Pressen att digitalisera har fått it-ansvariga att gå över från att ta emot beställningar till att bli fullfjädrade partner i verksamheten. Och cheferna inom it-säkerhet har börjat gå i samma riktning.

Joanna Burkey, som kom tillbaka till HP för ett år sedan, är en CISO (chief information security officer) som går i täten för omställningen. Joanna Burkey jobbade i olika roller på HP i nästan 13 år, men slutade för att ansvara för it-säkerheten på Siemens i fem år. Där startade hon ett cybersäkerhetsprogram med inriktning på drift. Men på HP trodde Burkey att företaget hade mer att vinna på att hon fungerade som en strategisk partner till verksamheten.

– Vårt utrymme för att bredda vår inriktning fanns i att skapa nya möjlighet för verksamheten, säger Joanna Burkey till tidskriften CIO.com:

– Vi behövde sitta med vid affärsstrategibordet. Det räcker inte med att sitta vid it-bordet.

It-säkerhetsstolen vid ledningens bord

Den platsen har Joanna Burkey intagit med emfas, nu när företaget genomgår en flerårig omvandling under vd:n Enrique Lores. Och sin inställning säger Joanna Burkey att hon delar med många kollegor. Under de senaste åren har allvarliga hot i form av dataläckor tvingat vd:ar och bolagsstyrelser att ta in de säkerhetsansvariga i företagsledningen. Och många it-chefer utnyttjar tillfället till att påverka och forma affärsstrategin.

Det innebär bland annat att man förändrar sin roll från att vara en som säger ja eller nej till önskemål om it till att bli en som också ställer frågor, säger Joanna Burkey. Som CISO måste man upphöra med att mäta sina resultat med enkla mätningar av hur man förebygger hot till att utveckla beskrivningar av hur hotbärare och attacker påverkar företagets sätt att hantera risker.

Kort sagt handlar det om att väva in esoteriska mätresultat i managementspråk för att en it-chef ska kunna ha produktiva samtal med sina likar i företagsledningen om riskaptit och strategi:

– Det kan vara lockande att se mätresultaten som det viktigaste, men mätvärden säger ingenting om de inte ingår i ett samtal om risker, säger Joanna Burkey.

Och det är en berättelse som bidrar till att ”skapa en öppning för rätt cyberbeslut”.

Mångfalden inom it-säkerhet måste öka

Joanna Burkey ser mångfald som en nyckel till HP:s omställning av it-säkerheten. Ett blandat team som omfattar ett helt spektrum av perspektiv har bättre förutsättningar att lösa problem och dela med sig av information som är avgörande för det digitala försvaret. Därför söker Joanna Burkey efter fler kvinnor, fler icke-vita och annan kompetens från underrepresenterade grupper när hon ska besätta platser inom it-säkerhet och hotbevakning, liksom molnspecialister som är villiga att lära sig it-säkerhet. Hon riktar också in sig på mjukare kompetens, till exempel personal som kan analysera affärsnytta och underlätta relationerna med olika intressenter.

I synnerhet behöver Joanna Burkey medarbetare som på rätt sätt kan formulera risk inom ramen för risker för företaget – något som går längre än den hantering av återkommande hot som traditionella it-säkerhetsexperter är bra på.

– Vi har kompetensluckor att fylla, säger Joanna Burkey.

Men Joanna Burkey är fullt medveten om mångfaldsproblemen inom it-säkerhet, inte minst när det gäller kön. Hon minns när hon var ”den enda kvinnan i rummet” i sina olika befattningar, och hon gick så långt att hon ”förändrade sig för att anpassa mig”. Med tiden insåg hon att när hon gjorde det som hon trodde att hon måste göra för att nå framgång, så var hon ”falsk mot sig själv”. Slut med det.

Men detta kan vara lättare sagt än gjort för kvinnor, för könsklyftan består. Kvinnor utgår bara 24 procent av de som arbetar inom it-säkerhet, enligt organisationen ISC2. Skillnaden blir ännu mer skrämmande högre upp på karriärstegen. Bland CISO:er utgör kvinnor bara 13 procent bland företagen på Fortunes lista över de 500 största, och bara 9 procent på Financial Times FTSE-lista för Europa. Det kan jämföras med 11 procent av it-direktörerna och 9 procent av de tekniska direktörerna (enligt Gartners siffror).

Joanna Burkey säger att det har blivit svårare att locka unga kvinnor till vetenskap, teknik och systemutveckling. Men hon försöker ändra det på HP genom att beskriva befattningar på sätt som ska ge genklang, även bland mindre erfarna sökande. Hon har till exempel märkt att en del kvinnor och potentiella sökande från andra grupper undviker it-säkerhetsbranschen eftersom många av befattningsbeskrivningarna är fulla med tekniska kvalifikationer som tycks vara skräddarsydda för medelålders it-proffs.

– Jag har en bakgrund inom it, men jag är knappast bland de fem bästa när det gäller CISO-kvalifikationer, säger Joanna Burkey om de olika certifieringar och andra kvalifikationer som krävs i platsannonser:

– Vi måste ändra på hur vi talar om dessa befattningar och om branschen.

Tills vidare har Joanna Burkey dessa tips för kvinnor som vill lyckas i ledande befattningar:

  • Var autentisk. Även om det kan vara frestande att bete sig som kollegorna för att passa in så råder Joanna Burkey de medarbetare som hon är mentor för att vara sig själva. Det var något hon lärde sig tidigt i sin yrkesbana när hon försökte uppträda som människor ”som inte såg ut som jag och betedde sig som jag”.
  • Var inte rädd för att röra dig i sidled. Det finns människor som planerar sin karriär steg för steg mot ett bestämt mål. Men Joanna Burkey säger att det är bra att röra sig i sidled. Man lär sig nya saker för varje etapp. Joanna Burkey själv har till exempel arbetat med mjukvaruutveckling, F&U, produkthantering och strategi och i flera andra befattningar innan hon hamnade i it-säkerhet. Hon har faktiskt en gång frivilligt lämnat en post i företagsledningen därför att en annan post tilltalade henne. ”Det kan bli en erfarenhet som du kan dra nytta av i hela ditt yrkesliv”, säger hon.
  • Nätverka, nätverka, nätverka. De flesta människor nätverkar för att hitta karriäröppningar, men man bör också nätverka för att skaffa kunskap, för det kan komma till användning en vacker dag. Joanna Burkey har aldrig jobbat med ekonomi, men hon har varit angelägen om att nätverka med ekonomiexperter. Det har gjort henne bekant med ämnet, och det har inte bara hjälpt henne med it-säkerhetsbudgeten, utan också lärt henne att snacka affärer.

När allt kommer omkring handlar it-säkerhet, liksom försäkringar, om att ”maximera affärsresultaten”, säger Joanna Burkey:

– Det är pengar det handlar om.