De cijfers spreken boekdelen. Volgens de recentste 'Cybersecurity workforce study' van security-expertenorganisatie (ISC)2 tellen de cyberexperten wereldwijd een 24 procent vrouwen in hun rangen. Maar dat is wel na het begrip 'cybersecurity-expert' te hebben uitgebreid tot een 'persoon die minstens 25% van zijn werktijd aan security besteedt'.

Voorgaande edities klonken nog somberder, met slechts 11% vrouwen (ed. 2017) in de groep cybersecurityspecialisten. In Europa was dat slechts 7%. Hoewel ze vaak een hoger niveau van diploma hebben dan mannen (51% met een 'master' tegen 45%) blijken vrouwen vier keer minder vaak een C-functie te bekleden, en zelfs negen keer minder vaak een managementfunctie. Bovendien bleek 51% een vorm van discriminatie te hebben ervaren, en 'natuurlijk' verdienen vrouwelijke cybersecurityspecialisten minder dan mannen in gelijke jobs. Kortom, cybersecurity lijkt vrouwen nog minder welkom te heten dan de bredere ICT-wereld.

Meer security door meer vrouwen

Met die vrouwonvriendelijkheid schiet de cybersecuritywereld wel zichzelf in de voet, stelt Jane Frankland met klem. Het Next event van Kaspersly Lab bood haar een forum waarin ze onderbouwde waarom het gebrek aan vrouwen in cybersecurity de wereld voor iedereen minder veilig maakt.

Het probleem in cybersecurity kan wat worden omschreven als 'een stroper maakt een goede boswachter'. U moet kunnen denken als een hacker om hem te kunnen verslaan, door middelen goed in te zetten op de punten waar u zijn aanvallen het best kan dwarszitten. Dat leidt tot gesofisticeerde cyberverdedigingen in de diepte, met een rist technologievoorzieningen die zowel inbraak als het buitensmokkelen van gegevens moeten voorkomen. Cybersecurityspecialisten hebben dan ook niet zelden een ingesteldheid die niet zo veel verschilt van ordehandhavers of militairen.

Het probleem is evenwel dat de menselijke factor nog vaak wordt ondergewaardeerd, in vergelijking met technologie. Om mensen tot een veiliger (of minder risicovol) gedrag aan te zetten, heb je mensen nodig die weten hoe dat aan te pakken. En dan zijn de klassieke cyberspecialisten niet zelden minder succesvol. Frankland wijst op de nood om hiervoor personen aan te trekken met andere expertises, die vaak meer 'soft' of 'holistisch' zijn. Precies op deze punten scoren vrouwen vaak beter dan mannen, zoals vaak blijkt uit vergelijkende studies. Ja, vrouwen scoren vaak hoger voor emotionele en sociale 'intelligence', en ja, vrouwen blijken vaak rustiger en beheerster tijdens incidenten. Het gedrag van vrouwen houdt bovendien vaak meer rekening met de regels en is minder risicovol (dan dat van mannen). Door cybersecurity teams 'diverser' te maken, met meer vrouwen, verrijkt men de aanpak van bedrijven om naast de verdediging ook de preventie van securityproblemen te versterken. Vrouwen in cybersecurity zetten deze stap vaak ook vanuit een grotere variëteit aan achtergronden. De (ISC)2 studie constateerde dat 31% van de vrouwen een diploma computerwetenschappen had, naast 16 procent bedrijfswetenschappen en 13% 'engineering'. Maar daarnaast kwamen heel wat vrouwen uit richtingen als sociale en menswetenschappen, wiskunde, biologie, psychologie en pedagogie, communicatiewetenschappen, gezondheidszorg en nog meer.

Cultuurverandering

Cruciaal evenwel is dat bedrijven, en in het bijzonder de hoogste bedrijfsleiding en de HR-afdelingen, een cultuuromslag moeten maken. Ze moeten (pro)actief open staan om vrouwen - zowel met een specifieke cybersecurity-achtergrond, als andere opleidingen - echt te zoeken en een plaats te bieden. Met een carrière-ondersteuning, een mentorbegeleiding en opleidingen, zoals ze dat ook voor de mannelijke collega's doen. Niet kunnen bedrijven zo 'vissen' in een grotere vijver, maar zal door de diversiteit ook hun cybersecurity aan slagkracht winnen.

Tekort aan cybersecurity experten groeit nog

De jaarlijkse 'Cybersecurity workforce study' van security-expertenorganisatie (ISC)2 schildert eind 2018 een weinig rooskleurig beeld. Wereldwijd bedraagt het tekort aan cybersecurityspecialisten zo'n 2,93 miljoen personen, waarvan ongeveer 142.000 in EMEA. Dat is stevig, maar evenwel niet zo rampzalig als in Azië, waar 2,14 miljoen (!) experten ontbreken.

Wereldwijd stelt 63% van de respondenten dat hun organisatie een gebrek aan security- experten ervaart in hun ICT-afdeling, met navenante gevolgen. Niet minder dan 60% ziet zijn organisatie hierdoor middelmatig tot ernstig kwetsbaar voor cyberaanvallen. Ongeveer de helft hoopt wel in het komende jaar hun cybersecuritypersoneel uit te breiden. Interessant is dat daarbij het vaakst wordt gekeken naar ervaring (belangrijke kwalificatie volgens 49% van de respondenten), terwijl specifieke cybersecuritydiploma's onderaan de lijst staan (belangrijk volgens ca. 20%). Zo scoren 'niet technische/soft skills' en 'kennis van wetten en reglementen' nog hoger (respectievelijk 39 en 37%).

Voorts rapporteren slechts 23% van de cyberexperten aan specifieke security- verantwoordelijken, naast ca. 65% die aan het C-niveau of ICT-managers (zonder specifieke cybersecurityfocus) rapporteren.

Volgens de experten moet prioriteit worden gegeven aan security analyse, risico-analyse en -beheer, en 'threat intelligence analysis' (studie van concrete dreigingen), terwijl ook meer aandacht moet worden besteed aan het ontdekken van 'inbraken' en het uitvoeren van indringerstesten ('penetration testing').