Er is een oud gezegde, meestal toegeschreven aan Confucius, dat zoiets gaat als ‘Geef een man een vis en je zult hem een dag voeren. man om te vissen, en je ‘hebt hem een leven lang gevoerd’. Er zit een belangrijke levensles in die simpele uitspraak. Sommige mensen vertalen het conceptueel in iets als “Opleiding is het belangrijkste dat je iemand kunt geven om zijn omstandigheden te verbeteren.” Ik weet niet zeker of dat echt tot de kern van de zaak doordringt, of altijd juist is – hoewel het waarschijnlijk dichtbij genoeg is voor overheidswerk.

De vertaling die ik leuk vind, gaat ongeveer als dit:

Geef een man het antwoord, en hij “heeft alleen een tijdelijke oplossing. Leer hem de principes die je naar dat antwoord hebben geleid, en hij zal in de toekomst zijn eigen oplossingen kunnen bedenken.

Het is natuurlijk aanzienlijk minder pakkend, maar ik denk dat het veel beter op kopspijkers komt dan de betekenis van het aforisme beperken tot traditionele naastenliefde. Als je de educatieve vertaling volgt, heb je het over niets anders dan hoe je de levensstandaard in derdewereldlanden kunt verhogen, wat belangrijk is, maar zeker niet het enige universele probleem van het leven. In feite maakt het citaat over onderwijs niet eens volledig gebruik van de stelling in de context van onderwijs, omdat formeel onderwijs maar al te vaak bestaat uit niets meer dan kinderen antwoorden uit het hoofd te laten leren, waarbij ze het belang negeren om hen te leren hoe ze tot die antwoorden kunnen komen. in de eerste plaats.

Als u daarentegen verwijst naar het verschil tussen tijdelijke oplossingen en principes voor het oplossen van problemen, kunt u heel goed niet alleen iemands levensstandaard verbeteren, maar ook persoon de tools om zichzelf (of zichzelf natuurlijk) te verbeteren. Dit is een centraal thema in de meeste van mijn interacties met anderen wanneer ik IT-beveiliging bespreek.

In IT-beveiliging, meer dan op veel andere gebieden van studie en praktijk is het belangrijk om voor jezelf te kunnen denken, de implicaties van wat je doet te beredeneren en fundamentele principes toe te passen om tot deugdelijke conclusies te komen. Op veel terreinen is er weinig meer nodig voor succes dan het onthouden van enkele formuleoplossingen die zijn ontwikkeld door diepzinnige denkers uit het verleden die pioniers waren op het gebied. IT-beveiliging is echter een veel competitiever vakgebied dan de meeste andere, omdat de primaire zorg van de IT-beveiligingsprofessional is dat iemand probeert al zijn inspanningen te omzeilen.

Als gevolg hiervan stand van zaken is het vermogen om vanuit principes te redeneren het allerbelangrijkste. Alleen robotachtige imitatie van “best practices” is niet voldoende voor enige zekerheid van succes. Dit is de reden waarom veel van de verantwoordelijkheden van de IT-beveiligingsprofessional niet zomaar kunnen worden geautomatiseerd. Automatisering verlaagt de werkdruk, maar kan de werkdruk niet volledig elimineren, ook al gaat het hele IT-veld over automatisering.

Daarom focussen mijn artikelen hier op het TechRepublic IT Security-weblog vaak op principes in plaats van recepten . Beveiligingsrecepten kunnen natuurlijk ook nuttig zijn – en ik heb er niets op tegen ze te verstrekken, zelfs niet gezien hun noodzakelijkerwijs tijdelijke bruikbaarheid – maar het belangrijkste beveiligingsschrift dat ik kan doen, is het bespreken van basisprincipes. Dit geldt zowel voor de principes die ik ken als voor hoe men zelf meer principes kan en moet ontdekken, zelfs voor zover het enige tekortkomingen ontdekt in de principes die ik aanbied.

In mijn advieswerk, en bij het schrijven van documentatie probeer ik de klanten en eindgebruikers van mijn werk de principes bij te brengen achter wat er is gedaan. Gewoon uit het hoofd leren van de stappen die je op korte termijn zou moeten nemen, komt neer op het aanmoedigen van iemands informatietechnologiesystemen om te falen op de lange termijn. Hetzelfde geldt voor systemen die proberen elke gebruikersinteractie te automatiseren zonder de gebruiker te leren wat er achter de schermen gebeurt en waarom. Als je niet alleen de principes niet aan de eindgebruiker leert, maar ook actief de details verbergt over hoe de dingen werken, stel je de eindgebruiker heel direct voor mislukking in gevaar – of je dat resultaat nu wel of niet beoogt.

Sommige gewetenloze mensen beschouwen zo’n onvermijdelijke mislukking als werkzekerheid. Sommige onwetende mensen beschouwen het als een onnauwkeurige schatting van de staat van de informatietechnologie, in de overtuiging dat iemand ergens daarbuiten daadwerkelijk een systeem kan produceren waarvoor geen ervaren gebruiker nodig is om ervoor te zorgen dat het niet spectaculair mislukt. Hoewel de gebruiker niet alles over het systeem hoeft te weten om ervoor te zorgen dat het blijft werken, moet hij of zij voldoende weten om te kunnen controleren hoe goed het werkt, en moet hij of zij ook bereid en in staat zijn om meer te leren daarover indien nodig wanneer zich problemen voordoen. Passiviteit, vooral op het gebied van IT-beveiliging, is meestal een recept voor mislukking.

Een aforisme dat verwant is aan het aforisme over het leren vissen van een man, en op dezelfde manier van toepassing is op veel meer dan alleen IT-beveiliging, is er een die ik jaren geleden heb verzonnen en sindsdien heb gebruikt wanneer relevant:

Het kenmerk van een echte professional is iemand die werkt aan de dag dat hij of zij verouderd is.

Als u een IT-beveiligingsadviseur bent en u helpt uw klanten niet te leren hoe ze zonder uw diensten kunnen omgaan, dan bent u dat wel niet echt je werk doen. Houd daar rekening mee wanneer u de ethiek van uw beslissingen als IT-professional in overweging neemt.