Hackers zijn bijna altijd mannen. Ik vind dat raar, want als iedereen informatietechnologie gebruikt, waarom zou slechts een helft van de bevolking over de beveiliging gaan? Deze avond is daarom een oproep aan vrouwen, om mee te doen, omdat cyber security een leuke sector is. 8 maart was het International Vrouwendag en daarom kijken we vandaag naar de rol van vrouwen in cyber security. Het is ook een spoedcursus voor mannen: hoe om te gaan met vrouwen in IT.
Eerst even terug in de geschiedenis. De eerste echte programmeur was een vrouw: Ada Lovelance. Zij schreef eind 18e eeuw namelijk voor de “analytical machine” van Charles Babbage een programma waarmee de mechanische handelingen van het apparaat werden omgezet konden worden in taal. Ada voorspelde dat dergelijke machines ooit wel eens gebruikt kunnen worden voor het maken van afbeeldingen, het componeren van muziek of zelfs het bedrijven van wetenschap. Babbage vond dat maar een raar idee. Het is toch gewoon een rekenmachine? Rare man. Ada was haar tijd gewoon ver vooruit. Ook later, in de tijd van de ponskaart systemen, werden deze voorlopers van de computer voornamelijk bediend door vrouwen.
Dat beeld is vandaag de dag wel anders. Volgens Eurostat is in Nederland 16% van de IT-ers vrouw, net iets onder het Europees gemiddelde. Kijken we naar het aantal vrouwen in IT-opleidingen, dan staat Nederland helemaal onderaan met 8%. Als ik deze cijfers opdreun, roept een van de dames uit het publiek: “Toen ik naar een IT-opleiding wilde, kreeg ik bij de intake de vraag: ‘Ben je bereid om het enige meisje in de klas te zijn?’ Dat is wel echt een turn-off.” Ze krijgt bijval uit het publiek. Maar zou dat in andere landen niet ook zijn. Sterker nog, opvallend is dat juist in landen die we niet echt kennen als zeer geëmancipeerd de deelname van vrouwen aan IT-opleidingen het hoogst is: Roemenië, Bulgarije, Estland en Letland... Zelfs Italië en Griekenland scoren substantieel beter. Of is Nederland toch niet zo geëmancipeerd als we denken?
Hoe zit het met de genderbalance onder hackers? Exacte cijfers zijn er helaas niet. Want hoe definieer je een hacker? Zoals we bij Hack Talk zien zijn hackers mensen die technologie maken, breken en bespreken. Maar met zo’n definitie kunnen statistici niet zoveel. Wat je wel kunt doen is bij grote hacker events, tijdens een drukbezochte presentatie, de koppen tellen. Dan kom je uit op ongeveer 1 vrouw op 10 mannen. (En nog een enkeling die daar ergens tussenin zit, maar dat is weer een ander verhaal.) En werk je zelf in IT-security, dan behoeft het wellicht geen onderbouwing: je weet gewoon dat er weinig vrouwen zijn en de consensus is wel dat dat er best wat meer mogen zijn. Omdat we meer mensen nodig hebben, je met een diverser team beter problemen oplost, maar ook omdat het gewoon gezelliger is.
Om te laten zien dat het ook anders kan, hebben we deze avond alleen maar vrouwen aan tafel die in cyber security werken. Omdat ik ook maar gewoon een man ben, doen we een kettinginterview: telkens een eraf en een erbij, zodat de dames ook elkaar kunnen interviewen. We beginnen met de maaksters: een agile test coach en een security engineer. Dan de breeksters: een pentester en malware analiste. Daarna de dames met macht, die alles bijeen moeten brengen, de Chief Information Security Officers, oftewel CISO’s. We eindigen met het Roze Slot, de prijs voor het cyber security bedrijf met de meeste vrouwen in dienst.
We beginnen met onze eigen Ada Lovelace. Janneke van den Brand is namelijk van origine software tester en nu Agile Test Coach bij Bartosz ICT. Hoe is ze in de IT terecht gekomen? Janneke: “Ik wilde al IT in voordat ik ging studeren, maar koos toch voor de Universiteit Humanistiek, de Master in Kritische Organisatie & Interventiestudies, Levensbeschouwing & Onderzoek. Eigenlijk vond ik alles wel interessant, maar de technische kant bleef trekken. Ik deed toen een traineeship in softwaretesten, haalde wat certificaten en werd Scrummaster. Je bent dan meewerkend voorman/vrouw, om impediments van je team weg te werken. Je draait in tweewekelijkse cycli, van ontwikkelen naar testen en implementeren van software en houdt je team bij elkaar. Hoe, dat hangt af van je team. Soms moeten alle ontwikkelaars ook zelf testen en soms heb je verschillende rollen: ontwikkelaar, tester, analyst of product owner die de inhoud bepaalt. Het technische en sociale loopt dan erg door elkaar.”
Foto: Tabitha
Zie je in zo’n rol als testcoach meer vrouwen dan elders in de IT? Janneke: “Coaching wordt misschien iets vaker ingevuld door vrouwen, maar de meesten zijn toch man. Kijk je naar het team, dat meestal uit acht bestaat, zijn max twee vrouw. Ik heb me ook harder moeten bewijzen als vrouw, bijvoorbeeld bij een klant. Ook al heb ik de meeste technische ervaring, stellen ze eerst de vragen aan die mannen. Vervolgens komen ze dan toch uit bij mij en ben ik ineens ‘one of the guys’. Technisch, dus je bent een man. Of als een vrouwelijke collega zegt: ‘Ik ben wel goed in programmeren, maar niet met computers’, dan zeggen ze: ‘Oh, dan ben je dus toch een meisje’. Ik noem dat ‘dead by a thousand papercuts’: veel kleine dingetjes die optellen. Dat is demotiverend.”
Kortom, beoordeel iemand op de bijdrage aan het team en niet of het een hij of zij is. Daar draagt Janneke ook aan bij tijdens hacker events. Zo was ze bij hackerskamp SHA2017 teamlead van het Cohesion Team. Wat hield dat in? “Het team heette eerst Code of Conduct, maar dat klinkt dan zo streng. Cohesion is een positievere insteek. Het gaat er vooral om dat mensen hard werken op zo’n kamp en weinig slapen. Dan krijgen ze wel eens ruzie en daar helpen we bij. We zorgen voor een safe space, of sturen ze gewoon naar hun hotel om bij te slapen.”
Even wat getallen: 3750 mensen gaan een week lang door, op een kamp, met veel drank, terwijl zeg een op de acht vrouw is. Hoe vaak gaat dat fout? Janneke: “We hadden in totaal tien gevallen, waarvan een die ons wel een dag werk kostte. Maar het was toch vooral dat af en toe iemand een schouder nodig heeft of een gesprekje omdat ze aan het eind van hun latijn zijn.” OK, dus enkele gevallen die je altijd wel hebt als er mensen bijeenkomen, maar geen vrouwen die lastig worden gevallen. Vergelijk dat eens met een gewoon festival. Dan is de hackerswereld toch wel vrouwvriendelijk als ik het zelf zeg.
Onze volgende maakster is Antoinette Hodes, die security meeneemt in het eerste ontwerp van systemen. Ze heeft namelijk ruime ervaring als Security Engineer, o.a. bij SecureLink en Motiv. Daarvoor heeft ze ook gewerkt als IT-support, o.a. bij KPN, Centric en Alcatel. Ze begon ooit in de IT als System Administrator bij een gemeente. Nu is ze Security Expert EMEA bij het internationale cyber security bedrijf Check Point Software Technologies.
Hoe ziet het dagelijks werk van een Security Engineer eruit? Antoinette: “Je lost security vraagstukken op met je klant. Je kijkt naar Proof of Concepts, checkt baselines en zet boxen in het netwerk om mee te kijken: Intrusion Detection, zero day protectie, shadow IT die naar de cloud gaat, dat soort dingen. De klant wil weten of hij kwetsbaar is, maar we kijken ook of die kwetsbaarheden te exploiten zijn, of alles bijvoorbeeld achter een goeie firewall staat. Hun IT-afdeling is ook niet altijd blij als ik in hun koninkrijk kom en die box in hun netwerk zet. Je gaat mogelijk aantonen dat er iets niet goed zit.”
Check Point kennen we ook van de Threatmap, een kaart van de wereld met live cyberaanvallen. Maar wat zien we daar eigenlijk? Antoinette: “Het is niet live, maar met een vertraging van een paar uur. We detecteren 86 miljard transacties per dag. Een veelvoud van wat Google heeft aan zoekopdrachten. Niet alleen de box, maar ook security in mobieltjes, cloud omgevingen, eigenlijk alles waar je kritische data draait.”
Hoe ben je in de IT terecht gekomen? Op je linkedIn profiel zie je namelijk geen opleiding, maar wel een hele lijst met certificaten en inmiddels twintig jaar ervaring in IT. Antoinette: “Klopt. Heb wel ooit een MBO gedaan, maar ben daarna meteen in de IT gegaan. Daar heb ik altijd wel zin om wat nieuws te leren, grenzen te verleggen. Als je iets doet wat je hobby is, werk je niet. Blue Coat, Infoblox, CISCO, Palo Alto – dat zijn allerlei vendor certificering die ik gaandeweg heb opgepikt. Check Point Certified Security Expert is denk ik nog wel de belangrijkste. Met CISSP en CISM nog bezig. Ik kan inmiddels ook wel aardig met Kali Lunix overweg. Heb ook zelf trainingen ontwikkeld, bijvoorbeeld over SMB en SCADA/ICS (Supervisory Control and Data Acquisition / Industrial Control Systems). OT (Operationele Technologie) heeft namelijk wel een andere aanpak dan IT: het staat vaak open, wordt niet gepatched, maar moet wel continu draaien.”
Hoe is het om als vrouw in deze mannenwereld te werken? Antoinette: “In Nederland is nog wel veel te doen. Kom ik bij een klant binnen en denkt die IT Administrator dat ik de accountmanager ben en mijn mannelijke collega de techneut is. Dan zet ik die doos in zijn netwerk en dan vindt hij dat niet prettig. Maar, omdat Check Point een Israëlisch bedrijf, hebben wij juist veel technische vrouwen. Die komen uit het leger, Unit 8200. Dat is het onderdeel van defensie dat communicatie en decryptie doet. Mijn held Maya Horowitz komt daar vandaan, mijn CEO ook.” Zo kan het dus ook. Ik stel voor om dan in Nederland maar weer de dienstplicht in te voeren, maar dat vinden de dames niet zo’n goed idee.
Bedankt maakster Janneke, we halen er een breekster bij. Sanne Maasakkers is namelijk pentester bij Fox-IT en probeert dus in opdracht van klanten in hun IT-systemen te komen. Na haar opleiding Computerwetenschappen aan de Universiteit Utrecht was ze zelfstandig webdeveloper en Associate Engineer bij Everett Identity & Access Management Solutions. In 2016 begon ze bij Fox-IT als trainee op de afdeling Crypto, waar ze ook haar CISSP haalde en nu Certified Ethical Hacker is.
Foto: Tabitha
Waarom security? Sanne: “Ik maakte webapplicaties, als eigen bedrijfje. Dat deed ik tijdens een andere studie, niet IT. Steeds meer mensen vroegen of ik websites wilde maken. Die moet je ergens online zetten en als je dat niet goed doet, kan er van alles misgaan. Dus ging ik zelf testen: php code, SQL injection… Op een banenmarkt sprak ik iemand van Everett Identity & Access Management Solutions. Die zei: ‘Kom bij ons werken, dan krijg je een leaseauto.’ Dat vond ik wel wat, maar vooral omdat ik daar zowel web development als security kon doen. Ik moest dan bepaalde pakketten implementeren, zodat alleen de juiste mensen binnen kunnen komen. Toen werden ze overgenomen door een van de Big Four en sprak ik tijdens een BBQ iemand die bij Fox-IT had gewerkt en zo kwam ik bij hun terecht.”
Naast haar opleiding en werk heeft Sanne zelf ook vaak lesgegeven in IT. Onder andere via DigiVita, een programma van VHTO, het Landelijk expertisebureau meisjes/vrouwen en bèta/techniek. Sanne: “Ze zetten vrouwelijke rolmodellen in op de basis- en middelbare scholen om te laten zien dat meisjes ook gewoon technische beroepen kunnen hebben. Scholen melden zich aan voor gastles en zij zoeken iemand die bij de vraag past. Ze hadden mij benaderd omdat ik een IT-opleiding deed. Ik heb veel lessen gegeven in web- en app development, maar ook wel eens een Capture the Flag gegeven. Doe ik zelf ook wel eens. En de AIVD-kerstpuzzel natuurlijk. Ik vind het leuk om cryptopuzzels op te lossen. Ook samen met collega’s. Is best gezellig.”
Je hebt een aantal van de bekende certificaten, maar wat houden die eigenlijk in? Sanne: “CISSP is een soort vereiste, brede certificering. Gaat over onderwerpen als encryptie, Identity & Access Management, Secure Software Development, Risk Management en Business Continuity. Veel mensen vinden CISSP saai, maar ik vind het wel goed om van alle vlakken wat te weten. OSCP is wel wat anders. Je krijgt een paar urls, moet daar binnen 24 uur kwetsbaarheden zien te vinden, terwijl er een webcam op je staat.” Huh, een hack examen met live opname? Vet! Als je die hackt, kun je een soort webcam roulette maken. Zie je alleen gestresste hackers!
Is pentesters nog meer een mannending dan de rest van de IT? Sanne: “Nou nee. Heb ik zelf niet zo’n last van. In mijn team is het best gezellig en zijn er aardig wat vrouwen, ongeveer een kwart.” Antoinette: “Doe je ook aan insluiping, social engineering?” Sanne: “Ja, is tof, want als vrouw verwachten ze het niet van je. We proberen dan Post-Its met wachtwoorden van monitors te halen, belangrijke documenten uit prullenbak naast printer te halen, of zetten een Raspberry Pi in het netwerk. Ik was een keer mee geweest met een collega die mijn vader speelde. Dus ik zeg dan als jong meisje: ‘ik moet even naar de wc’. Dan lopen ze niet mee en kon ik overal komen. Mochten ze me dan pakken zeg ik gewoon: ‘Oh sorry, ik wist niet dat ik hier niet mocht zijn.’ Zo doen echte criminelen het ook.”
Bedankt Antoinette, hier de volgende breekster: Saskia Hoogma-Ton, Malware analyst bij Tesorion. Hun afdeling, het voormalige Quarantainenet doet netwerkbeveiliging en beschermt ruim 3.500.000 eindgebruikers. Wat doet een malware analyste? Saskia: “Ja analyseert het netwerkverkeer, neemt malware samples en zet die in een sandbox, dat is een afgesloten computer die je daarna weg gooit. Komen er veel samples van een host, kun je die url blacklisten. Je gaat samples uit elkaar halen om te kijken of ze op elkaar lijken. Hoe groot is de familie, hoe ver zitten ze qua tijd uit elkaar? Zitten er domain generating algoritmes in, die dan elke dag andere urls opvragen?”
Foto: @Ellyleijen
Kijk je dan op code niveau of gaat dat automatisch? Saskia: “Je doet dat als team, elk met een eigen rol: de een doet veel met tooling en sandboxing, een ander is reverse engineer en haalt de code uit elkaar. Collega’s komen met leuke nieuwe ideeën en dan kijk ik of die werkbaar zijn. Dat verschilt per project, het is geen standaardwerk. Je kijkt wel hoe je dingen aggregeert, bijvoorbeeld DGA (domain generation algorithm). Als we van klanten niet-bestaande hostnames krijgen, kunnen we kijken of er overeenkomsten zijn. Daar heb ik een algoritme voor bedacht, dat nu in productie is.”
Dat terwijl je van oorsprong geen IT-er bent, maar wiskundige. Hoe ben je hier terecht gekomen? Saskia: “Eigenlijk per ongeluk. Ik was eerst projectmanagement ondersteuner en tester. Toen zag ik deze vacature voorbijkomen. Ik dacht eerst: daar reageer ik niet op. Maar toen zei een recruiter: ‘Moet je wel doen, ik denk dat er wel een match is.’ Op gesprek bij Quaranteinenet zeiden ze: ‘Je mist kennis, die kunnen we je leren, maar je kunt wel goed nadenken.’ Ik kreeg een lijstje met hostamen en ze vroegen: ‘Welke denk je dat er op de blacklist moeten’ en ‘Wat voor technieken zou je kunnen bedenken?’ Ik kreeg informatie mee en kon op een tweede gesprek komen. Ik denk dat ze me vooral wilden hebben omdat ik vanuit wiskundige vaardigheden patronen kan herkennen.”
Sanne: “Wat is het allertofste wat je hebt gezien? Als je erover mag praten” Saskia: “Dat cluster-algoritme en scoremodel. Heb ik samen met een collega helemaal zelf bedacht. Er zit veel wiskunde achter en dan ben ik trots dat het dan ook zo werkt. Veel domain generation algorithms kenden we al, maar we zien nu ook veel nieuwe.” Ik vraag me af of wiskunde een goede ingang is voor vrouwen in cyber security. Of nog beter: puzzelen. In de Tweede wereldoorlog werden cryptografen geworven met kruiswoordpuzzels en daar zaten ook veel vrouwen bij... Saskia: “Misschien, maar ik heb nooit het gevoel gehad dat ik tegengehouden werd als vrouw. Of ben ik net een man dat ik het niet doorheb?”
Volgens Sanne kan er wel wat verbeterd worden. “Het zou wel helpen als vrouwen zien hoe we ons werk doen. Ze denken bij hackers al snel dat je een zwarte hoody opheb, drie dagen niet douched en alleen op een zolderkamer zit. Hacken is juist een leuk en sociaal beroep.” En wat vinden de dames van het woord penetratietesten, is dat niet te mannelijk? Zou het niet beter ovulatietest moeten heten? Het gaat er immers niet alleen om of je ergens kunt binnen komen, er moet ook iets waardevols uitkomen, toch? Sanne is de grappen over penetratietesten wel zat inmiddels, maar of dit dat zo’n goed alternatief is? Nou, nee.
Na de pauze beginnen we met een gedachtenexperiment. Stel the cybershit hits the fan en Nederland wordt digitaal zwaar aangevallen. Hoe verloopt dan de escalatie? De eerste signalen dat er wat mis is, zullen waarschijnlijk binnenkomen bij het Nationaal Cyber Security Centrum en, als het een nationale ramp lijkt te worden, opgeschaald worden naar de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Daar worden uiteraard ook de ministers van Binnenlandse Zaken en Defensie erbij betrokken, die vervolgens het Dutch Cyber Command inschakelen. Een goede Nederlandse poldertraditie is publiek private samenwerking, zeker in het digitale domein. Daarvoor zorgt onder andere de Cyber Security Raad. Via de Information Sharing Analysis Centers komen netwerkbeheerder, banken en telco’s erbij. Cyber security bedrijven worden betrokken via de brancheorganisatie Cyber Veilig Nederland en de overige IT-bedrijven via Nederland ICT. Individuele cyber security experts kunnen ze bereiken via Platform Informatiebeveiliging.
Welnu, wie zitten daar dan? Wie zijn daar de leiders en verbindingsofficieren ten tijde van cyberoorlog? Allemaal vrouwen!
Foto: Tabitha
Patricia Zorko is directeur cybersecurity bij het Ministerie van J&V en daarmee de baas van het NCSC en de ISACs. De NCTV is weliswaar een man, maar hij zit daar nog maar net en weet weinig van cyber, dus wie is de plaatsvervangend NCTV? Jawel, ook Patricia. Zij informeert de betrokken ministers: Kajsa Ollongren van Binnenlandse Zaken en Ank Bijleveld van Defensie. Generaal Elanor Boekhold-O'Sullivan mobiliseert en leidt de Dutch Cyber Command. Elly van den Heuvel neemt vanuit de Cyber Security Raad contact op met de CISO’s van bedrijven die gaan over onze kritieke infrastructuur: Jaya Baloo bij KPN en Louisella ten Pierik bij netbeheerder Stedin. Bij Cyberveilig Nederland zal directeur Petra Oldengarm de Nederlandse cybersecurity bedrijven betrekken en Jessica Conquet mobiliseert de cyber security experts via PvIB, overigens naast haar taak als CISO bij ABN Amro...
Dit zijn dus het escalatieschema en de communicatiestructuur van Nederland under cyber attack. O ja, dan hebben we natuurlijk Mark Rutte nog. Zou hij dan wellicht als enige heer in het gezelschap even thee willen zetten terwijl de dames aan het werk zijn? Zal hem goed bevallen, want Mark heeft een zwak voor slimme dames.
Daarom in deel 2 van deze avond de dames die als hoogste in rang staan als het gaat om cybersecurity: de Chief Information Security Officers, oftewel CISO’s. We beginnen met een dame die niet alleen CISO is, maar ook nog van een cybersecurity bedrijf, een soort CISO in het kwadraat. Cynthia Schouten heeft 15 jaar bij KPN Consulting gezeten als Senior Business and Information Security Consultant en is nu CISO bij Cybersprint.
Foto: Tabitha
Hoe ziet het dagelijks werk van een CISO eruit? Cynthia: “Heel gevarieerd. Cybersprint is scale-up. We zijn in twee jaar gegroeid van 11 naar 43 werknemers. In het begin deed ik ook sales en consultancy erbij, maar nu kan ik me volledig richten op zijn rol als CISO. Bijvoorbeeld met de implementatie van de ISO 27001 standaard voor informatiebeveiliging. Ja, ik zie mensen nu al verveeld kijken, maar zo’n normenkader helpt je wel. Als groeiend security bedrijf ben je wel bezig met maatregelen, maar het opschrijven daarvan in beleid, blijft bij een hoop IT-ers achter en het is mijn taak dat op orde te brengen.”
De eerste keer dat ik Cynthia ontmoette was tijdens het hackerskamp SHA2017. Pieter Janssen, directeur van Cybersprint, had haar namelijk daar uitgenodigd voor haar sollicitatiegesprek. Hoe ging dat? “Ik moest zitzakken meenemen omdat we de Capture the Flag daar sponsorden. Het was een relaxte sfeer en goeie setting voor een sollicitatiegesprek. Heb ook doorgevraagd bij iedereen die in die CtF tent zat. Daarvoor had ik niet zo contact met de hacker community. Pieter wel, die heeft ook bij de Eindbazen gezeten (een zeer succesvol CtF team) en die vinden het gewoon leuk om hier zo’n challenge in elkaar te zetten.”
Net vers van KPN Consultancy was dat zeker wel cultuurovergang? “Jazeker. Zo’n consultancy is soms net een grote overheidsorganisatie, maar ik was zelden intern. Ik was vooral bezig bij klanten met verandermanagement opdrachten. Als Rotterdammer was het Havenbedrijf mijn favoriete klant. Die houding van ‘Niet lullen maar patchen’, zeg maar.”
Hoe ben je in de IT belandt? “Ik ben ooit begonnen bij een IT-helpdesk: mensen helpen ISDN te installeren. Daarna naar IT-beheer en tot de conclusie gekomen dat je het proces pas kunt verbeteren als je de organisatie goed op orde hebt. Ik heb daarom ook mijn ISACA en CISM gehaald. Misschien ben ik ook wel in de IT beland omdat mijn beide ouders technisch zijn. We hadden thuis de Commodor64, het leukste computertje ooit. Daarmee heb ik leren programmeren. Ging ik via de radio van die programmaatjes opnemen en installeren. Heb nog wel een jaar IT gedaan op de Hogeschool Rotterdam. Van de 400 leerlingen waren er 7 vrouw. Dat was geen warm ontvangst. Die baan bij de helpdesk beviel me beter en daarom heb ik alles vooral geleerd door het gewoon te doen.”
Is dat nu nog zo? Cynthia: “Ik ken wel meisjes die het op de IT-opleidingen wel naar hun zin hebben. Ik merk dat er nu ook meer ondersteuning is vanuit bedrijfsleven en overheid. Het verschilt per bedrijfscultuur. Soms is het wel fijn om one of the guys te zijn. Dan krijg je meer voor elkaar. Maar als je een manager hebt die iets tegen vrouwen heeft, dan is het heel lastig. Dat probeer ik dan maar te negeren en te bewijzen dat ik het wel kan. Je zult als vrouw wel vaker iets meer je best moeten doen.” Heeft vrouw-zijn ook voordelen in de IT? “Nee”
We vragen Jessica Conquet erbij. Ze heeft al meer dan 20 jaar ervaring in IT-security en is de Global IT Security Officer bij ABN AMRO Clearing Bank. Zij heeft wel met plezier een studie Informatica afgerond en begon daarna samen met iemand anders Unison, een consultancy om UNIX-systemen in de lucht te houden. Dat deed ze 14 jaar. Daarna 12 jaar net als Jessica bij KPN gewerkt, alleen dan als security en riskmanager, dus binnen en niet bij klanten. Ze had dezelfde functie drie jaar bij Deloitte, gevolgd door een detacheringsavontuur in Zuid-America met PayU. Sinds vorig jaar zit ze bij ABN Amro.
Haar functie was eerst CISO, nu Global IT Security Officer. Hoe dat zo? “Je bekijkt de dingen niet alleen vanuit IT-security, je doet aan riskmanagement. En dat ‘Gobal’ betekent veel reizen. Het team dat onder security valt zit in verschillende landen. De clearingbank zit dicht bij waar de handel zit, de grote beurzen: New York, Parijs, Hong Kong, Tokio, Sidney, Singapore. Je hebt te maken met verschillende culturen, met verschillende systemen die op een andere manier in het verleden zijn opgezet, terwijl een incident al snel iedereen raakt. Je moet elkaar vertrouwen en leren samenwerken. Het Global team heeft pentesters, governance, NIST ISO 27001 implementatie, techneuten die specifieke technologieën, noem maar op en als CISO moet je de vertaalslag maken naar de board, uitleggen waarom zij bepaalde maatregelen moeten nemen. Techniek interesseert hen niet, wel de impact op de business. Dat moet soms echt in Jip en Janneke taal. Zo van: ‘We hebben hard gewerkt aan een Mercedes. Die staat buiten te ronken. Nu hebben we een ander team nodig om hem van a naar b te rijden en iemand die in de winter andere banden onder zet.’ Zoiets...”
Jessica is ook voorzitter van PvIB, het Platform Informatie Beveiliging, een beroepsvereniging van 1500 experts. Hoeveel % vrouw? Haar inschatting is 5% en dat is wel representatief voor de sector. Is dat lage percentage een probleem? Jessica: “Ik hou er niet van om het als probleem te zien. Je moet doen wat je leuk vindt. Als vrouwen er tegenop zien in IT te gaan, vind ik het belangrijk hen te helpen.”
Maar, is het niet ook een maatschappelijk probleem, dat we iets missen als er zo weinig vrouwen in IT werken en dat het dus ook voor ons mannen een probleem is? “Mannen hebben wel een hoog gehalte van pik op tafel leggen en als ze echt wat verder gaan dan willen ze hem ook wel helemaal uitrollen om te kijken wie de langste heeft. Vrouwen hebben daar meestal wat minder zin in en door die omgeving kiezen ze liever voor een rol waar het wat leuker is met anderen.” Dus, meer vrouwen betekent minder competitie? Jessica: “Nee, vrouwen kunnen ook wel echt bitches zijn. Maar, als er veel mannen aan de top zijn, gaan ze niet ineens vrouwen erbij vragen. Als die mannen elkaar allemaal goed begrijpen, werkt het allemaal wat makkelijker en als er dan een vrouw bijkomt, moeten ze ineens moeite doen. Maar als het eenmaal allemaal mengt, snap je elkaar beter en gaat het ook beter.”
Hoe, met vrouwenquota? Minister Olegren zei eens dat 30% in de boardroom vrouw moest zijn en er zijn maar weinig bedrijven die dat halen. Moet je dat afdwingen met een wet, of alleen de getallen laten zien en hopen dat het verandert? Jessica: “Nee, moet geen doel zijn meer vrouwen te krijgen, je moet leren hoe je het beste een bedrijf kunt besturen en dat is door een gezonde combinatie te hebben. Als je twee CISO-afdelingen tegen elkaar zet, de een wordt bestuurd door een vrouw, de andere door een man dan zie je de verschillen, afhankelijk van hoe dat past bij de rest van de organisatie. Percentages afdwingen vind ik gek. Het is belangrijk om jonge vrouwen die het vakgebied in willen, te motiveren, maar blijf vooral ook jezelf.”
Jonge vrouwen motiveren om in de IT te gaan is ook wat Cynthia en Jessica ook zelf veel doen. Ze zitten in een netwerk van vrouwelijke mentoren voor jonge vrouwelijke professionals. Cynthia doet ook met Cybersprint cybersecurity programma’s op scholen en Jessica heeft bij Deloitte ook een girls hack lab opgezet. Jessica: “Er was al een hacklab en daar kwamen alleen jongetjes op af. Toen heb ik met een collega girls lab opgericht en actief meiden gevraagd. Het werd wel een beetje een kippenhok, gillen enzo, terwijl jongens toch wat stoerder zijn – maar het was wel superleuk.”
Cynthia vraagt aan Jessica wat ze het allerleukste vindt aan haar baan. Jessica: “Alle mensen met wie ik werk, houden van hun baan. Er zit niemand die denkt: ‘Ik kan zo weer naar huis’. Als ik mensen zo meteen zou bellen over een incident, klimmen ze allemaal in een conference call, ook als het nu vroeg in de ochtend in Sidney en middag in Chicago. Deze mensen zijn bloedfanatiek en willen van elkaar leren. Dat vind ik echt leuk.” Cynthia: “Ja, dat herken ik, bij mezelf en ook bij de dames voor de pauze en dat zorgt ervoor dat we veel bereiken.”
Onze laatste dame van de avond hebben al eens eerder gezien bij Hack Talk: Petra Oldengarm, directeur van brancheorganisatie Cyberveilig Nederland. Ook zij heeft ooit bij KPN gewerkt, als Research Innovation Manager. Verder is ze teamhoofd geweest bij het Ministerie van Binnenlandse Zaken, Senior Manager Windmolenonderzoek en IT Manager bij Energieonderzoek Centrum Nederland en Director Cyber Security en lid MT bij Hoffmann Bedrijfsrecherche. Een indrukwekkende loopbaan, waarin ze vaak technisch onderzoek combineerde met managementtaken.
Foto: @itcampusrdam
Petra heeft net als Jessica Informatica gestudeerd. Petra: “Ik kwam daar dankzij een campagne, de ‘THEA studeert techniek dagen’. Ik ging eerst kijken bij Electrotechniek, maar dat vond ik niks. Toen met vriendinnen naar Technische Informatica. Dat sprak me erg aan, want ik was goed in wiskunde. Dit ging over logisch nadenken, maar dan meer toegepast. Ik hou ook van puzzelen en cryptoachtige dingen. Maarja, daar zat ik dan tussen 50 jongens en een meisje. Die kwam van de Antillen en had haar vader beloofd Informatica te gaan studeren. Een week later zat ze op de kunstacademie. Dat was wel even slikken, want hoe handhaaf je je als enig meisje tussen 50 jongens?”
Hoe verklaart zij het lage percentage vrouwen in IT? In de internationale statistieken bungelt Nederland onderaan, terwijl de lijst wordt aangevoerd door landen als Bulgarije en Roemenië, die niet echt bekend staan om emancipatie. Petra: “IT zorgt voor baanzekerheid. Maar IT-banen zijn ook typisch 40-uurs banen en in Nederland willen veel vrouwen liever een deeltijdbaan. Ik zie veel passie en energie bij de vrouwen op deze avond en dat zie ik ook bij mijn mannelijke collega’s. Ik zou willen dat we dat wat breder uitdragen. Ik geloof ook in diversiteit binnen teams. En, enthousiasme werkt aanstekelijk.”
En wat moeten wij mannen vooral niet doen? Petra: “Ik ging eens naar een conferentie in het buitenland met een vrouwelijke technische collega en een mannelijke leidinggevende die zei: ‘I brought two women, to be beautiful.’ Je kunt ook wel verzinnen dat je dat niet nodig hebt. Dan kost het een dag om je positie te heroveren en pas als je een presentatie geeft, zie je ze denken: ‘Oh ze is geen tolk maar een techneut’. Nog een voorbeeld. Ik werd een keer geïntroduceerd in het Management Team door mijn leidinggevende. Hij zei: ‘Hiermee heb ik aangetoond dat er in deze organisatie geen glazen plafond is.’ Ik merkte toen bij wijze van grap op dat er best nog wat vrouwen bij zouden kunnen, ook in de directie. Eenmaal buiten zei hij: ‘Als je nog een keer zo’n opmerking maakt, dan heb je hier een buitengewoon overzichtelijke carrière’.”
Mixen is mooi, maar stel dat jullie zouden moeten kiezen: een team met alleen maar mannen, of een team met alleen maar vrouwen, waar zouden jullie het liefst werken? Beiden kiezen dan toch voor het mannenteam. Jessica: “Ik vind het best OK dat mannen wat eigenwijzer zijn en niet direct geloven wat er staat. Dat kritisch zijn, mogen vrouwen ook wel vaker doen.” Petra: “Ik heb ook wel eens gewerkt met allemaal vrouwen en dan heeft die weer gedoe met die en dan praat je met die en dan heb jij het weer gedoe met die andere... Dat heb je niet zo snel met mannen. Heb je ruzie en praat je het uit, dan is het daarna ook goed. Mannen hebben niet zo’n olifantengeheugen – al heb je wat dat betreft ook wel vrouwelijke mannen...”
Hoe dan ook, een gezonde gendermix is het beste. We gaan daarom nu over naar de uitreiking van het Roze Slot voor het cyber security bedrijf met de meeste vrouwen. De werving verliep via een oproep op Twitter en LinkedIn en via de ledenlijst van Cyberveilig Nederland. De oogst: vier inzendingen... Petra: “Dat laat wel zien dat veel bedrijven al denken nooit de norm te halen. Het gemiddelde is 8% en de inzenders zitten daar ver boven, en veel anderen er ver onder.” Vervolgens: welke vrouwen tel je wel en niet mee? Iemand had namelijk op Twitter al gevraagd of secretaresses ook meetellen. Nee, alleen de specialisten, niet het ondersteunend personeel. Vervolgens: welke specialisten? Ook psychologen en onderwijskundigen die aan security awareness doen? En de complience officers en andere juristen? Kan, maar als ze wel in gemengde teams werken met techneuten en niet alleen maar ‘zachte skills’ hebben. Tot slot moet een bedrijf ook wel enige omvang hebben, want anders kan een zelfstandige hackster al snel de 100% claimen...
Foto: @okoeroo
En de winnaar is ... Deloitte. Daar is 25% van de cybersecurity afdeling vrouw. De prijs wordt symbolisch in ontvangst genomen door een vrouw en een man. Anne Ardon is Consultant Cyber Risk Advisory in het Strategy Team. Als ik haar het slot wil geven, zegt ze dat die eigenlijk naar haar mannelijke collega moet, Jelle Niemantsverdriet. Hij is directeur Cyber Risk Services en verantwoordelijk voor de werving en selectie. Het is volgens haar vooral aan hem te danken dat hun club zo’n goeie genderbalance heeft.
Jelle vindt dat zelf te veel eer: “Ik ben er wel officieel verantwoordelijk voor, maar het komt vooral door onze cultuur van openheid en verbinden die leidt tot meer diversiteit, ook in man-vrouw verdeling. Het is een soort zeepbel: ik kan hem in een bepaalde richting blazen, maar als ik te dicht bij kom blaas ik hem kapot.” Mooie metafoor, maar wie neemt nu die prijs in ontvangst? We geven Anne de sleutel en Jelle krijgt het slot, met een ketting om zijn nek. Zo krijgt hij de prijs, maar houdt Anne de controle erover.
Dank aan Cyberveilig Nederland voor de werving en selectie. Eigenlijk had ik ook nog een Loden Lul willen uitreiken, de prijs voor het Cyber Security bedrijf met de minste vrouwen. Maar dat vond Petra niet zo’n goed idee: “Naming en shaming werkt niet, positief zijn wel.” Toch hoopt ze dat ook een prijs als het Roze Slot binnenkort niet meer hoeft omdat er dan wel genoeg vrouwen in cyberspace zijn...
Wil je op de hoogte blijven? Meld je dan aan voor onze nieuwsbrief. Heb je suggesties voor ons programma? Mail ons. Toegang is gratis. Dat kan omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: