freshidea - Fotolia
Las minorías en ciberseguridad enfrentan barreras únicas y duraderas
El área de TI se enfrenta a un nuevo escrutinio sobre su falta de diversidad. Exploren las barreras únicas que enfrentan las minorías en ciberseguridad y por qué los enfoques de contratación están mal equipados para abordarlas.
Después de la muerte de George Floyd y otros ciudadanos negros a manos de la policía en Estados Unidos, las instituciones en los espacios policiales, educativos y tecnológicos vuelven a ser cuestionadas sobre su papel en la defensa del racismo.
No es ningún secreto que la TI tiene un problema de diversidad y la ciberseguridad no es una excepción. Si se tiene en cuenta la escasez de habilidades de seguridad exacerbada por la creciente importancia de las responsabilidades de seguridad de la información en la transición al trabajo remoto debido al COVID-19, la falta de una fuerza laboral inclusiva está causando asombro.
"La industria de la ciberseguridad es uno de los mercados de mayor crecimiento continuo, y las oportunidades para el crecimiento y la estabilidad profesional son amplias", dijo M.K. Palmore, vicepresidente y director de seguridad de campo de Palo Alto Networks. "Las comunidades minoritarias deben tener las mismas oportunidades que tienen otras de beneficiarse de este esperado crecimiento continuo".
Ahí es donde interviene el Consorcio Internacional de Profesionales de la Ciberseguridad de las Minorías (ICMCP). Esta organización sin fines de lucro sirve como canalización para los profesionales de la seguridad de grupos marginados, incluidas personas de color y mujeres. A través de patrocinios corporativos, el ICMCP y sus capítulos distribuyen becas para minorías en ciberseguridad para obtener títulos o certificaciones académicos y técnicos en seguridad informática. Los fundadores enfatizaron la importancia de los programas de seguridad de información inclusivos para mejorar la seguridad de los datos y proteger los activos de adversarios sofisticados.
El cofundador y presidente de ICMCP, Larry Whiteside Jr., informó sobre una enorme afluencia de interés en la organización en los últimos meses. Black Lives Matter y otros movimientos de justicia social en todo el mundo "han tenido un impacto directo en el crecimiento de nuestra membresía, así como en nuestros patrocinios", dijo.
Las manifestaciones contra la injusticia racial y social reflejan el mismo mensaje que ha expresado como orador en eventos de la industria. En la Conferencia RSA en 2019, Whiteside hizo un llamamiento a su audiencia de líderes y profesionales de la seguridad cibernética para que asuman la responsabilidad personal por la falta de diversidad en su industria. "Pero creo que la muerte de George Floyd y las subsiguientes acciones de injusticia social que están sucediendo en realidad han impulsado esa narrativa más de lo que yo mismo podría", dijo.
La contratación no es el todo y el fin de la diversidad
Cuando se les pregunta a los hombres blancos en el liderazgo sobre los esfuerzos para diversificar sus organizaciones, con frecuencia citan los esfuerzos de reclutamiento diseñados para atraer una gama más amplia de talentos. Pero eso no aborda que a las minorías se les paga menos, se les promueve a tasas más bajas y se les utiliza como fichas (tokens) en el lugar de trabajo, un patrón preocupante evidenciado en el estudio de ICMCP de 2018 con (ISC)2.
Si los nuevos empleados ingresan a un entorno laboral desigual, el liderazgo puede hacer alarde de sus "mejoras" de diversidad sin desmantelar problemas como la desigualdad salarial o la discriminación en el lugar de trabajo que persisten para las personas de color y las mujeres.
Como hombre negro, Whiteside ve a otros profesionales de la seguridad de información minoritarios como él como "unicornios". Para que los compromisos con la diversidad a nivel de contratación sean efectivos, es fundamental examinar las políticas monolíticas de RR.HH. que se utilizan para juzgar a los candidatos a puestos de trabajo, dijo, porque muchas políticas se redactan sin tener en cuenta la inclusión.
"No podemos estar sujetos a los mismos estándares de RR.HH. que siempre han medido a los solicitantes, como, por ejemplo, los rangos salariales. No se puede decir [a un solicitante minoritario]: 'Si está pidiendo ganar X cantidad de dinero, entonces debe tener este título y debe tener esa certificación', porque eso no siempre es aplicable", dijo.
Algunas organizaciones están buscando nuevas herramientas y tecnología para modernizar los procesos de recursos humanos y mitigar los sesgos inconscientes, pero esta no siempre es la mejor respuesta. Ya se ha demostrado que las herramientas habilitadas para inteligencia artificial (IA) reflejan prejuicios contra ciertos datos demográficos. Para las organizaciones que se toman en serio los esfuerzos para crear una fuerza laboral inclusiva, complementar las prácticas de contratación con tecnología por sí sola no es suficiente.
Atraer talento diverso de áreas desatendidas
Incluso las organizaciones con las mejores intenciones luchan por atraer talento diverso porque no saben dónde encontrarlo. En un mercado laboral descrito como “un 70% es a quién conoces y 30% es lo que sabes”, esperar que el talento diverso simplemente aparezca en la puerta de una organización no es suficiente para abordar las disparidades raciales y de género.
Debe haber más esfuerzos concertados para promover la trayectoria profesional de la seguridad de la información a un grupo más amplio de personas, y especialmente a la generación más joven, dijo Whiteside. En sus experiencias al hablar en escuelas K-12, iglesias y áreas desatendidas, la mayoría de los miembros de su audiencia informan que nunca han oído hablar del campo de la ciberseguridad como una opción profesional.
Whiteside, que se crió en un área marginada, comprende las barreras socioeconómicas y el racismo sistémico que enfrentan muchas personas de color. Después de que sus padres se divorciaron, su madre se mudó y lo colocaron en una nueva escuela secundaria predominantemente blanca, donde se le presentó por primera vez a las computadoras.
"Nunca había visto una computadora antes de eso. Cambió el curso de toda mi vida. Esa acción cambió las cosas porque ahora asistía a una escuela que tenía más recursos que la anterior", dijo.
Palmore también está acostumbrado a ser la minoría en la mesa de liderazgo. Su posición, así como su liderazgo en la sección de ICMCP del Área de la Bahía de San Francisco, le brinda "la oportunidad más amplia de impactar el cambio de la industria", dijo. Palmore considera que la tutoría en las organizaciones, la evaluación de habilidades laborales, la creación de redes comunitarias y las iniciativas de alcance de la industria son formas viables de "ayudar a otros a obtener las mismas oportunidades de las que yo me he beneficiado".
Y, hasta que las personas de todos los grupos marginados estén representadas en todos los niveles y en la sala de juntas, el trabajo no estará terminado, agregó Whiteside.
"La diversidad no se detiene después de contratar a las minorías", dijo Whiteside.
Las nuevas oportunidades revelan nuevas barreras potenciales
Las minorías en ciberseguridad están subrepresentadas en puestos de responsabilidad, a pesar de las formas en que la cultura de la empresa y los ingresos se benefician de un liderazgo diverso. Un área de oportunidad es el espacio de inicio, donde los fundadores minoritarios ocupan puestos de liderazgo y toma de decisiones. Pero, para las minorías en ciberseguridad, las barreras no desaparecen cuando persiguen sus propios negocios.
Los investigadores de Harvard Business Review encontraron que los inversores de capital de riesgo (VC) tienen más probabilidades de asociarse con personas que comparten su género o raza. Cuando solo el 8% de los inversores de capital riesgo son mujeres y menos del 1% son negros, es evidente cómo una fuerza laboral homogénea de capital riesgo se cruza con los desafíos que enfrentan las minorías en ciberseguridad.
Debido a que tan pocos inversores de capital riesgo se parecen a ellos, es menos probable que los empresarios de ciberseguridad de grupos marginados reciban financiación para iniciativas de inicio. Según PitchBook, las fundadoras de startups obtuvieron solo el 2.8% de los dólares de capital de riesgo de EE.UU. en 2019, con una brecha aún mayor para las fundadoras negras. Whiteside dijo que le corresponde al espacio de capital de riesgo diversificar su fuerza laboral para brindarles a las empresas emergentes de ciberseguridad lideradas por minorías una oportunidad equitativa.
¿Por qué importa la diversidad en la ciberseguridad?
Como cofundador y presidente de ICMCP, Whiteside recibe mucho esta pregunta y dijo que se trata de defenderse de los adversarios. A medida que el panorama de amenazas de ciberseguridad continúa evolucionando y creando nuevos desafíos para los equipos de seguridad de información, diversos puntos de vista son fundamentales para mejorar la respuesta a incidentes y la protección de datos.
"Diferentes orígenes y diferentes experiencias de vida te dan una perspectiva diferente del problema que tienes frente a ti", dijo.
A pesar de la frustración por la falta de compromisos cuantificables con la equidad racial y de género en favor de promesas corporativas vagas, Whiteside sigue siendo optimista. Veamos el movimiento Black Lives Matter, dijo, que fue fundado en 2013 por Alicia Garza, Patrisse Cullors y Opal Tometi después de la absolución de George Zimmerman en la muerte de Trayvon Martin.
"No es nuevo. Pero lo que es tan significativo sobre el movimiento Black Lives Matter hoy en día es que no son solo minorías, sino una coalición arcoíris de personas que levantan los puños y dicen: 'Ya es suficiente'", dijo Whiteside. "Eso es lo que debe suceder en ciberseguridad".