Há um velho ditado, geralmente atribuído a Confúcio, que diz algo como “Dê um peixe a um homem e você o alimentará por um dia. Ensine um homem para peixe, e você o alimentou por toda a vida. ”Há uma importante lição de vida nessa declaração simples. Algumas pessoas traduzem conceitualmente em algo como “A educação é a coisa mais importante que você pode dar a alguém para melhorar sua situação”. Não tenho certeza se isso está realmente indo ao cerne da questão, ou sempre preciso – embora seja provavelmente perto o suficiente para trabalho do governo.

A tradução de que gosto é algo como este:

Dê a resposta a um homem e ele terá apenas uma solução temporária. Ensine a ele os princípios que o levaram a essa resposta, e ele será capaz de criar suas próprias soluções no futuro.

É consideravelmente menos cativante, é claro, mas acho que se resume a elementos de metal muito melhor do que Limitando o significado do aforismo à caridade tradicional. Se você for com a tradução da educação, você está falando sobre nada além de como elevar o padrão de vida em países do terceiro mundo, o que é importante, mas dificilmente o único problema universal da vida. Na verdade, a citação sobre educação nem mesmo faz pleno uso da afirmação no contexto da educação, porque a educação formal muitas vezes consiste em nada mais do que fazer as crianças memorizarem as respostas, ignorando a importância de ensiná-las a como chegar a essas respostas. em primeiro lugar.

Se, por outro lado, você se refere à diferença entre soluções temporárias e princípios para resolver problemas, você pode muito bem não apenas melhorar o padrão de vida de alguém, mas dar isso pessoa as ferramentas para melhorar a si mesmo (ou a si mesma, naturalmente). Este é o tema central da maioria das minhas interações com outras pessoas quando discuto segurança de TI.

Em segurança de TI, mais do que em muitos outros campos de estudo e prática, é importante ser capaz de pensar por si mesmo, raciocinar através das implicações do que você está fazendo e empregar princípios fundamentais para chegar a conclusões sólidas. Em muitos campos de atuação, pouco mais é necessário para o sucesso do que memorizar algumas soluções formuladas por profundos pensadores do passado que foram os pioneiros no campo. A segurança de TI é um campo muito mais competitivo do que a maioria, no entanto, porque a principal preocupação do profissional de segurança de TI é alguém tentando contornar todos os seus esforços.

Como resultado disso estado de coisas, a capacidade de raciocinar com base em princípios é muito importante. A mera imitação robótica das “melhores práticas” não é suficiente para qualquer certeza de sucesso. É por isso que muitas das responsabilidades do profissional de segurança de TI não podem ser simplesmente automatizadas. A automação diminui a carga de trabalho, mas não pode eliminar totalmente a carga de trabalho de maneira eficaz, embora todo o campo de TI seja sobre automação.

É por isso que meus artigos aqui no blog TechRepublic IT Security geralmente se concentram em princípios em vez de receitas . As receitas de segurança também podem ser úteis, é claro – e não tenho nada contra fornecê-las, mesmo considerando sua utilidade necessariamente temporária -, mas a redação de segurança mais importante que posso fazer é abordar os princípios básicos. Isso se aplica a quais princípios eu conheço e como alguém pode e deve descobrir mais princípios por conta própria, até mesmo no que diz respeito a descobrir quaisquer falhas nos princípios que ofereço.

Em meu trabalho de consultoria, e, ao escrever a documentação, tento ensinar aos clientes e usuários finais do meu trabalho os princípios por trás do que foi feito. Simplesmente encorajar a memorização mecânica das etapas que devem ser executadas em curto prazo é equivalente a encorajar os sistemas de tecnologia da informação de alguém a falhar a longo prazo. O mesmo é verdadeiro para fornecer sistemas que tentam automatizar qualquer interação do usuário sem ensiná-lo sobre o que está acontecendo nos bastidores e por quê. Quando você não apenas falha em ensinar os princípios ao usuário final, mas também oculta ativamente os detalhes de como as coisas funcionam, você está configurando diretamente o usuário final para o fracasso – quer você pretenda esse resultado ou não.

Algumas pessoas sem escrúpulos consideram esse fracasso inevitável como segurança no emprego. Algumas pessoas ignorantes consideram isso uma estimativa imprecisa do estado da tecnologia da informação, acreditando que em algum lugar alguém pode realmente produzir um sistema que não requer um usuário experiente para garantir que não falhará espetacularmente. Embora o usuário não precise saber tudo sobre o sistema para garantir que ele continue a funcionar, ele precisa saber o suficiente para verificar se está funcionando bem e também precisa estar disposto e ser capaz de aprender mais sobre isso, conforme necessário, quando surgem problemas. A passividade, especialmente no domínio da segurança de TI, geralmente é uma receita para o fracasso.

Um aforismo relacionado àquele sobre ensinar um homem a pescar e, da mesma forma, aplicável a muito mais do que apenas segurança de TI, é aquele que inventei anos atrás e tenho usado quando relevante desde então:

A marca de um verdadeiro profissional é aquele que trabalha até o dia em que se torna obsoleto.

Se você é um consultor de segurança de TI e não está ajudando seus clientes a aprender como viver sem seus serviços, você está não está realmente fazendo seu trabalho. Lembre-se disso ao considerar a ética de suas decisões como profissional de TI.