BlackGirlsHack-Gründerin: “Ich versuche zu verändern, wie die nächste Generation der Cybersicherheit aussieht

Cyber Security News

Teilnehmerinnen der Konferenz “Grace Hopper Celebration of Women in Computing” nähern sich den Keynotern Sheryl Sandberg und Maria Klawe. (Anita Borg Institute/CC BY-NC-ND 2.0)

Die Cybersicherheitsbranche strebt nach einer vielfältigen Belegschaft, aber die Zahl der Frauen und People of Color in den Reihen – und insbesondere in den Führungspositionen – bleibt ungerechtfertigt niedrig.

Als der Black History Month zu Ende ging und der Women’s Month begann, diskutierte BlackGirlsHack-Gründerin Tennisha Martin mit SC Media über die Hindernisse, die der Vielfalt in der Cybersecurity-Belegschaft im Wege stehen, und darüber, wie eine kürzlich geschlossene Partnerschaft mit RangeForce der Non-Profit-Organisation dabei helfen wird, einen Beitrag zur Veränderung zu leisten.

Was war die Motivation für die Gründung von BlackGirlsHack?

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/Tennisha-Martin79195.jpeg]Tennisha Martin, BlackGirlsHack

Martin: Ich versuche buchstäblich zu ändern, wie die nächste Generation der Cybersicherheit aussieht, damit es mehr Parität, mehr Vielfalt gibt. Wenn man Zahlen wie 3 % Afroamerikaner in diesem Bereich sieht, und ich glaube, vielleicht 17 % Frauen in diesem Bereich, ist das irgendwie entmutigend. Ich möchte, dass die Leute mehr schwarze und braune Gesichter und Frauen in der Cybersicherheit sehen, damit man zum Beispiel auf Konferenzen nicht nur eine ganze Reihe von älteren weißen Männern sieht, die die Branche dominieren.

Warum sind die Fortschritte in Richtung Diversität so bescheiden, trotz der Unterstützungserklärungen von Cybersicherheitsunternehmen und der Branche insgesamt?

Martin: Eines der Argumente, die ich immer wieder vorbringe, ist, dass in Algorithmen und maschinellem Lernen eine Menge Voreingenommenheit und Diskriminierung steckt, basierend auf den Daten, die es gibt und die auf den wissenschaftlichen Ingenieuren basieren, die im Raum sind. Bis wir anfangen, mehr farbige Menschen und mehr Frauen in diesen Räumen zu sehen, werden die Daten voreingenommen gegenüber dem sein, was gegeben ist. Ich hoffe also wirklich, dass wir innerhalb der nächsten Generation oder so anfangen werden, viel mehr Frauen in der Cybersicherheit zu sehen.

Wie motivieren und engagieren Sie die aufstrebende nächste Generation der Cybersicherheit?

Martin: Sie müssen Beispiele dafür sehen, wie das aussieht, um Leute wie sie zu sehen. Ich habe einen Medium-Artikel von einer schwarzen ethischen Hackerin, der ich folge, wiedergegeben – sie sprach über einige der Dinge, die die Leute zu ihr gesagt haben. Sie ist eine Penetrationstesterin, zertifiziert in ihrem Bereich. Trotzdem sagen die Leute Dinge wie “Hey, weißt du, wie man einen Router konfiguriert”, oder andere ziemlich grundlegende Dinge. Warum haben Sie das Gefühl, dass Sie es abschwächen oder auf die Grundlagen zurückführen müssen? Ist es, weil sie eine Frau ist, oder ist es, weil sie eine schwarze Frau ist? Würden Sie das zu einem Ihrer weißen männlichen Kollegen sagen? Ich kann also nur auf Beispiele dafür hinweisen.

Und das andere Problem, das Black Girls Hack zu lösen versucht, ist die Repräsentation. Wir [did] Feature Freitags – mit Männern, Frauen und Kindern über Black History Month, die Beiträge zu STEM gemacht haben und was frühen Zugang für Kinder tut. Wenn Sie Menschen sehen können, die wie Sie sind, die in diesen Positionen sind, dann können Sie wissen, dass es für Sie möglich ist, dorthin zu gelangen. Genauso, wie Sie sagen: “Hey, ich will wie Mike sein oder wie Tyler Perry.” Sie sollten in der Lage sein, die gleiche Art von hochkarätigen Persönlichkeiten in der Cybersicherheit zu sehen. Für mich ist einer meiner Lieblings-Hacker Marcus J. Carey. Er ist ein Schwarzer, er gehört zum Stamm der Hacker. Ich möchte, dass die Leute hochkarätige Leute haben, an denen sie sich orientieren können und sagen: “Hey, das ist ein Ziel für mich.”

Das ist ein guter Anreiz, besonders wenn man jung ist.

Martin: Das ist so wichtig, vor allem, wenn man jung ist. Es ist vielleicht kein bewusster Gedanke, dass es niemanden gibt, der so aussieht wie man selbst, oder man merkt es vielleicht, wenn man älter wird. Aber in der Lage zu sein, diese Leute vor sich zu haben, die großartige Dinge tun und lobenswerte Dinge und interessant und lustig sind. Vieles von dem, was im Cyberspace passiert, ist so aufregend. Im Allgemeinen wissen einige junge Leute gar nicht, wie viel Spaß es macht und welche Möglichkeiten es gibt.

Was sind einige der Programme und Aktivitäten, die Sie umgesetzt haben, um Veränderungen hervorzurufen?

Martin: Wir versuchen, unsere Programme basierend auf den Problemen zu strukturieren, die wir als Eintrittsbarrieren für die Branche sehen. Einige davon sind, dass es keine praktischen Fähigkeiten gibt. Also unterrichten wir Freitagabends Kurse für Labortechnik. Wir unterrichten einen Einführungskurs in “Capture the Flag”. Wie macht man mit, denn viele Leute sehen diese nationalen Wettbewerbe und fühlen sich eingeschüchtert. “Ich bin nicht gut genug, um mitzumachen, ich weiß nicht genug, um mitzumachen, ich bin nur ein Anfänger.” Ich bringe sie zurück zu den Grundstufen und sage: “Hey, wir werden über die Herangehensweise an diese Art von Problemen sprechen.” Ich finde “Capture the Flags” absolut großartig, weil es einen Einblick in die verschiedenen Bereiche der Cybersicherheit gibt.

Einige der anderen Dinge, die wir tun, sind unsere 30-plus-Studiengruppen und Certified Ethical Hacking-Studiengruppen. Wir bieten die wichtigsten Zertifizierungen an, die Leute, die in die Cybersicherheit einsteigen, erhalten. Wir bieten diese Studiengruppen an, um ihnen zu helfen, diese Zertifizierungen zu erhalten.

Sie haben kürzlich einen Deal mit RangeForce abgeschlossen, um einen erschwinglichen Zugang zu dessen Lernmodulen zu erhalten, damit Mitglieder Ihrer Truppe reale Fähigkeiten erwerben und Karrieren in der Cybersicherheit realisieren können. Was bedeutet das für die Ziele von BGH?

Martin: RangeForce war absolut erstaunlich. Sie haben sich gemeldet und gesagt, dass sie eine Trainingsplattform haben. Sie hat eine Menge verschiedener Bereiche innerhalb der Cybersicherheit. Es gibt eine Menge Trainingsmöglichkeiten für blaue Teams sowie einige violette und auch einige gelbe Schulungen. Wenn Sie sich die Bestenliste ansehen, haben wir einige Leute, die mehr als 20 Module absolviert haben. Wir haben einige Leute, die noch auf dem Weg sind. Es ist ein Selbststudium, so dass es für sie einfach ist, die Arbeit zu bewältigen. Es bietet ihnen Anschauungsmaterial und Informationen, damit sie lernen können. Denn wir haben eine breite Palette von [RangeForce] Angeboten [members] wählen, woran sie arbeiten wollen. Nicht jeder ist im blauen Team, nicht jeder ist im roten Team. Manche Leute wollen an der Schnittstelle zwischen verschiedenen Bereichen arbeiten. Mir gefällt, dass RangeForce diese Vielseitigkeit bietet. Und ich finde es großartig, dass sie es uns spenden, damit das Team es nutzen kann. Sie bekommen es kostenlos, und ich finde diese Großzügigkeit absolut erstaunlich, denn das ist definitiv etwas, das wir brauchen – mehr Training.

Ich bin gar nicht so sehr im blauen Team, ich bin sehr im roten Team. Wenn sie nur von mir lernen würden, hätten wir da draußen eine ganze Reihe von Hackern, die das rote Team anführen. Aber mit RangeForce werden wir mehr Ausgewogenheit haben.

Sehen Sie ähnliche Beziehungen zu anderen Unternehmen wie die, die Sie mit RangeForce aufgebaut haben?

Martin: Ich hoffe, dass mehr Organisationen ihrem Beispiel folgen. Mein Ziel ist es, mit viel mehr tollen Unternehmen zusammenzuarbeiten. RangeForce gab uns das Training, das wir in vielen blauen Teams durchführen. [scenarios]. Aber es gibt auch viele andere Bereiche der Cybersicherheit, daher würde ich zum Beispiel gerne mit einigen Anbietern von Zertifizierungen zusammenarbeiten, um einige der finanziellen Hürden zu verringern. Das Ethical Hacking Field Exam kostet 1.300 Dollar. Security Plus, das definitiv eine Grundstufe für jeden in der Cybersicherheit ist, egal in welchem Bereich, kostet fast 400 Dollar. Für Menschen, die vielleicht unterbeschäftigt sind oder keine Arbeit haben oder den Beruf wechseln, die Familie haben, ist es manchmal eine große Hürde, vielleicht 1.500 bis 2.000 Dollar auszugeben, nur um in die Tür zu kommen.

Ich hoffe, dass wir durch andere Partnerschaften dazu beitragen können, einige dieser Eintrittsbarrieren abzubauen, so dass das Einzige, was dem Kader – so nenne ich die Menschen in unserer Organisation – und ihren Zielen im Wege steht, sie selbst sind. Sie müssen nur die Motivation aufbringen, wir haben das Training, wir haben die Zertifizierungen. Wir haben das Mentoring. Wir haben die Vorstellungsgespräche. Wir bieten diese Dienstleistungen an, so dass das Einzige, was Sie tun müssen, darin besteht, zu lernen und hart zu arbeiten und Ihren Job zu bekommen.

Allein in den Vereinigten Staaten gibt es etwa 500.000 offene Stellen im Bereich Cybersicherheit, und ich habe Hunderte von Leuten, die versuchen, Jobs im Bereich Cybersicherheit zu bekommen. Wie können wir also diese Leute in diese Jobs bringen? Wir müssen herausfinden, was die Barrieren für sie sind, die Torwächter. Ich kann nicht reingehen und Algorithmen für Talentsysteme ändern. Ich kann nicht reingehen und den Bias von großen Daten für maschinelles Lernen ändern. Aber ich kann helfen, den Lebenslauf so zu strukturieren, dass er diese ETL-Systeme durchläuft, und das ist etwas, das ich der Gruppe helfen kann, um eine Karriere in der Cybersicherheit zu machen.

Bei so vielen unbesetzten Cybersecurity-Jobs und Unternehmen behaupten, dass sie versuchen, ihre Reihen zu diversifizieren, welche anderen Faktoren halten die Zahlen so niedrig?

Martin: Also, ich denke, es gibt mehrere Faktoren, die damit zusammenhängen. Ich habe das Gefühl, dass es mit der Art und Weise zu tun hat, wie die Gesellschaft denjenigen, die aufsteigen, unbewusste Dinge ins Ohr flüstert. Ich bin zum Beispiel in einer Reihe von Beiräten, und einige von ihnen arbeiten an Kriterien zur Überprüfung von Lebensläufen. Frauen sehen sich oft eine Stellenausschreibung an und sagen: “Ich erfülle nur 60 bis 70 Prozent der Anforderungen für diese Stelle. Ich werde mich nicht bewerben, weil ich nicht 100% erfülle.” Und dann werden Sie Männer haben, die sie anschauen und sagen: “Hey, ich erfülle 60 bis 70 %, ich werde mich bewerben.” Es ist eine Ebene des Vertrauens. Es ist ein bisschen das Imposter-Syndrom, denn ich habe das Gefühl, wenn man sich auf eine Stelle bewirbt, erfüllt man 100 % der Kriterien für die Stelle.

Sie glauben, 100 % der Kriterien für eine Stelle zu erfüllen, ist nicht unbedingt positiv. Warum ist das so?

Martin: Sie bringen alles für diese Position mit, also können Sie natürlich die Aufgaben erfüllen, aber wie werden Sie als Individuum wachsen und in der Lage sein, einen Mehrwert für die Organisation zu schaffen? Sie wissen, dass Sie bereits alles wissen, was in dieser Position vor sich geht. Ich versuche also, den Leuten zu sagen, vor allem denjenigen, die im Kader sind, dass sie sich für Dinge bewerben sollen, bei denen sie das Gefühl haben, dass sie gut hineinpassen und einen Mehrwert bringen können. Wenn wir uns dann ihre Lebensläufe ansehen, arbeiten wir daran, den Mehrwert herauszustellen, den sie für das Unternehmen mitbringen und was sie in ihrem letzten Unternehmen geleistet haben. Konzentrieren Sie sich auf harte Fakten und Zahlen. Die Leute wollen sehen, dass Sie Effizienz mitbringen, und sie wollen sehen, dass Sie Begeisterung und neue Ideen für die Position mitbringen. Wenn Sie reinkommen und alles wissen, glaube ich nicht, dass das Ihnen oder dem Unternehmen unbedingt helfen wird, zu wachsen.

Wir müssen Frauen und alle Menschen, denen es an Selbstvertrauen mangelt, davon überzeugen, dass sie sich einfach bewerben sollten. Dann nutzen Sie es als Gelegenheit, an Ihren Interviewfähigkeiten zu arbeiten, an einigen der Soft Skills, die Sie brauchen, um konkurrenzfähig zu sein, damit das nächste Interview umso besser läuft. Sie werden die Arten von Fragen verstehen, die Ihnen gestellt werden, und Sie werden in der Lage sein, sie zu beantworten. Und Sie können dem Personalverantwortlichen Ihre Argumente darlegen, weil Sie das Tracking-System durchlaufen haben. Ich glaube, es geht einfach um Selbstvertrauen und den Glauben an Ihre Fähigkeiten, so dass Sie das jemandem gegenüber zum Ausdruck bringen können, der Sie fragt, was Sie dem Unternehmen bringen.

Arbeiten Sie mit Wirtschaftsförderungsräten und Städten, Gemeinden und Unternehmen zusammen, um qualifizierte Kandidaten in den Vordergrund zu rücken?

Martin: Mir ist definitiv klar, dass es etwas ist, das getan werden muss. Wir müssen mit den Diversity- und Inclusion-Leuten in allen Organisationen zusammenarbeiten, um zu versuchen, einen vielfältigeren Talentpool in die Organisationen zu bekommen. Vieles von dem, worüber Sie sprechen, hat mit Netzwerken zu tun und damit, die richtigen Leute zu kennen. Ich habe zum Beispiel versucht, die Netzwerke zu nutzen, die ich von Clubhouse oder anderen Leuten, mit denen ich in Kontakt stehe, bekomme, um zu sagen: “Wenn du denkst, dass wir etwas tun müssen, kannst du mir helfen, mich mit Leuten bekannt zu machen, die das möglich machen können?” Ich möchte nicht nur in ihrem Posteingang sitzen und darauf warten, dass sie meine LinkedIn-Anfrage akzeptieren, damit ich ihnen eine Nachricht schicken kann.

Es wird viel über Vielfalt geredet und die Absichten sind gut, aber es scheint, dass die Bemühungen manchmal zu kurz greifen.

Martin: Es ist ein Unterschied, ob man nur schöne Worte findet oder ob man sie auch tatsächlich umsetzt. Es ist eine Sache, zu sagen, dass man versuchen will, die Vielfalt zu erhöhen und den Leuten zu helfen, und es ist eine andere Sache, wenn eine RangeForce kommt und sagt, dass sie den Leuten eine ganze Reihe von Trainingsplattformen spenden wird. Also müssen die Leute das tatsächlich durchziehen.

Ich persönlich versuche nun schon seit vier Jahren, in eine 100%ige Cybersecurity-Rolle zu kommen, mit mehreren Master-Abschlüssen. Und wenn ich den Leuten erzähle, dass ich nach einem Job suche, sagen sie: “Wir würden Sie einstellen.” Aber ich schicke meinen Lebenslauf und dann höre ich nichts mehr. Es gibt Leute, die die Arbeit machen können, die Zertifizierungen und Abschlüsse haben und trotzdem keinen Job finden. Ich bekomme keine Antworten zurück. Ein Teil davon ist, dass mein Name Tennisha ist, also sehen sie mich kommen. Es kann sein, dass ich nicht durch ein System komme, nur weil es eine Voreingenommenheit gibt, die eingebaut ist. Lassen Sie uns einige der Pförtner entfernen, lassen Sie uns einige der Barrieren beseitigen und es mehr zugänglich machen.

Kürzlich war in den Nachrichten zu lesen, dass eines der großen Unternehmen ein Memo veröffentlicht hat, in dem es hieß, dass sie kein Recruiting bei [historically black colleges and universities] weil sie das Gefühl hatten, dass die Kandidaten nicht ihren Standards entsprachen. Diese Art von Voreingenommenheit, die eine ganze Gruppe oder Klasse von Menschen ausschließt, erscheint mir absolut lächerlich, denn unabhängig von Ihrer Hautfarbe, wenn Sie die Qualifikationen und Fähigkeiten haben, um den Job zu bekommen, dann sollten Sie in der Lage sein, einen Job zu bekommen und zu beweisen, dass Sie die Arbeit machen können.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com