Alissa Johnson en el Digital Enterprise Show
Alissa Johnson en el Digital Enterprise Show

“Las compañías no son transparentes en el uso que hacen de nuestros datos, pero los Gobiernos tampoco”

Alissa Johnson, CISO de Xerox y ex responsable de tecnologías de la información para el Gobierno de Obama, profundiza en los retos a los que nos enfrentamos en seguridad digital

No queremos confiar en nadie más que nosotros para tomar las decisiones importantes porque nos consideramos la autoridad de confianza, pero creo que tendremos que confiar en la inteligencia artificial”. Alissa Johnson (Albany, 1973) están convencida de que esta tecnología supondrá la primera gran disrupción en el ámbito de la ciberseguridad, pero impone sus matices. “Primero tendremos que asegurarnos de que los datos están limpios. Solo si trabajamos la información correcta, obtendremos los resultados adecuados”.

Johnson habla con la autoridad que le otorga la experiencia. La que fuera responsable de tecnologías de la información de la Casa Blanca durante el segundo mandato de Barack Obama dirige actualmente el departamento de seguridad de la multinacional Xerox. Hablamos con ella tras su intervención en el Digital Enterprise Show, uno de los mayores foros europeos sobre transformación digital, que celebró en Madrid su tercera edición.

¿Es posible que vivamos un futuro en el que se normalicen los microhackeos y chantajes al ciudadano?

Sin duda. Cada vez más dispositivos que no están pensados originalmente para ser conectados de repente empiezan a estarlo. Y hablamos de lo más cotidiano que podemos imaginar: un termómetro, el termostato de tu casa... Cuantos más aparatos inteligentes tengamos, más se expandirá la amenaza que suponen. Ahora estamos empezando a preocuparnos por cuestiones como la privacidad, pero, incluso si mejoramos ciertos aspectos de este ámbito, nuestros datos cada vez podrán usarse para más propósitos. Alguien que sepa a qué hora pongo el horno y a qué hora abro el garaje tiene una información demasiado valiosa sobre mí.

Imagina que hace un frío horrible en Washington, alguien hackea mi termostato porque lo tengo conectado y me dice que me devuelve el control si le pago un rescate en bitcoin. Es solo un ejemplo: las posibilidades son inmensas. Es el momento de afrontar el debate sobre el tratamiento de los datos personales para evitar que sea tarde y, por ello, en el sector de la ciberseguridad se están discutiendo cuestiones como el acceso o la gestión de la identidad.

Alissa Johnson en el Digital Enterprise Show

¿Es la gente consciente de la amenaza de seguridad a la que se enfrentarán en sus hogares en un futuro próximo?

Creo que en la mayoría de ocasiones pensamos en los problemas a toro pasado, después de haber sufrido las consecuencias. El mejor ejemplo de ello es el caso de Facebook. Nadie ha pensado demasiado en los riesgos del internet de las cosas porque todavía no hemos sufrido en nuestras carnes los problemas que conlleva. Nadie lee los términos y condiciones que acepta en internet, Lo aceptan pensando que todo está bien porque disfrutan de su parcela de comodidad con el servicio que les prestan a cambio. Pero creo que ahora empezamos a hacernos preguntas sobre lo que hacen las empresas con nuestros datos. ¿Durante cuánto tiempo los van a almacenar? Cuando mi madre se abrió cuenta en Facebook no se paró a pensar que la información que compartiera entonces seguiría en la red social tres años después. Mucho menos pensaría en lo que un hacker puede hacer con datos suyos que ni siquiera se acuerda de haber publicado.

¿Qué responsabilidad tienen las empresas frente a estas amenazas?

No puede entenderse la responsabilidad de las personas sin hablar de la de las empresas. Las compañías juegan un papel muy importante, tienen que hacer la tecnología asequible a los usuarios, porque, al fin y al cabo, ellos son los últimos responsables. El Reglamento General de Protección de Datos (RGPD) pretende precisamente esto: que la gente tenga control sobre su privacidad. Pero para alcanzar ese tipo de control, las organizaciones tienen que ponérselo fácil para que entiendan cómo pueden gestionar su información digital.

Las compañías no son transparentes, pero los Gobiernos tampoco

¿Qué tiene que saber el usuario para poder hacer un uso responsable de su información?

Necesita saber dónde están sus datos, para qué se usan, cómo puede acceder a ellos y quién más puede hacerlo. Los conceptos importantes son identidad y acceso. Sin identidad ni acceso, una empresa solo puede manejar una masa de datos anónimos. A mí me parece genial que se usen mis datos de forma anónima para mejorar mi calidad de vida, el problema es cuando saben quién soy y no me dicen qué hacen con mis datos.

Hemos hablado de responsabilidad de empresas y usuarios. ¿Cuál es la responsabilidad del Gobierno?

El Gobierno de cada país es responsable de proteger los datos de sus ciudadanos. Cada país se preocupa de proteger sus fronteras, sus intereses...

Pero estamos en un mundo conectado.

Cierto, por eso nuestros políticos tienen que compartir más y descubrir cómo cooperar juntos de la manera adecuada para cumplir unos objetivos comunes. Y el primero de ellos es la transparencia en el uso de los datos. Aquí es donde falla la mayoría. Las compañías no son transparentes, de ahí la necesidad del RGPD, pero los Gobiernos tampoco. Y no hablo solo de EE UU: todo el mundo usa los datos como si fueran gratis y de libre circulación, y no se puede usar lo que se quiera, como se quiera y cuando se quiera. Vamos a ver si de verdad se pone fin a esta locura.

¿Justifica la seguridad ataques a la privacidad?

Estamos entrando en una era con diferentes tipos de guerras y hablamos de distintas batallas: por un lado seguridad, por otro, privacidad. Es una situación curiosa, especialmente en EE UU. ¿Cómo vives en un país con tantas libertades y proteges a la vez a sus ciudadanos gracias a sus datos? Hay dos cuestiones: cómo ser libre y cómo dejar de preocuparme por mi seguridad. Con las empresas no existe este debate, porque basta con decirles que no quieres que usen tus datos, pero el Gobierno necesita tu información personal para ofrecerte una mayor seguridad. La línea es muy fina y tenemos que tratar de descubrir soluciones fuertes a este problema, ya que todavía no existe una respuesta.

Algunos países como China parecen haber sobrepasado esta línea primando la seguridad frente a la privacidad.

Cada país tiene umbrales diferentes y maneja la ciberseguridad a su manera. Lo extraño de este asunto es que no hay una sola respuesta: depende de cada nación y de lo que su cultura esté dispuesta a aceptar. Es igual que si hablamos del riesgo que puede a asumir una empresa: algunas tienen más tolerancia y otras son más conservadoras. Aunque el riesgo que asumen los ciudadano no es para obtener beneficio económico, sino para tener mayores comodidades en su día a día. Bienestar a cambio de información: de eso se trata.

Según el estudio Global Information Security Workforce de 2017, uno de los motivos que agrava la falta de expertos en ciberseguridad es que solo un 11% del sector son mujeres.

Tenemos un gran reto por delante como sociedad. Yo solía ser la única mujer en mi departamento, la única en las reuniones. Ya estaba acostumbrada y me sigue sorprendiendo ver cada vez más mujeres en los congresos participando en la conversación que se establece en torno a este tema. Esta visibilidad está ayudando mucho. La necesidad de que haya más mujeres en ciberseguridad y otros ámbitos tecnológicos es una cuestión de diversidad de pensamiento, diversidad en la fuerza de trabajo. Pero no solo mujeres; también gente de diferentes etnias, religiones… De esta forma expandes el número de perspectivas que puedes manejar. Ayuda a abrir las mentes y encontrar más sinergias para conseguir un mayor impacto.

Más información

Retina

21/10/2018
Normas