror at et sted der ute faktisk kan produsere et system som ikke krever en kunnskapsrik bruker for å sikre at det ikke vil mislykkes spektakulært. Selv om brukeren ikke trenger å vite alt om systemet for å sikre at det fortsetter å fungere, trenger han eller hun å vite nok for å kunne sjekke hvor godt det fungerer, og må også være villig og i stand til å lære mer om det etter behov når det oppstår problemer. Passivitet, spesielt innen IT-sikkerhet, er vanligvis en oppskrift på feil.

En aforisme som er relatert til den om å lære en mann å fiske, og som også kan brukes til langt mer enn bare IT-sikkerhet, er en jeg gjorde opp for mange år siden og har brukt når det er relevant siden:

Merket til en ekte profesjonell er en som jobber mot den dagen han eller hun er foreldet. egentlig ikke gjør jobben din. Husk det når du vurderer etikken til avgjørelsene dine som IT-profesjonelle.