Security en diversiteit

Het is al weer een paar maanden geleden dat ik het congres “Security Leadership 2023” bezocht. Als enterprise architect laat ik mij graag een dag bijpraten over ontwikkelingen op het gebied van security en privacy. Een architectuur kun je niet opstellen zonder met security en privacybescherming rekening te houden.

Deze keer was inclusiviteit en diversiteit een opvallend thema in het congres. Inclusie houdt in dat iedereen gelijkwaardige rechten en plichten heeft en dat niemand uitgesloten of gediscrimineerd wordt. Diversiteit zou je kunnen beschrijven als het openstaan voor alles waarin mensen kunnen verschillen. Denk aan geslacht, etniciteit, culturele achtergrond, opleidingsniveau, leeftijd, seksuele voorkeur, politieke voorkeur, religie, fysieke en mentale verschillen. Het zijn actuele thema’s in politiek en in de samenleving. De politiek die roept dat niemand uitgesloten mag worden, maar ondertussen groepen mensen uitsluit die het niet eens zijn met het beleid. De woke-cultuur die veranderd is van bewust zijn van racismeproblematiek en sociaal onrecht jegens minderheden in de samenleving naar politieke correctheid en een cancelcultuur.

Maar wat heeft inclusiviteit en diversiteit met security te maken? Als je bij het congres naar de zaal keek dan bestond het publiek vooral uit blanke mannen van boven de 50 jaar. Veelal security officers die zich binnen hun organisatie druk maken over informatiebeveiliging en Business Continuity Management. Security professionals zijn moeilijk te vinden. Komt dat doordat bedrijven in een te kleine vijver vissen of is security niet sexy genoeg? Het lijkt erop dat in de werving voor security experts teveel gefocust wordt op noodzakelijke skills, dat onvoldoende benoemd wordt dat diversiteit ook in deze functies gewenst is en dat je ook kunt reageren als je niet geheel aan de waslijst van competenties en ervaring voldoet. Als recruiter zou je je kunnen afvragen wat de ‘minimal viable person’ is voor de vacature. Esther Schagen-van Luit, CISO Deloitte NL & BE, hield hier een goede presentatie over.

Of het zinvol is uitsluitend vanwege inclusief denken te streven naar optimale verdeling van bijvoorbeeld man/vrouw en etniciteit over securityrollen valt te betwijfelen. Security vraagt bijvoorbeeld affiniteit met ICT, iets wat je meer bij mannen ziet dan bij vrouwen. In een bredere populatie zoeken kan echter leiden tot betere invulling van vacatures. Een lang openstaande vacature op het gebied van security is op zich al een security risico.

Juist diversiteit kan in het security vak een positieve invloed hebben. Security gaat niet alleen over technische oplossingen zoals firewalls, SIEM-oplossingen en automatische respons op aanvallen. Security heeft ook een psychologische kant. Het richt zich op de aanvallers, de criminele hacker, en op de potentiële slachtoffers, de medewerker die zich bewust moet zijn van de gevaren en maatregelen moet accepteren, ook al zijn die niet altijd gebruikersvriendelijk. Dat vraagt om empathisch inzicht in zowel de aanvaller als in de medewerker die tegen die aanvaller beschermd moet worden. Aanvallen komen uit diverse landen met diverse culturen en het personeelsbestand in de meeste organisaties wordt steeds diverser. Security experts met verschillende culturele, religieuze en politieke achtergronden, verschillende opleidingsrichtingen en leeftijdsgroepen, vrouwen naast mannen, enzovoort kunnen zich als geheel beter inleven in en denken als een aanvaller/hacker en kunnen zich ook beter voorstellen wat de misleidingen en vallen zijn waar een gebruiker in zal tuinen.

Streven naar inclusiviteit en diversiteit binnen security kan dus leiden tot betere invulling van vacatures en tot verbeteringen in het vakgebied.