Blog - Hoe je alles kunt leren met Ted Nelson’s tips

Ted Nelson publiceerde Computer Lib / Dream Machines in 1974. Zijn bijzondere boek [1] heeft twee titels en voorkanten. De helft van de tekst is ondersteboven afgedrukt. Nelson had toen al aandacht voor computer liberation en bescherming van het publiek tegen het nietsontziend toepassen van algoritmes en andere uitwassen van de informatiemaatschappij. Ook beschreef hij zijn dromen over een ideale kenniswereld: Xanadu.

Nelson bedacht onder andere dat je in een tekst een woord moest kunnen aanwijzen zodat je meer informatie over dat onderwerp kon lezen. En dan opnieuw over een woord op die detailpagina, enzovoort. Hij noemde dat ‘hyperlinks’ en liep daarmee ver vooruit op het world wide web en internet. In een tijd dat ‘klikken’ in Nederland nog ‘iemand bij de leraar verraden’ betekende, want ook de computermuis was nog niet uitgevonden. Zijn boek [2] behandelt allerlei aspecten van IT- ook het beschermen van informatierechten van individuen - en was zo een zeer vroege voorbode van de Algemene Verordening Gegevensbescherming (AVG).

Computer Lib / Dream Machines is ingewikkeld om te lezen. Je gaat het pas zien als je alles hebt doorgelezen (geïnspireerd op: Johan Cruyff), door de vele onderlinge verbanden. Zo is het wat mij betreft ook in het security werkveld. Je moet als security professional een brede en diepe kennis hebben van onderwerpen als IT, development, psychologie, economie en recht. Ook moet je de vele soms onverwachte, onderlinge verbanden zien om goed je werk te kunnen doen.

Als informatie op het gewenste moment beschikbaar moet zijn, dient een systeem, release of scrum-deliverable op tijd geleverd te worden. Om integriteit van gegevens te beschermen, moet je fraudemogelijkheden zo veel mogelijk beperken. Onvoorzichtige insiders kunnen de vertrouwelijkheid van (test)data schaden. Daarom heb ik zelf in het security werkveld bij het bewaken van beschikbaarheid, integriteit en vertrouwelijkheid veel nut van onderstaande security weetjes:

• IT-systeem bestaat uit software en hardware en beide zaken kunnen fouten of ‘glitches’ vertonen: juist als het niet uitkomt.
• Om op tijd een werkend IT-systeem te verkrijgen, moet je ontwerpen, bouwen (programmeren), testen, repareren, uitrollen, uitleggen en onderhouden. Activiteiten die liefst door verschillende specialisten worden uitgevoerd, het zogenoemde ‘sa-men-wer-ken’; een nieuw werkconcept, waar ik veel van verwacht.
• Negen vrouwen kunnen niet in één maand een zwangerschap volbrengen. In software-development bestaat ook geen manmaand: als één persoon in drie maanden een systeem bouwt, kunnen zes personen dat samen niet in een halve maand. Meer personeel op een vertraagd project inzetten, laat het nog verder uitlopen.
• Een incrementele back-up maak je veel sneller dan dagelijks een full back-up. Maar bij de ‘restore’ lever je veel van die tijdwinst weer in. ‘Was dit nu het 15e of 17e increment?’ – want ze moeten in de juiste volgorde worden teruggezet.
• Testen uitstellen tot laatste maand, week, dag of middag van de geplande projectduur verlaagt inderdaad het aantal issues tijdens het project. Maar het maakt daarna de testers heel impopulair binnen afdelingen die de onderzochte producten (of services) hebben gemaakt. Ruzies ontstaan dan over ‘waarom kom je daar nu pas mee?’ in plaats van een dialoog te voeren over de issue-oorzaken.
• Tijdens het testen moet je niet alleen vaststellen dat alle levensmiddelen van het vooraf opgestelde boodschappenlijstje zijn geleverd. Je moet op dat lijstje ook een riskante combinatie van alcohol en zwangerschapstest opmerken. En ontdekken dat een emballagebon met barcode voor 9,75 euro op dezelfde dag meerdere keren kan worden ingeleverd. Dus: je moet ook vaststellen dat de software niet doet, wat ook niet de bedoeling is.
• Een directeur die hiërarchie sterk benadrukt en regeert via een angstcultuur, met SMS-opdrachten (zonder alsjeblieft) ook ‘s avonds en vanaf zijn vakantieadres, schept een ideale omgeving om zijn organisatie slachtoffer te laten worden van ‘Business Email Compromise’.
• In de speciale bestelapp voor verjaardaggebak op kantoor (‘zo leuk joh, was in twee dagen klaar!’) verlaag je door het bestellen van min 4 chocoladebollen van 2,85 euro elk, het totaal te betalen bedrag voor 12 appelgebak met 4 x 2,85 = 11,40 euro; dit omdat in die twee dagen niemand in het voor de app verantwoordelijke scrumteam dacht aan inputvalidatie en checken van grenswaarden.
• Ook als het gaat om security awareness vang je meer vliegen met stroop dan met azijn. Toch moet je tegen bepaalde overtredingen van de computer gedragscode hard optreden: zoals iemand die de complete productiedatabase kopieert naar zijn externe harde schijf, om er ‘thuis mee te kunnen testen’.
• Een collega die zelf meldt op een link in een phishing mail te hebben geklikt, kun je beter een bos bloemen dan een uitbrander geven. Zeker als het ‘en public’ gebeurt.

Er is natuurlijk nog veel meer nuttigs om te weten over security. Hoe kun je al die ingewikkelde, samenhangende security kennis het best verzamelen? Ik ben blij met je vraag, want veel mensen durven geen vragen te stellen omdat ze bang zijn dom over te komen. Maar het stomme is om géén vragen te stellen. Als ik mijn eigen opleidingsinstituut begin, wordt mijn enige cursus: How to learn anything.

Volgens Ted Nelson zijn dit de technieken die slimme mensen gebruiken als ze iets willen leren zonder er cursussen in te volgen. Het is hoe promovendi een tweede veld (in het boek voor Nelson een ‘werkveld of kennisgebied’) oppikken, het is de manier waarop goede journalisten en 'genieën' werken; het brengt je het algemene begrip van een veld dat kinderen van vooraanstaande mensen in dat veld krijgen als een geboorterecht. Het is de manier waarop iedereen iets kan leren, als hij tenminste het lef
heeft.

1. Bepaal wat je wilt leren. Maar je kunt dat vooraf natuurlijk niet precies weten, want je weet niet hoe een veld is gestructureerd totdat je er überhaupt iets van weet.
2. Lees alles wat je erover kunt vinden en vooral wat je leuk vindt. Want zo kun je er meer over leren, en sneller.
3. Grijp naar inzichten. Ongeacht de punten die anderen naar voren proberen te brengen, wanneer je een inzicht herkent dat betekenis voor jou heeft, maak het dan je eigen inzicht. Het kan te maken hebben met de vorm van moleculen, de modus operandi van een geslaagde hack, de persoonlijkheid van een specifieke keizer (of je IT-directeur), of eigenaardigheden van een grote man (Bruce Schneier) in het veld. Het belang ervan is niet hoe centraal het staat, maar hoe duidelijk, interessant en gedenkwaardig het is voor jou. Onthoud het. En ga dan op zoek naar een ander inzicht.
4. Koppel inzichten aan elkaar. Snel heb je dan je eigen reeks inzichten in een veld, zoals de lichtketting rond een kerstboom.
5. Concentreer je op tijdschriften, niet op boeken. Tijdschriften hebben veel meer inzichten per centimeter tekst, zijn actueler en kunnen veel sneller worden gelezen. Maar als een boek je echt aanspreekt, schenk er dan overvloedige aandacht aan. En schrijf bijvoorbeeld een boekbespreking voor je vakgenoten in je favoriete vakblad.
6. Zoek je eigen speciale onderwerpen en volg die. Hongaarse APT’s. Redenen om toch niet meteen te patchen. Hint: vaak is dit een nieuw onderwerp in het veld.
7. Ga naar conventies. Om een of andere reden zijn conventies een geweldige, geconcentreerde manier om dingen te leren; praten met mensen helpt. Denk niet dat je een speciaal iemand moet zijn om naar een (security) conventie of seminar te gaan; betaal gewoon en ga er heen. Maar je moet wel een ‘titel’ hebben voor op je badge! Jezelf ‘Consultant’ noemen, past altijd, maar ook ‘Student’ is volkomen eervol, zeker aan het begin van je ‘studiereis’.
8. Vind je man/vrouw. Ergens op de wereld (niet per se: in jouw huis, straat of land) is iemand die jouw vragen buitengewoon goed zal beantwoorden. Als je hem/haar vindt, achtervolg hem/haar dan. Misschien is het een conciërge of een tiener; maakt niet uit. Volg hem/haar met je bedelnap als hij/zij dat wil, of neem hem/haar mee naar dure restaurants, of wat dan ook. Voor wat, hoort wat.
9. Blijf je vragen verbeteren. Waarschijnlijk heb je vragen in je hoofd, die niet lijken te passen bij wat je hoort. Ga er niet vanuit dat je het niet begrijpt; blijf je vragen aanpassen tot je een antwoord kunt krijgen dat past bij wat je zocht (jouw veld of speciale onderwerp).
10. Je veld is begrensd waar jij het wilt hebben. Alleen omdat andere mensen dingen op conventionele manieren groeperen en stereotyperen, wil nog niet zeggen dat ze noodzakelijkerwijs gelijk hebben. Intellectuele onderwerpen zijn op alle mogelijke manieren met elkaar verbonden; jouw veld is wat jij denkt dat het is. Ted Nelson benadrukt hier: ‘Nogmaals, dit is één van de dingen waardoor je in de problemen komt als je zo probeert een diploma te behalen’.

Kun je zo alles leren? Hartchirurgie, sleepbootkapitein, zonnepanelen leggen? Nee, er zijn beperkingen. Deze 10 tips geven je geen laboratoriumervaring en je zult voortdurend hiaten moeten inhalen. Ted Nelson zegt hierover: ‘Maar voor alertheid en het vermogen om zijn geest te gebruiken, geef me de man die op deze manier heeft geleerd, in plaats van met oogkleppen op te zijn doodgegooid met clichés binnen het onderwijssysteem.’ En daar ben ik het geheel mee eens.

Referenties
[1] Meer info op: https://en.wikipedia.org/wiki/Computer_Lib/Dream_Machines
[2] http://worrydream.com/refs/Nelson-ComputerLibDreamMachines1975.pdf

Robert Metsemakers
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB5-2023.