Det finns ett gammalt ordspråk, vanligtvis tillskrivet Confucius, som går ungefär som ”Ge en man en fisk, och du kommer att mata honom en dag. Lär en man att fiska, och du har matat honom under en livstid. Det finns en viktig livslektion i det enkla uttalandet. Vissa människor översätter det konceptuellt till något som ”Utbildning är det viktigaste du kan ge någon för att förbättra sina omständigheter.” Jag är inte säker på att det verkligen kommer till kärnan i saken, eller alltid är korrekt för den delen – även om det förmodligen är tillräckligt nära för regeringens arbete.

Den översättning jag gillar är ungefär som detta:

Ge en man svaret, och han har bara en tillfällig lösning. Lär honom principerna som ledde dig till det svaret, och han kommer att kunna skapa sina egna lösningar i framtiden.

Det är naturligtvis betydligt mindre iögonfallande, men jag tror att det blir mycket bättre än mässing. begränsa betydelsen av aforismen till traditionell välgörenhet. Om du går med utbildningsöversättningen, pratar du ingenting annat än hur man kan höja levnadsstandarden i tredje världsländer, vilket är viktigt men knappast det enda livsproblemet. Faktum är att citatet om utbildning inte ens använder uttalandet fullt ut inom utbildningssammanhanget, eftersom formell utbildning alltför ofta består av inget annat än att få barnen att memorera svar och ignorera vikten av att lära dem hur man kommer till dessa svar För det första.

Om du å andra sidan hänvisar till skillnaden mellan tillfälliga lösningar och principer för att lösa problem kan du mycket väl inte bara förbättra någons levnadsstandard utan också ge det personliga verktygen för att förbättra sig själv (eller sig själv, naturligtvis). Detta är ett centralt tema för de flesta av mina interaktioner med andra när jag diskuterar IT-säkerhet.

Inom IT-säkerhet, mer än i många andra områden för studier och övning är det viktigt att kunna tänka själv, resonera genom konsekvenserna av vad du gör och använda grundläggande principer för att komma till sunda slutsatser. Inom många ansträngningsområden krävs lite mer för att lyckas än att memorera några formellösningar som utvecklats av djuptänkare från det förflutna som var banbrytande inom området. IT-säkerhet är ett mycket mer konkurrenskraftigt område än de flesta, eftersom IT-säkerhetspersonalens främsta intresse är någon som försöker kringgå alla sina ansträngningar.

Som ett resultat av detta ärende, är förmågan att resonera från principer mycket viktig. Enbart robotimitation av ”bästa praxis” räcker inte för att säkerställa framgång. Det är därför många av IT-säkerhetspersonalens ansvarsområden inte bara kan automatiseras bort. Automation minskar arbetsbelastningen, men det kan inte effektivt eliminera arbetsbelastningen helt, även om hela IT-fältet handlar om automatisering.

Det är därför mina artiklar här i TechRepublic IT-säkerhetswebbloggen ofta fokuserar på principer snarare än recept . Säkerhetsrecept kan naturligtvis också vara användbara – och jag har ingenting emot att ge dem, även med tanke på deras nödvändiga tillfälliga användbarhet – men det viktigaste säkerhetsskrivandet jag kan göra är att ta itu med grundläggande principer. Detta gäller både vilka principer jag känner till och hur man kan och bör gå för att upptäcka fler principer på egen hand, även så långt som att upptäcka brister i de principer jag erbjuder.

I mitt konsultarbete, och när jag skriver dokumentation, försöker jag lära klienterna och slutanvändarna av mitt arbete principerna bakom det som har gjorts. Att helt enkelt uppmuntra till att memorera de steg som man bör ta på kort sikt är lika med att uppmuntra någons IT-system att misslyckas i längden. Detsamma gäller för att tillhandahålla system som försöker automatisera all användarinteraktion utan att lära användaren om vad som händer bakom kulisserna och varför. När du inte bara misslyckas med att lära ut principerna för slutanvändaren, utan aktivt döljer detaljerna om hur saker fungerar, ställer du mycket direkt in slutanvändaren för misslyckande – oavsett om du tänker resultatet eller inte.

Vissa skrupelfria människor ser ett sådant oundvikligt misslyckande som arbetssäkerhet. Vissa okunniga människor ser det som en felaktig uppskattning av tillståndet för informationsteknik, och tror att någonstans där ute faktiskt kan producera ett system som inte kräver en kunnig användare för att säkerställa att det inte kommer att misslyckas spektakulärt. Även om användaren inte behöver veta allt om systemet för att säkerställa att det fortsätter att fungera, behöver han eller hon veta tillräckligt för att kunna kontrollera hur bra det fungerar, och måste också vara villig och kunna lära sig mer om det vid behov när problem uppstår. Passivitet, särskilt inom IT-säkerhet, är vanligtvis ett recept för misslyckande.

En aforism som är relaterad till den om att lära en man att fiska, och på samma sätt kan tillämpas på mycket mer än bara IT-säkerhet, är en som jag gjorde upp för många år sedan och har använt när det är relevant sedan dess:

Kännetecknet för en sann professionell är en som arbetar mot den dag han eller hon är föråldrad. inte riktigt gör ditt jobb. Tänk på det när du betraktar de etiska besluten som IT-proffs.