Balanceando el campo de batalla de la seguridad cibernética

La historia muestra que las mujeres dan un valor diferente al entorno de trabajo y mejoran la efectividad operacional total y los resultados financieros. En las métricas financieras claves, las compañías con mujeres en su Junta de Directores (BoDs) superan el rendimiento de aquellas sin mujeres.¹ Investigaciones recientes reportan que si las mujeres tuvieran paridad económica con los hombres en el lugar de trabajo, el producto interno bruto (GDP) podría aumentar en US$ 12 trillones de dólares para el 2025.² Cuando las mujeres están en posiciones de liderazgo en cantidades significativas, “la línea base mejora – desde el éxito financiero hasta la calidad y ámbito de la toma de decisiones.”³

Los grupos son colectivamente más inteligentes que los individuos—y la inteligencia colectiva aumenta según aumenta el porcentaje de mujeres en el grupo, como se aprendió cuando las mujeres comenzaron a enlistarse en el ejército de EEUU.⁴ Los militares observaron que “las mujeres proveen una contribución vital para el pensamiento crítico y creativo y la toma de decisiones en el aparato de seguridad nacional”⁵ y esta capacidad está faltando en muchas unidades militares donde actualmente no hay mujeres.

Hoy, la industria de la ciberseguridad está pidiendo mujeres expertas, dolorosamente consciente del que sólo el 11 por ciento de los profesionales de seguridad de la información son mujeres, con cerca de un 56 por ciento de estas mujeres dejando este sector a mitad de carrera.⁶ Las mujeres traen valor específico al campo de la seguridad cibernética. Siendo la mitad de la sociedad consumidora de tecnología mujeres, una fuerte representación de las mujeres como practicantes de la seguridad traería nuevos y más profundos accesos hacia las vulnerabilidades sociales, sicológicas, emocionales, técnicas y físicas, que los atacantes están aprovechando hoy.

La ciber seguridad, en esencia, se trata de proteger la información y sistemas contra ataques cibernéticos, terrorismo cibernético y guerra cibernética.⁷ En tiempos de guerra, los gobiernos utilizan la totalidad de su población para superar a sus enemigos, frecuentemente trayendo millones de mujeres para ocupar roles previamente asumidos por hombres.⁸ Excluyendo a las mujeres en seguridad cibernética, donde hay una severa escasez de habilidades, es como excluir a un batallón en la guerra. Se requiere de todos los recursos para ganar una guerra.⁹ La seguridad cibernética es un ambiente que consiste en anticiparse al adversario, protegiendo activos más rápido que los vectores de amenazas que los puedan explotar, yendo un paso más adelante que los atacantes y aplicando contra inteligencia. La seguridad cibernética es un campo de batalla de tipos. En la guerra, todo lo que un país posee es un activo y es usado en su propio favor, incluyendo la diversidad de inteligencia, habilidades y estrategia. Las mujeres son capaces de alcanzar los mismos resultados que sus contrapartes masculinas si tienen los mismos derechos, privilegios y posibilidades.¹⁰

Las mujeres deben ser vistas como contribuidores críticos a la industria de la seguridad cibernética. La seguridad cibernética se apalanca en los tres pilares las personas, procesos y tecnología, todos los cuales pueden ser explotados por atacantes. Las personas pueden ser hackeadas más fácilmente que la tecnología. Las personas que piensan diferente por su género, cultura o entrenamiento, atacan y se defienden de manera diferente y aportan valor único a los equipos de seguridad cibernética. Algunas naciones-estado que han ganado reputación como semilleros para hackers no están buscando las últimas credenciales de seguridad, el grado académico con mayor reputación o una licenciatura profesional para ejercer en este campo. Estas naciones-estado están dispuestas a reclutar y a cruzar la línea del tren por el trabajo. La contra respuesta necesita ser tan flexible, diversa y prolífica como ellas. Las habilidades no tradicionales son importantes para la industria de seguridad cibernética. Por ejemplo, un cientista político puede tener acceso a la agenda y estrategias de nacionesestado que pueden ser aumentadas para entender el motivo y los medios para un ataque. De modo similar, un sicólogo puede ofrecer inteligencia contra amenazas basada en el comportamiento y análisis humano. En seguridad cibernética, la diversidad trae valor y expande la fortaleza del equipo.

Las mujeres pueden enfrentar numerosas barreras para entrar en la arena de la seguridad cibernética. Las oportunidades en la industria de la seguridad que son comúnmente denegadas a las mujeres incluyen:

• Inclusión en la comunidad de la seguridad cibernética
• Igualdad de oportunidades para entrenamiento y desarrollo de habilidades
• Peer acceptance
• Aceptación como líderes
• Aceptación como ingenieros y expertos técnicos
• Oportunidades de avance de carrera en la industria de seguridad

La comunidad actual de profesionales de seguridad cibernética es una comunidad predominantemente masculina y bien establecida.¹¹ Requiere un gran esfuerzo, coraje y fortaleza mental para los nuevos integrantes, especialmente mujeres, para penetrar estas redes. Ellas enfrentan una inclusión dubitativa a medida que se esfuerzan por la aceptación de la comunidad y tienen la esperanza de, en algún punto, su carrera de seguridad florezca. Ellas buscan iguales oportunidades de participación, aceptación e integración. Esto se refleja en el pobre 10 por ciento de roles de liderazgo en seguridad de la información ocupados por mujeres hoy.¹² La seguridad cibernética es única porque es una comunidad de secretos, conocimiento secreto, información clasificada, asociación con comunidades oscuras de hackers, círculos de confianza y otros recursos secretos. Las organizaciones de inteligencia en seguridad alrededor del mundo destacan el secretismo como su principal fortaleza. Un secreto, por definición, es la exclusión de otros en la compartición de información. La exclusión en la comunidad de ciberseguridad puede ocurrirle a cualquiera que no encaje con el típico perfil, incluyendo a las mujeres.¹³ Las autorizaciones gubernamentales de seguridad hacen poco por ayudar a las mujeres a avanzar hacia círculos profesionales de seguridad de la información, incluso trabajando en torno a comunidades de seguridad en organizaciones de seguridad. Esta falta de avance resulta en un mayor porcentaje de mujeres siendo relegadas a funciones esenciales, pero auxiliares, relacionadas con la seguridad, como administración, proyectos o gestión de programas, desarrollo de negocios y marketing o comunicaciones. Porque las mujeres a menudo trabajan en estos roles, algunas puede que nunca logren penetrar a roles del núcleo de la seguridad.¹⁴ A medida que el avance y participación en la carrera se torna un desafío, las mujeres insatisfechas tienden a abandonar voluntariamente la seguridad cibernética a mitad de carrera a áreas donde la movilidad ascendente es más accesible.¹⁵

Los profesionales de la seguridad son rara vez los expertos más populares en una compañía, sin importar su género. La mayoría de los proyectos e iniciativas consideran los requerimientos de seguridad como impedimentos o esfuerzos dolorosos y necesarios. El conocimiento profesional de seguridad, opiniones y requerimientos presupuestarios invariablemente experimentan respuestas de escrutinio agresivo y alborotos rigurosos, a menudo de parte de profesionales ajenos a la seguridad.¹⁶ Las mujeres tienen una tendencia a compensar en exceso el hecho de estar en un campo dominado por los hombres, un fenómeno conocido como el efecto Madame Curie, implicando que las mujeres creen que deben ser más calificadas y desarrollar habilidades excepcionales para competir con hombres en ciencias dominadas por hombres”.¹⁷ Esta tendencia, combinada con las barreras antes mencionadas, es especialmente agotador y tiene un efecto en las mujeres que están desarrollando nuevas habilidades y trabajando su desarrollo de carrera en seguridad cibernética.

Cuando los eventos sociales relacionados con el trabajo son eventos dominados por hombres, pese a las mejores intenciones, las mujeres pueden continuar sintiéndose marginadas y luchando por unirse con sus colegas en seguridad cibernética. Estas situaciones pueden aislar y alejar a un profesional femenino en seguridad cibernética que no tiene intereses masculinos estereotipados.

Aparte de los requerimientos más básicos de equidad en la paga y de balance entre vida personal y trabajo, hay una gran cantidad de cosas que se pueden hacer para apoyar, fomentar y retener a las mujeres en seguridad cibernética. Los siguientes esfuerzos pueden ayudar a impulsar a las mujeres a participar en la seguridad cibernética y avanzar hacia posiciones de liderazgo:

• Invitaciones y bienvenidas a mujeres como profesionales y aliados en el campo
• Compartición abierta de información
• Entrenamiento
• Acompañamiento de carrera
• Apoyo
• Respeto a las diferencias de opinión basadas en un trasfondo profesional
• Asociación con mentores

Los siguientes pasos pueden ayudar para incorporar de mejor forma a las mujeres en la fuerza de trabajo de seguridad cibernética:

• Hacer esfuerzos claros por disminuir el estereotipo de dominio masculino de la industria de seguridad cibernética. Ambos, hombres y mujeres son necesarios para ganar la batalla en seguridad cibernética. La imagen de los profesionales de seguridad cibernética es predominantemente masculina en los medios. Revisar esa imagen ampliamente difundida de polerones con capucha, golpes de teclado, ninjas acróbatas masculinos a una de etiqueta de negocios profesionales, elegancia y estándares. Asegurar un clima de trabajo profesional similar donde las mujeres puedan destacar en eventos sociales de carácter laboral tanto como sus contrapartes masculinas.
• En el lugar de trabajo, acoger a las mujeres en la medida en que desarrollan conocimiento experto de la materia en roles claves de seguridad cibernética. Asegurar un espacio de respeto hacia todos los empleados, especialmente aquellos que no tienen una historia de trabajo con mujeres como pares y líderes.
• Animar a las mujeres tomando un interés activo en sus carreras en seguridad cibernética. Ofrecer igual acceso al entrenamiento y ayudar a eliminar barreras donde las mujeres deseen perseguir y mantener carreras en seguridad cibernética. Proveer acceso a redes profesionales y mentores. Desarrollar un programa para mujeres de emparejamiento de mentores específico por disciplina y ofrecer mentores establecidos en la industria por el tiempo que sea necesario este apoyo. Estar atentos al efecto Madame Curie y utilizar a los mentores como un canal para reducir esta tendencia. Animar a las mujeres, especialmente a las líderes en ingeniería y tecnología, para alimentar a nuevos entrantes en el dominio de la seguridad cibernética.
• Incentivar a las mujeres para alcanzar roles de liderazgo en seguridad cibernética y establecer caminos claros de promoción para empleadas. Las empresas pueden comenzar por mantener estadísticas transparentes en la distribución de géneros en seguridad cibernética, dándoles seguimiento y comparándolos contra referencias deseadas. Comunicar estas estadísticas en forma abierta, mientras se mide anualmente su progreso, aumenta la concientización de la brecha en la distribución de géneros y cataliza el deseo de remediación. Recompensar a las mujeres con incentivos financieros o incorporar el reconocimiento por tomar una carrera no tradicional en seguridad cibernética, y monitorear su progreso año tras año. Crear grupos de interés, redes y foros de seguridad cibernética a favor de las mujeres, para permitirles tener más fácil acceso a apoyo, guía e información. Establecer entrevistas de salida para mujeres que deciden dejar el campo para entender y abordar falencias identificadas. Abordar a los gerentes para atraer y retener empleadas.
• Administrar la cultura de inteligencia secreta y no divulgación que es requerida en la industria de seguridad con tanta apertura y transparencia como sea posible. Ayudar a prevenir el mal uso de sistemas de clasificación de información para prevenir la exclusión innecesaria de recién llegados al campo de seguridad cibernética. Crear un mecanismo que desafíe dicha exclusión y abiertamente discuta como prevenir esta exclusión. Promover la necesidad de entrenamiento en el lugar de trabajo para superar sesgos inconscientes en contra de las mujeres en esta industria.

Colectivamente, el objetivo de los profesionales de la seguridad cibernética es ganar la guerra contra sus atacantes en seguridad cibernética. Permitir que las mujeres entren en la arena y saber que la seguridad cibernética es su batalla, también. Las mujeres en el campo de batalla de la seguridad cibernética son un activo.

Agradecimientos

El autor quisiera agradecer a Tyson Macaulay, estratega en jefe de seguridad y vicepresidente de servicios de seguridad en Fortinet, por muchos años de enseñanza, guía y sabiduría compartida.

Nota del autor

Las opiniones expresadas en este artículo son del autor y no necesariamente las de su empleador.

Notas Finales

¹ International Labour Organization, “Women at Work: Trends 2016,” International Labour Office, Geneva, 2016, www.ilo.org/wcmsp5/groups/public/---dgreports/---dcomm/---publ/documents/publication/wcms_457317.pdf
² Woetzel, J.; A. Madgavkar; K. Ellingrud; E. Labaye; S. Devillard; E. Kutcher; J. Manyika; R. Dobbs; M. Krishnan; “The Power of Parity: How Advancing Women’s Equality Can Add $12 Trillion to Global Growth,” McKinsey Global Institute, McKinsey & Company, September 2015, www.mckinsey.com/global-themes/employment-and-growth/how-advancing-womens-equality-can-add-12-trillion-to-global-growth
³ Seliger, S.; S. L. Shames; The White House Project Report: Benchmarking Women’s Leadership, White House Project, USA, 2009
⁴ Haring, E. L.; “Women in Battle: What Women Bring to the Fight,” Parameters, vol. 43, iss. 2, 2013, p. 27
⁵ Ibid.
⁶ Frost & Sullivan, “Agents of Change: Women in the Information Security Profession, The (ISC)² Global Information Security Workforce Subreport,” www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/Women-in-the-Information-Security-Profession-GISWS-Subreport.pdf
⁷ Palo Alto Networks, Inc.; “What is Cyber Security,” 2016, www.paloaltonetworks.com/documentation/glossary/what-is-cyber-security
⁸ Kabanenko, I.; The Importance of Effective Utilization of Women at Arms, Naval Postgraduate School, USA, March 2015
⁹ Online Highways LLC, “Rosie the Riveter,” u-s-history.com, www.u-s-history.com/pages/h1656.html.
¹⁰ Rayman, N.; “Female Chess Legend: ‘We Are Capable of the Same Fight as Any Other Man’,” TIME, UK, 20 April 2015, http://time.com/3828676/chess-judit-polgar-nigel-short-sexism/
¹¹ Op cit, Frost & Sullivan
¹² Ibid.
¹³ D’Hondt, K; Women in Cybersecurity, Harvard Kennedy School, USA, 2016
¹⁴ Op cit, Frost & Sullivan
¹⁵ Morbin, T.; “RSA: Women Breaking the Glass Firewall,” SC Magazine UK, 21 April 2015, www.scmagazineuk.com/rsa-women-breaking-the-glass-firewall/article/410089/
¹⁶ Sethi, R.; “Managing Security Requirements in Agile Projects,” InfoQ, 4 June 2012, https://www.infoq.com/articles/managing-security-requirements-in-agile-projects
¹⁷ Natural Sciences and Engineering Research Council of Canada, “Women in Science and Engineering in Canada,” November 2010, http://publications.gc.ca/collections/collection_2012/rsgc-serc/NS3-46-2010-eng.pdf