Beyond Representation – Waarom inclusie een bedrijfskritische risicostrategie is

In cybersecurity praten we veel over risico's, het beoordelen, prioriteren en beperken ervan. We meten volwassenheid in kaders, implementeren controles nauwkeurig en verwachten dat elke stakeholder zijn of haar verantwoordelijkheden begrijpt. Maar er is één risico dat de meeste organisaties nog steeds als optioneel beschouwen. Het staat niet in hun registers, niet in hun roadmaps en zeker niet in hun budgetten. Dat risico? Uitsluiting. 

De ondervertegenwoordiging van vrouwen en andere gemarginaliseerde groepen in cyberbeveiliging is goed gedocumenteerdToch is er geen sprake van een betekenisvolle beweging. Sterker nog, sommige indicatoren suggereren dat er een achteruitgang is. In het Verenigd Koninkrijk is het percentage vrouwen in cybersecurity daalde van 22% naar slechts 17% het afgelopen jaar een duizelingwekkende daling in een van de belangrijkste en snelstgroeiende sectoren ter wereld. 

Waarom heeft representatie het probleem dan niet opgelost? Omdat representatie alleen niet de oplossing is. Inclusie, die structureel, meetbaar en ingebed is, bevordert de veerkracht van bedrijven. En in een sector die gestoeld is op constante verandering en complexiteit, is inclusie geen 'nice to have'. Het is een bedrijfskritische controle. 

Het tekort aan cybersecurity-personeel is niet alleen een pijplijnprobleem 

Wereldwijd is de Cybersecurity-personeel kampt met een tekort van bijna 4 miljoen professionals, volgens het Global Cybersecurity Outlook 2025-rapport van het Wereld Economisch Forum. In het Verenigd Koninkrijk is het aantal cyberfuncties de afgelopen drie jaar met 128% toegenomenDe vraag stijgt enorm, maar het werven van talent blijft een groot obstakel voor beveiligingsmanagers. 

Traditioneel wordt dit tekort gezien als een 'pijplijnprobleem'. Als er maar meer jonge vrouwen een bèta-opleiding zouden volgen. Als er maar meer meisjes geïnteresseerd zouden zijn in programmeren. Als we maar meer rolmodellen hadden. 

Deze verhalen negeren het echte probleem: vrouwen en diverse professionals betreden het vakgebied, maar ze blijven niet. Volgens Microsoft: Vrouwen hebben 45% meer kans om een ​​baan in de technologie te verlaten dan hun mannelijke collega'sHet behoud en de doorgroeimogelijkheden van personeel zijn de speerpunten van deze sector. 

Dat is geen pijplijnprobleem; dat is een werkplekprobleem. En in cybersecurity wordt dat werkplekprobleem een ​​veerkrachtrisico. 

Inclusie leidt niet af van risico, het versterkt het risicomanagement 

Beveiliging is van nature multidisciplinair. Het vereist juridische, technische, gedragsmatige, strategische en operationele input. Dat betekent dat de beste resultaten voortkomen uit divers denken en een cultuur van samenwerking. Homogene teams, of het nu gaat om identiteit of discipline, zijn vatbaarder voor blinde vlekken, bevestigingsbias en groepsdenken. 

Overweeg dit: 

• Uit een rapport van McKinsey blijkt dat managementteams met een diverse gendersamenstelling 25% meer kans hebben om bovengemiddeld winstgevend te zijn. 

• Uit onderzoek van de Bayes Business School is gebleken dat een grotere vertegenwoordiging van vrouwen in raden van bestuur van financiële instellingen gepaard gaat met een aanzienlijke vermindering van de boetes van toezichthouders. In sommige gevallen komt dit neer op een jaarlijkse besparing van £ 6 miljard. 

• In cybersecurity presteren diverse teams beter in scenarioplanning en dreigingsmodellering. Ze anticiperen eerder op onconventionele aanvalsvectoren en stellen aannames die de beveiligingspositie ondermijnen, ter discussie. 

De logica is simpel: diverse teams zien verschillende risico's en ontwerpen daarom betere verdedigingsmechanismen. 

Waar de industrie de fout in is gegaan 

Ondanks talloze bewustmakingscampagnes, evenementen rond Internationale Vrouwendag en STEM-initiatieven op scholen, blijft het representatieprobleem bestaan. Waarom? 

Omdat de meeste benaderingen van diversiteit in cybersecurity performant, fragmentarisch en ondergefinancierd zijn. Ze zijn gebaseerd op passie, niet op beleid. En ze leggen de last van verandering vaak bij de mensen die het meest uitgesloten zijn. 

Laten we de systemische gebreken eens nader bekijken: 

1. Oppervlakkige DEI-programma's

Inspanningen op het gebied van diversiteit, gelijkheid en inclusie (DEI) zijn vaak vaag en onmeetbaar. "Bewustwording creëren" is geen strategie. Als je de mate van patchen kunt meten, kun je ook de promotiegelijkheid meten. 

2. De blinde vlek van leiderschap

Te veel CISO's en leidinggevenden op bestuursniveau beschouwen inclusiviteit als iets dat losstaat van 'echt' risico, iets wat HR wel aankan. Maar inclusiviteit is direct verbonden met: 

• Stabiliteit van het personeel 

• Culturele adoptie van beveiligingspraktijken 

• Ethische besluitvorming in crises 

Als het niet in uw governance-strategie is opgenomen, mist u een belangrijk onderdeel van uw beveiligingskader. 

3. Verborgen vijandigheid

Vooroordelen zijn niet verdwenen, ze zijn alleen moeilijker te zien geworden. Vrouwen in de cyberwereld melden nog steeds uitsluiting van leiderschapstrajecten, onevenredige controle en werkculturen waarin succes op weerstand in plaats van steun stuit. Zonder structurele verandering ondermijnen deze omstandigheden de diversiteit in stilte. 

4. Losgemaakte bondgenoten

Mannen bekleden nog steeds de overgrote meerderheid van de leidinggevende posities in de cybersector. Toch voelen velen zich onzeker over hoe ze kunnen helpen of zijn ze bang om het verkeerde te zeggen. Anderen zien inclusiviteit ten onrechte als een nulsomspel. Deze stagnatie leidt ertoe dat te weinig mensen zinvolle actie ondernemen. 

Inclusie als bedrijfscontrole 

Hoe ziet effectieve, veerkrachtige inclusie er eigenlijk uit in cybersecurity? Het lijkt veel op andere volwassen maatregelen: strategisch, controleerbaar en gekoppeld aan bedrijfsresultaten. 

Gegevensgestuurde besluitvorming 

Houd de statistieken bij die ertoe doen: 

• Wie meldt zich aan? 

• Wie krijgt er promotie? 

• Wie vertrekt er en waarom? 

Gebruik deze gegevens op dezelfde manier als u inbreukdetectie gebruikt: om patronen te ontdekken die nader onderzoek en reactie vereisen. 

Verantwoordelijk leiderschap 

Inclusie zou onderdeel moeten zijn van leiderschaps-KPI's, net als operationeel risico of naleving van regelgeving. Het is geen optioneel initiatief; het is een bestuurlijke verantwoordelijkheid. 

Structurele verandering door symboliek 

Panels en mentoring zijn nuttig, maar ze repareren kapotte systemen niet. Inclusie betekent het herschrijven van wervingsprocessen, het aanbieden van flexibele carrièrepaden en het garanderen van psychologische veiligheid in alle functies. 

Intersectionaliteit in de praktijk 

Gender is slechts één lens. Echte inclusie betekent onderzoeken hoe identiteit, achtergrond, vaardigheden, neurodiversiteit, zorgstatus en meer elkaar beïnvloeden en kansen beïnvloeden. Het doel is niet representatie voor de optiek, maar gelijkheid in uitkomsten. 

Waarom dit nu belangrijker is dan ooit 

Cybersecurity is nog nooit zo cruciaal geweest. Nu we te maken hebben met toenemende ransomware-aanvallen, door AI gegenereerde bedreigingen en steeds complexere regelgeving, zoals NIS 2 en DORA, hebben we mensen nodig die anders kunnen denken, snel kunnen handelen en over disciplines heen kunnen samenwerken. 

Inclusie is geen sociale campagne. Het is een veerkrachtstrategie. 

Als we een beveiligingscultuur willen creëren die werkt, een cultuur waarin medewerkers incidenten melden, beleid naleven en veiligheid belangrijk vinden, hebben we inclusieve omgevingen nodig waar mensen graag deel van uitmaken. Omgevingen waar stemmen worden gehoord, bijdragen worden erkend en leiderschap divers is in denken en ervaring. 

Want de waarheid is: inclusie is infrastructuur. Zonder inclusie staat alles wat we bouwen op losse schroeven. 

Herstel het systeem, niet de mensen 

We hebben vrouwen en andere gemarginaliseerde professionals gevraagd zich aan te passen aan cybersecurity, zich te voegen naar systemen die nooit speciaal voor hen zijn ontworpen. Het heeft niet gewerkt. De cijfers bewijzen het. De verhalen bevestigen het. En de kloof tussen talent en werk wordt er alleen maar groter door. 

Het is tijd om de lens om te draaien. Organisaties moeten zich aanpassen aan het talent dat ze willen behouden. Dat betekent: 

• Integratie van inclusiviteit in elke fase van de levenscyclus van de werknemer 

• Leiders verantwoordelijk houden voor eerlijke resultaten 

• Investeren in echte structurele verandering, niet alleen in bewustmakingscampagnes 

Als inclusie geen deel uitmaakt van uw risicostrategie, is uw risicostrategie onvolledig. En in een sector waar bedreigingen met de minuut evolueren, is dat niet alleen een slechte indruk: het is ook slechte beveiliging. 

Wilt u meer weten? 

• Ontdek hoe ISO 27001-clausules 6.3 en 5.2 kan inclusieve praktijken in uw ISMS ondersteunen. 

• Ontdek de komende richtlijnen voor het bouwen van veilige, inclusieve teams voor NIS 2 en DORA nakoming.