Cómo fomentar que más mujeres lleguen al puesto de CISO
Cuatro mujeres exitosas en ciberseguridad comparten sus aprendizajes sobre cómo superar los prejuicios de género para llegar a la alta dirección.
La ciberseguridad ha sido un área dominada por los hombres y las razones detrás de esto incluyen un menor número de mujeres con carreras STEM y prejuicios, ya sean conscientes o no, a la hora de contratar y promocionar ascensos. No obstante, el número de mujeres que asumen el puesto de CISO está aumentando, y la versión australiana de este medio ha hablado con cuatro de ellas que comparten sus experiencias y consejos para llegar a esta posición.
En primer lugar, es importante evaluar primero el tamaño del reto. Se estima que las mujeres representan solo entre el 11 y el 24% de la profesión a nivel mundial, según el informe Women in Cyber Explorieng the Barriers, Redesigning the Profesion, de la Universidad de Quuensland (Australia).
Es un error pensar que solo se emplea a personas con formación técnica y habilidades en ciberseguridad, pero esto impacta directamente la competencia percibida y la contratación de las mujeres en la profesión. Sumado a esto, también existe una percepción equivocada de que las mujeres en seguridad son técnicamente inferiores. Cuando se trata de contratación, el sesgo inconsciente en el proceso de selección en una industria considerada dominada por los hombres significa que es menos probable que las mujeres sean contratadas, independientemente de su experiencia y calificaciones.
Según el estudio, en los lugares de trabajo funciona una mentalidad de “club de chicos” que se extiende a seminarios y retiros profesionales, e incluso es adoptada por algunas mujeres que se autoidentifican como técnicamente capacitadas, creando una distinción con otras que consideran no técnicas, aunque esto puede ser una estrategia de autoconservación en una industria tradicionalmente dominada por los hombres.
Derribando barreras
“Caí en la ciberseguridad”. Esta frase la dirán más mujeres que hombres cuando hablan de sus carreras. No sorprende dado su subrepresentación en las materias STEM en las carreras universitarias. “La proporción de mujeres en esos cursos es baja”, dice Kate Raulings, CISO de la Autoridad de Protección en Melbourne (Australia). Alimenta una de las principales barreras para que el talento femenino ingrese en este campo: priorizar a los candidatos con el título típico en ciencias de la computación y no darle más valor a otras cualificaciones, acreditación profesional y experiencia laboral. “No tengo experiencia en TI, y eso es común en muchas mujeres, y es uno de los desafíos para este tipo de rol”.
Exigir una licenciatura o un posgrado en informática puede generar un sesgo institucional. “Si estás solicitando una calificación que tiene un sesgo incorporado, esa es una de las barreras de entrada”.
Considerada como una profesión altamente técnica y especializada, dominada por los hombres, puede disuadir a las mujeres de ingresar a la ciberseguridad, especialmente aquellas con una función no técnica. “Es como si hablaran su propio idioma”, expresa Raulings, sobre la percepción de que el puesto solo es adecuadao para aquellos con una licenciatura o un posgrado en informática. “Trabajar en entornos altamente técnicos no me ha molestado, pero si no tienes esa experiencia, puede ser un desafío. Es más fácil despedir a la gente”.
Raulings cree que se debe valorar una gama más amplia de habilidades, incluidas las técnicas, de gobernanza, de riesgo y de comunicaciones, dado que es cada vez más importante que los CISO transmitan de manera efectiva información técnica a la gerencia y al personal. "Necesitamos promover caminos y conjuntos de habilidades alternativos, pero es uno de los desafíos que aún no hemos superado del todo", afirma.
Esta idea de que la ciberseguridad es una profesión puramente técnica ha llevado a una especie de “ceguera institucional”, donde los roles se han definido estereotipadamente, con un reconocimiento limitado de las diversas trayectorias profesionales. "La seguridad ha sido un mundo muy clandestino, pero a medida que más mujeres ingresan a este campo, se está abriendo y no es necesario solo tener experiencia en redes", explica Clea Ostendorf, CISO de campo en Code42. "A medida que se amplíe el alcance de la forma en que intentamos resolver los problemas, más mujeres y opiniones diversas serán bienvenidas".
Ella dice que contratar personas que tengan las habilidades necesarias es una forma de sortear este sesgo histórico incorporado y ampliar los tipos de personas que están calificadas para entrevistar y contratar. “Si necesita a alguien que haga investigaciones, busque a alguien que tenga curiosidad. Si estás creando un programa en torno a la educación y el aprendizaje de adultos, ¿por qué no recurrir a los educadores?”.
Replanteamiento de la división técnica y no técnica entre CISO
A menudo se hace una distinción entre mujeres CISO “técnicas” y “no técnicas”. Dependiendo de su origen, las mujeres pueden definirse como unas u otras. Sin embargo, podría perjudicarlos al disminuir la variedad de habilidades y experiencia que poseen en diferentes áreas. Las mujeres que no han seguido los caminos tradicionales han tenido que superar este sesgo, pero puede ser un estigma que persiste, derivado de la idea de que no están adecuadamente calificadas o que no tienen que demostrar su buena fe para el rol de CISO.
Se podría hacer una mejor demarcación, hay CISO más técnicos y otros más estratégicos, de riesgo y de gobernanza, algo en lo que las mujeres son muy buenas y debe ser valorado, según Olivia Rose, profesora de IANS Research, CISO y fundadora de Rose CISO. Grupo. Con más demandas sobre el rol del CISO, se necesita una mayor variedad de habilidades y experiencia más allá de lo puramente técnico. "Los CISO técnicos han aprendido que no siempre tienen esas habilidades para traducir conceptos técnicos en estrategia y presentarlas a la junta directiva, y necesitan aprender estas habilidades", indica.
Adherirse a una división entre lo técnico y lo no técnico también puede surgir del temor de que, si hay una infracción, se convierta en un problema. Un ejemplo de ello es el incidente de Equifax, donde se habló mucho del hecho de que la mujer CISO tenía antecedentes no tradicionales . "Se amplió y se convirtió en la historia, pero no tuvo nada que ver con eso. Si fuera un hombre, no hay manera de que hubiera sido visto como un problema".
El desafío de equilibrar la familia con el rol de CISO
El agotamiento de los CISO es real y, con presupuestos y personal limitados, no es más fácil. Las mujeres CISO que también son madres enfrentan el desafío adicional de compatibilizar la vida familiar con un rol a menudo muy estresante, exigente e incluso 24 horas al día, 7 días a la semana.
Cuando alguien asume el rol, lo hace conociendo las exigencias del trabajo. Aun así, es posible que las abrumadoras responsabilidades de un CISO no se alineen cómodamente con las responsabilidades de tener una familia. “Puedes contratar buenas personas que te den un tiempo libre por la noche, por ejemplo, o un centro de operaciones de seguridad que pueda responder a algunos eventos. Sin embargo, el problema surge cuando no se tienen los recursos o el presupuesto es limitado para costearlos”, asevera Rose.
A nivel práctico, los eventos de la industria que se programan por las mañanas, cuando se deja a los niños en la escuela, o después del trabajo, cuando es necesario recoger a los niños de la guardería, o después de la guardería y luego alimentarlos y cuidarlos por la noche, dificultan logísticamente el trabajo. madres para asistir. "Los papás también pueden ser padres, pero por regla general, las mujeres tienden a ser quienes tienen las tareas familiares o cuidan a los padres ancianos", dice.
Para hacerlo más fácil, los organizadores de eventos deben considerar el momento y si los tipos de eventos, como cenas con bebidas alcohólicas o experiencias extremas de vinculación de equipos, se adaptan cómodamente a los horarios e intereses de todos. Los organizadores a menudo le preguntan a Rose, que está relacionada con muchas mujeres en la profesión, sobre la falta de asistencia femenina. Les cuenta por qué al programar los eventos por la mañana o después del trabajo se pasa por alto que las madres trabajadoras tienen responsabilidades en el hogar. "Si eres una madre trabajadora, normalmente no puedes simplemente presentarte en un evento muy tarde", dice.
Rose pasó a la consultoría y fundó su propia práctica para crear un equilibrio que se adaptara mejor a su situación. “El CISO tiene la responsabilidad final. Puede ser un campo difícil, especialmente para las mujeres”.
Abordar los obstáculos a la participación de las mujeres
El sesgo inconsciente puede ser una de esas cosas que dificulta que las mujeres se conviertan en CISO porque puede afectar su competencia y promoción percibidas. Daniela Fernández, jefa de seguridad de la información de PayPal Australia, ha tomado el camino técnico y, como tal, no ha enfrentado desafíos en relación con el conocimiento y las calificaciones tecnológicas. Pero al avanzar en su carrera a través del liderazgo, ha enfrentado algunos prejuicios inconscientes debido a su “identidad como mujer latina y el hecho de que el inglés no es mi lengua materna".
Fernández ha tratado de aprovechar su perspectiva y experiencia únicas para impulsar su carrera. Ella alienta a otras mujeres a crear una red, abogar por la diversidad y la inclusión y, por su parte, ha trabajado para ser visible presentándose para que otras mujeres la vean, incluso si no le resulta familiar o le apetece correr un riesgo. “Hay una falta de representación, y la ausencia de mujeres que sean modelos a seguir hace que sea difícil, especialmente para las mujeres jóvenes, imaginarse a sí mismas teniendo éxito en el campo”, dice Fernández.
Le gustaría ver programas en escuelas primarias, secundarias y universidades para alentar a las mujeres a ingresar a la profesión, así como apoyo para las mujeres que ya están en el campo y que quieran avanzar a un rol de liderazgo con mentores y otras personas que puedan ayudarlas.
Enfrentar estereotipos, prejuicios y falta de representación son los principales desafíos que enfrentan las mujeres, afirma Fernández. Mejorar la diversidad y la equidad va más allá de ser un problema de mujeres: requiere que todos trabajemos juntos, incluidos los muchos hombres que apoyan estas iniciativas. “Conectándose con aliados que pueden ayudar a cambiar el rumbo e involucrándose con grupos que promueven la diversidad y la inclusión y brindan apoyo a otros que puedan estar enfrentando desafíos similares”, dice Fernández.
Según Raulings, las organizaciones deben apoyar los esfuerzos para mejorar la participación de género como parte de sus esfuerzos más amplios para mejorar la diversidad. "Si estás tratando de promover la innovación, en realidad lo que quieres es diversidad de pensamiento". Son las personas que abordan un problema desde perspectivas y orígenes diferentes y únicos las que juntas ayudarán a encontrar un resultado o un camino que no necesariamente se tomaría de otra manera, dice Raulings.
Sin embargo, requiere que las organizaciones ejecuten esto en cada capa, en cada oportunidad, en cada proceso y en cada individuo. "Las organizaciones que obtienen buenos resultados son las de alto rendimiento que superan a sus competidores en lo que respecta a indicadores clave, desde el rendimiento financiero hasta la satisfacción", añade Raulings.
Ostendorf de Code 42 está de acuerdo, y con muchos tipos diferentes de usuarios que interactúan con la tecnología, tiene sentido y es vital tener diferentes opiniones cuando se trata de seguridad. "Estás perdiendo la oportunidad de incorporar estos diferentes puntos de vista, si sólo te concentras en lo que siempre has hecho", asegura Ostendorf.
Cómo mejorar la participación de las mujeres en la ciberseguridad
Fernández quiere que las mujeres que ingresan o consideran la profesión crean en sí mismas y en sus capacidades desde el principio. Luego busque cursos, capacitaciones o libros para fortalecer otras áreas como hablar en público o hacer presentaciones y generar confianza. “Conéctese con otras personas que también están en el campo a través de eventos de networking, foros en línea o cursos, porque encontrará apoyo y oportunidades de avance a través de esas redes. Aprovechar las redes para ayudar a encontrar un buen mentor que pueda brindar orientación y aliento”, dice.
Raulings sugiere obtener certificaciones y aprovechar roles adyacentes para desarrollar conocimientos y experiencia relevante en ciberseguridad. “Comience con certificaciones de ciberseguridad relevantes y continúe desde allí. Busque mujeres que puedan estar en un punto de su carrera en el que usted aspira a estar y busque consejos, ideas o incluso tutoría”, dice Raulings. "También es importante desarrollar la confianza y las redes de apoyo, especialmente cuando se aspira a puestos de liderazgo".
Ostendorf quiere que más mujeres sepan que hay diferentes caminos hacia la ciberseguridad y que las oportunidades para las mujeres están mejorando. “Hay más mujeres influyentes en materia de seguridad que alzan su voz en diferentes plataformas. Todavía está dominado por los hombres, pero está cambiando y la gente es consciente de las disparidades entre los géneros y está tratando de alzar otras voces”, afirma.
Rose alienta a las mujeres a no limitarse únicamente a la creación de redes de mujeres, tutorías u otros eventos. “La tutoría y la educación son excelentes, pero hay que aprender a jugar con la mayoría. No puedes segregarte o no ascenderás en la carrera profesional”, afirma.
A Rose le gustaría que se escucharan más las voces y contribuciones de las mujeres, ya sea en debates en línea, paneles, reuniones o eventos de networking. Incluso si eso significa correr el riesgo de ser más visible, algo con lo que los hombres se sienten más cómodos. “Tenemos miedo de que nos consideren estúpidos o ignorantes. Los hombres dicen las cosas con tanta convicción y las mujeres necesitan tener esa confianza”, dice Rose.
El informe de la Universidad de Queensland también sugirió soluciones que van desde la acción individual hasta la participación gubernamental y de toda la industria para alentar a más niñas y mujeres a considerar carreras en ciberseguridad. El informe hace las siguientes recomendaciones:
- Individual: Las mujeres que actualmente están en la industria necesitan ser alentadas y apoyadas con oportunidades de autoaprendizaje, mejora de habilidades y desarrollo de redes, junto con una mayor defensa y educación masculina sobre los prejuicios inconscientes hacia los hombres y los gerentes de contratación.
- Organizacional: Los lugares de trabajo y la industria necesitan desarrollar asociaciones, programas de tutoría, campañas de marketing, canales de liderazgo y programas de capacitación y desarrollo. Además, se necesita discriminación positiva en la contratación en las prácticas y programas de diversidad, inclusión y equidad. También es necesario que existan políticas que apoyen a las mujeres en el lugar de trabajo, a las mujeres que regresan a la fuerza laboral y a las madres trabajadoras.
- Gobierno: Se necesitan cambios en los planes de estudio de la educación primaria y secundaria para incluir temas de seguridad y datos, el desarrollo del pensamiento crítico y el fomento de la confianza de las niñas. También es necesario que haya planificación futura de la fuerza laboral, políticas y prácticas culturales en el lugar de trabajo y en la industria que fomenten una mayor diversidad dentro de la ciberseguridad.
