Inom cybersäkerhet pratar vi mycket om risker, hur man bedömer dem, prioriterar dem och minskar dem. Vi mäter mognad i ramverk, implementerar kontroller med precision och förväntar oss att alla intressenter förstår sitt ansvar. Men det finns en risk som de flesta organisationer fortfarande behandlar som valfri. Den finns inte i deras register, inte i deras färdplaner och definitivt inte i deras budgetar. Den risken? Uteslutning.
Underrepresentationen av kvinnor och andra marginaliserade grupper inom cybersäkerhet har dokumenterats välÄndå har nålen inte rört sig på något meningsfullt sätt. Faktum är att vissa indikatorer tyder på att den rör sig bakåt. I Storbritannien är andelen kvinnor inom cybersäkerhet sjönk från 22 % till bara 17 % under det senaste året, en svindlande nedgång i en av världens viktigaste och snabbväxande sektorer.
Så varför har inte representation löst problemet? För representation ensamt är inte lösningen. Inkludering, som är strukturell, mätbar och inbäddad, driver företagens motståndskraft. Och i en bransch som präglas av ständig förändring och komplexitet är inkludering inte något "bra att ha". Det är en affärskritisk kontroll.
Bristen på arbetskraft inom cybersäkerhet är inte bara ett problem med rörledningar
Globalt sett Cybersäkerhetspersonal står inför en brist på nästan 4 miljoner yrkesverksamma, enligt World Economic Forums rapport Global Cybersecurity Outlook 2025. I Storbritannien har antalet roller inom cyberbranschen ökat med 128 % under de senaste tre åren.Efterfrågan skjuter i höjden, men rekrytering av talanger är fortfarande ett stort hinder för säkerhetschefer.
Traditionellt har denna brist framställts som ett "pipelineproblem". Om bara fler unga kvinnor tog STEM-examen. Om bara fler flickor var intresserade av kodning. Om bara vi hade fler förebilder.
Dessa berättelser ignorerar det verkliga problemet: kvinnor och mångsidiga yrkesverksamma ger sig in i branschen, men de stannar inte. Enligt Microsoft, Kvinnor är 45 % mer benägna att lämna teknikroller än sina manliga motsvarigheter.Det är inom personalomsättning och utveckling som branschen tappar talanger.
Det är inte ett pipeline-problem; det är ett arbetsplatsproblem. Och inom cybersäkerhet blir det arbetsplatsproblemet en motståndskraftsrisk.
Inkludering är inte en distraktion från risk, det stärker riskhanteringen
Säkerhet är till sin natur tvärvetenskapligt. Det kräver juridiska, tekniska, beteendemässiga, strategiska och operativa insatser. Det betyder att de bästa resultaten kommer från mångsidigt tänkande och en samarbetskultur. Homogena team, oavsett om det gäller identitet eller disciplin, är mer benägna att drabbas av blinda fläckar, bekräftelsebias och grupptänkande.
Tänk på följande:
- En rapport från McKinsey fann att könsfördelade ledningsgrupper hade 25 % större sannolikhet att uppnå lönsamhet över genomsnittet.
- Forskning från Bayes Business School visade att ökad kvinnlig representation i finansinstituts styrelser korrelerade med en betydande minskning av böter, i vissa fall motsvarande en årlig besparing på 6 miljarder pund.
- Inom cybersäkerhet presterar mångfaldiga team bättre än tidigare inom scenarioplanering och hotmodellering. De är mer benägna att förutse okonventionella attackvektorer och utmana antaganden som undergräver säkerhetsställningen.
Logiken är enkel: olika lag ser olika risker och utformar därför bättre försvar.
Var branschen har gått fel
Trots otaliga informationskampanjer, evenemang för den internationella kvinnodagen och skolinitiativ inom STEM kvarstår representationsproblemet. Varför?
Eftersom de flesta tillvägagångssätt för mångfald inom cyber har varit performativa, fragmenterade och underfinansierade. De förlitar sig på passion, inte politik. Och de lägger ofta bördan av förändring på just de människor som är mest exkluderade.
Låt oss analysera de systemiska bristerna:
- Ytliga DEI-program
Insatser för mångfald, jämlikhet och inkludering (DEI) är ofta vaga och omätbara. Att ”öka medvetenheten” är inte en strategi. Om du kan mäta din uppdateringstakt kan du mäta din marknadsföringsjämlikhet.
- Ledarskapets blinda fläck
Alltför många IT-chefer och chefer på styrelsenivå ser inkludering som något separat från "verklig" risk, något som HR kan hantera. Men inkludering är direkt kopplat till:
- Arbetskraftsstabilitet
- Kulturell implementering av säkerhetsrutiner
- Etiskt beslutsfattande i kriser
Om det inte finns i din styrningsstrategi saknar du en viktig del av ditt säkerhetsramverk.
- Dold fientlighet
Partiskhet har inte försvunnit, den har bara blivit svårare att se. Kvinnor inom cyberbranschen rapporterar fortfarande att de utestängs från ledarskapsvägar, oproportionerligt granskas och att arbetsplatskulturer där framgång möts av motstånd istället för stöd. Utan strukturell förändring urholkar dessa förhållanden mångfalden i det tysta.
- Frikopplade allierade
Män innehar fortfarande den stora majoriteten av ledarpositioner inom cyberbranschen. Ändå känner sig många osäkra på hur de ska hjälpa till eller är rädda för att säga fel sak. Andra uppfattar felaktigt inkludering som ett nollsummespel. Denna stagnation leder till att för få vidtar meningsfulla åtgärder.
Inkludering som en affärskontroll
Så, hur ser effektiv och motståndskraftig inkludering egentligen ut inom cybersäkerhet? Det liknar mycket andra mogna kontroller: strategiska, granskningsbara och kopplade till affärsresultat.
Datadrivet beslutsfattande
Spåra de mätvärden som är viktiga:
- Vem ansöker?
- Vem blir befordrad?
- Vem åker, och varför?
Använd dessa data på samma sätt som du använder intrångsdetektering: för att upptäcka mönster som kräver utredning och åtgärder.
Ansvarsfullt ledarskap
Inkludering bör vara en del av ledarskapets nyckeltal, precis som operativ risk eller regelefterlevnad. Det är inte ett valfritt initiativ; det är ett styrningsansvar.
Strukturell förändring framför symbolik
Paneler och mentorskap är användbara, men de reparerar inte trasiga system. Inkludering innebär att skriva om rekryteringsprocesser, erbjuda flexibla karriärvägar och säkerställa psykologisk trygghet i alla roller.
Intersektionalitet i praktiken
Kön är bara en lins. Sann inkludering innebär att undersöka hur identitet, bakgrund, förmåga, neurodivergens, vårdgivande status och mer möts för att påverka möjligheter. Målet är inte representation för optiken, det är jämlikhet i resultat.
Varför detta betyder mer än någonsin
Cybersäkerhet har aldrig varit mer verksamhetskritiskt. I takt med att vi står inför eskalerande ransomware-attacker, AI-genererade hot och alltmer komplexa regelverk, som NIS 2 och DORA, behöver vi människor som kan tänka annorlunda, agera snabbt och samarbeta över olika discipliner.
Inkludering är inte en social kampanj. Det är en strategi för motståndskraft.
Om vi vill bygga säkerhetskulturer som fungerar, kulturer där anställda rapporterar incidenter, följer policyer och bryr sig om skydd, behöver vi inkluderande miljöer som människor vill vara en del av. Miljöer där röster hörs, bidrag erkänns och ledarskapet är mångsidigt i tankesätt och erfarenheter.
För här är sanningen: inkludering är infrastruktur. Utan den står allt vi bygger på skakig mark.
Fixa systemet, inte människorna
Vi har bett kvinnor och andra marginaliserade yrkesverksamma att anpassa sig till cybersäkerhet, att passa in i system som aldrig utformats med dem i åtanke. Det har inte fungerat. Siffrorna bevisar det. Berättelserna förstärker det. Och kompetensgapet vidgas på grund av det.
Det är dags att byta synvinkel. Organisationer måste anpassa sig till de talanger de vill behålla. Det betyder:
- Integrera inkludering i varje steg av medarbetarens livscykel
- Hålla ledare ansvariga för rättvisa resultat
- Investeringar i verklig strukturell förändring, inte bara informationskampanjer
Om inkludering inte är en del av din riskstrategi är din riskstrategi ofullständig. Och i en bransch där hoten utvecklas minut för minut är det inte bara dålig optik: det är dålig säkerhet.
