Jest takie stare powiedzenie, zwykle przypisywane Konfucjuszowi, które brzmi mniej więcej tak: „Daj człowiekowi rybę, a będziesz go karmić przez jeden dzień. człowieka do łowienia, a ty „karmiłeś go przez całe życie”. W tym prostym stwierdzeniu jest ważna lekcja życia. Niektórzy tłumaczą to koncepcyjnie na coś w stylu: „Edukacja jest najważniejszą rzeczą, jaką możesz dać komuś, aby poprawić jego sytuację”. „Nie jestem pewien, czy to naprawdę dociera do sedna sprawy lub zawsze jest trafne w tej kwestii – chociaż prawdopodobnie jest wystarczająco blisko do pracy rządowej.

Tłumaczenie, które lubię, brzmi mniej więcej tak to:

Daj mężczyźnie odpowiedź, a będzie miał tylko tymczasowe rozwiązanie. Naucz go zasad, które doprowadziły cię do tej odpowiedzi, a będzie mógł tworzyć własne rozwiązania w przyszłości.

Jest to oczywiście znacznie mniej chwytliwe, ale myślę, że sprowadza się do mosiężnych pinezek znacznie lepiej niż ograniczanie znaczenia aforyzmu do tradycyjnej dobroczynności Jeśli idziesz z tłumaczeniem edukacyjnym, „mówisz tylko o tym, jak podnieść standard życia w krajach trzeciego świata, co jest ważne, ale nie jest jedynym uniwersalnym problemem życia. W rzeczywistości cytat o edukacji nie wykorzystuje w pełni tego stwierdzenia w kontekście edukacji, ponieważ formalna edukacja zbyt często polega jedynie na zmuszaniu dzieci do zapamiętywania odpowiedzi, ignorując znaczenie uczenia ich, jak dotrzeć do tych odpowiedzi. w pierwszej kolejności.

Jeśli z drugiej strony odniesiesz się do różnicy między tymczasowymi rozwiązaniami a zasadami rozwiązywania problemów, możesz bardzo dobrze nie tylko poprawić czyjegoś standard życia, ale osoby narzędzia do doskonalenia siebie (naturalnie). Jest to główny temat większości moich interakcji z innymi osobami, kiedy omawiam bezpieczeństwo IT.

W bezpieczeństwie IT bardziej niż w wielu innych dziedzinach nauki i praktyki ważne jest, aby móc samodzielnie myśleć, rozumować konsekwencje tego, co robisz, i stosować podstawowe zasady, aby dojść do rozsądnych wniosków. W wielu dziedzinach do osiągnięcia sukcesu potrzeba niewiele więcej niż zapamiętanie pewnych formułowych rozwiązań opracowanych przez głębokich myślicieli przeszłości, którzy byli pionierami w tej dziedzinie. Bezpieczeństwo IT jest jednak dziedziną o wiele bardziej konkurencyjną niż większość, ponieważ głównym problemem specjalisty ds. Bezpieczeństwa IT jest ktoś, kto próbuje obejść wszystkie jego wysiłki.

W rezultacie stan rzeczy, umiejętność wnioskowania na podstawie zasad jest najważniejsza. Samo robotyczne imitowanie „najlepszych praktyk” nie wystarczy, aby mieć pewność sukcesu. Dlatego wielu obowiązków specjalisty ds. Bezpieczeństwa IT nie można po prostu zautomatyzować. Automatyzacja zmniejsza obciążenie pracą, ale nie może skutecznie go całkowicie wyeliminować, mimo że cała dziedzina IT dotyczy automatyzacji.

Dlatego moje artykuły na blogu TechRepublic IT Security często koncentrują się na zasadach, a nie przepisach . Oczywiście przepisy dotyczące bezpieczeństwa też mogą być przydatne – i nie mam nic przeciwko ich dostarczaniu, nawet biorąc pod uwagę ich z konieczności tymczasową przydatność – ale najważniejszym dokumentem dotyczącym bezpieczeństwa, jaki mogę zrobić, jest odniesienie się do podstawowych zasad. Dotyczy to zarówno tego, jakie zasady znam, jak i w jaki sposób można i należy samodzielnie odkrywać więcej zasad, nawet jeśli chodzi o odkrywanie wad zasad, które oferuję.

W mojej pracy doradczej, a pisząc dokumentację, staram się uczyć klientów i użytkowników końcowych mojej pracy zasad, na których opiera się to, co zostało zrobione. Po prostu zachęcanie do zapamiętywania na pamięć kroków, które należy podjąć w krótkim okresie, jest równoznaczne z zachęcaniem czyichś systemów informatycznych do awarii w dłuższej perspektywie. To samo dotyczy systemów, które próbują zautomatyzować jakąkolwiek interakcję użytkownika, nie ucząc go, co dzieje się za kulisami i dlaczego. Kiedy nie tylko nie nauczysz użytkownika końcowego zasad, ale aktywnie ukryjesz szczegóły tego, jak działają rzeczy, bardzo bezpośrednio narażasz użytkownika końcowego na porażkę – niezależnie od tego, czy zamierzasz taki wynik, czy nie.

Niektórzy pozbawieni skrupułów ludzie uważają taką nieuniknioną porażkę za bezpieczeństwo pracy. Niektórzy ignoranci uważają to za niedokładne oszacowanie stanu technologii informacyjnej, wierząc, że gdzieś tam ktoś może faktycznie stworzyć system, który nie wymaga od doświadczonego użytkownika, aby upewnić się, że nie zawiedzie w spektakularny sposób. Chociaż użytkownik nie musi wiedzieć wszystkiego o systemie, aby zapewnić jego dalsze działanie, musi wiedzieć wystarczająco dużo, aby móc sprawdzić, jak dobrze działa, a także musi chcieć i móc dowiedzieć się więcej o tym w razie potrzeby, gdy pojawią się problemy. Bierność, zwłaszcza w sferze bezpieczeństwa IT, jest zwykle receptą na porażkę.

Aforyzm, który jest powiązany z tym o nauczaniu człowieka łowienia ryb i podobnie ma zastosowanie do znacznie więcej niż tylko bezpieczeństwa IT, to ten, który wymyśliłem lata temu i od tamtej pory używam, gdy jest to istotne:

Znakiem rozpoznawczym prawdziwego profesjonalisty jest taki, który pracuje do dnia, w którym jest przestarzały.

Jeśli jesteś konsultantem ds. bezpieczeństwa IT i nie pomagasz swoim klientom nauczyć się radzić sobie bez usług, nie wykonując swojej pracy. Miej to na uwadze, rozważając etykę swoich decyzji jako informatyka.