Există o veche vorbă, de obicei atribuită lui Confucius, care spune ceva de genul „Dă unui om un pește și îl vei hrăni pentru o zi. om de pescuit și tu l-ai „hrănit o viață întreagă.” Există o lecție importantă de viață în acea afirmație simplă. Unii oameni îl traduc conceptual în ceva de genul „Educația este cel mai important lucru pe care îl puteți oferi cuiva pentru a-și îmbunătăți situația”. Nu sunt sigur că intră cu adevărat în centrul problemei, sau sunt întotdeauna corecte pentru această problemă – deși este probabil suficient de aproape pentru lucrările guvernamentale.

Traducerea care îmi place merge ceva de genul acesta:

Dă răspunsul unui bărbat și va avea doar o soluție temporară. Învățați-l principiile care v-au condus la acest răspuns și el va fi capabil să-și creeze propriile soluții în viitor.

Este considerabil mai puțin atrăgător, desigur, dar cred că se reduce foarte bine limitând semnificația aforismului la caritatea tradițională. Dacă mergeți cu traducerea educațională, nu vorbiți decât despre cum să ridicați nivelul de trai din țările lumii a treia, ceea ce este important, dar cu greu singura problemă universală a vieții. De fapt, citatul despre educație nici măcar nu folosește pe deplin afirmația în contextul educației, deoarece educația formală nu constă prea des în a face copiii să memoreze răspunsurile, ignorând importanța învățării lor cum să ajungă la aceste răspunsuri în primul rând.

Dacă, pe de altă parte, vă referiți la diferența dintre soluțiile temporare și principiile de rezolvare a problemelor, este posibil să nu numai că veți îmbunătăți nivelul de trai al cuiva, dar îl veți da persoană instrumentele pentru a se îmbunătăți pe sine (sau pe sine, în mod natural). Aceasta este o temă centrală a majorității interacțiunilor mele cu alții când discut despre securitatea IT.

În securitatea IT, mai mult decât în multe alte domenii de studiu și practică, este important să poți gândi singur, să raționezi prin implicațiile a ceea ce faci și să folosești principii fundamentale pentru a ajunge la concluzii solide. În multe domenii de eforturi, este nevoie de puțin mai mult pentru succes decât memorarea unor soluții formulate dezvoltate de gânditori adânci din trecut care au fost pionieri în domeniu. Securitatea IT este un domeniu mult mai competitiv decât majoritatea, totuși, deoarece preocuparea principală a profesionistului în securitate IT este cineva care încearcă să-și ocolească toate eforturile.

Ca urmare a acestui fapt starea de fapt, abilitatea de a raționa din principii este foarte importantă. Simpla imitare robotică a „celor mai bune practici” nu este suficientă pentru certitudinea succesului. Acesta este motivul pentru care multe dintre responsabilitățile profesionistului în securitate IT nu pot fi pur și simplu automatizate. Automatizarea scade volumul de lucru, dar nu poate elimina în mod eficient volumul de lucru în întregime, chiar dacă întregul domeniu IT este despre automatizare.

Acesta este motivul pentru care articolele mele aici în blogul TechRepublic IT Security se concentrează adesea pe principii și nu pe rețete. . Rețetele de securitate pot fi utile, de asemenea, desigur – și nu am nimic împotriva împotrivirii lor, chiar și având în vedere utilitatea lor neapărat temporară – dar cel mai important lucru de securitate pe care îl pot face este să abordez principiile de bază. Acest lucru se aplică atât principiilor pe care le cunosc, cât și modului în care se poate și ar trebui să se descopere mai multe principii pe cont propriu, chiar și în ceea ce privește descoperirea oricăror defecte din principiile pe care le ofer.

În activitatea mea de consultanță, iar atunci când scriu documentația, încerc să învăț clienții și utilizatorii finali ai activității mele principiile din spatele a ceea ce s-a făcut. Simpla încurajare a memorării memorabile a pașilor pe care ar trebui să îi faceți pe termen scurt echivalează cu încurajarea eșecului sistemelor tehnologice ale informației. pe termen lung. Același lucru este valabil și pentru furnizarea de sisteme care încearcă să automatizeze orice interacțiune a utilizatorului fără a-l învăța pe acesta despre ce se întâmplă în culise și de ce. Când nu numai că nu înveți principiile către utilizatorul final, dar ascunzi în mod activ detaliile despre modul în care funcționează lucrurile, îl configurezi foarte direct pe utilizator final pentru eșec – indiferent dacă intenționezi sau nu rezultatul.

nii oameni lipsiți de scrupule consideră un asemenea eșec inevitabil drept securitatea locului de muncă. Unii oameni ignoranți o consideră o estimare inexactă a stării tehnologiei informației, crezând că undeva acolo cineva poate produce de fapt un sistem care nu necesită un utilizator informat pentru a se asigura că nu va da greș spectaculos. Deși utilizatorul nu trebuie să știe totul despre sistem pentru a se asigura că acesta funcționează în continuare, el sau ea trebuie să știe suficient pentru a putea verifica cât de bine funcționează și, de asemenea, trebuie să fie dispus și capabil să învețe mai multe despre asta, după cum este necesar, atunci când apar probleme. Pasivitatea, în special în domeniul securității IT, este de obicei o rețetă pentru eșec.

Un aforism legat de cel despre învățarea unui om să pescuiască și aplicabil în mod similar mult mai mult decât securitatea IT, este unul pe care l-am inventat cu ani în urmă și l-am folosit atunci când este relevant de atunci:

Semnul unui profesionist adevărat este cel care lucrează în ziua în care acesta sau ea este învechit.

Dacă sunteți consultant în securitate IT și nu vă ajutați clienții să învețe cum să se înțeleagă fără serviciile dvs., sunteți nu prea îți faci treaba. Rețineți acest lucru atunci când considerați etica deciziilor dvs. ca profesionist în IT.