Un CIO en transición al rol de CISO: Dr. Alissa Johnson, Xerox

La CISO de Xerox, Alissa Johnson, conocida como la Dra. Jay, es la ex subdirectora de informática de la Oficina Ejecutiva del Presidente, donde administró servicios en la nube, virtualización y otras iniciativas de TI durante la administración Obama, de 2012 a 2015. Su apodo surgió de sus años de educación: posee un doctorado en administración de tecnologías de la información, una maestría en ciencias en telecomunicaciones y redes de computadoras, y una licenciatura en ciencias en matemáticas. También es ingeniera criptológica certificada por la Agencia de Seguridad Nacional. Pasó a la función de CISO inmediatamente después de abandonar la Casa Blanca.

En marzo de 2015, Johnson se convirtió en la primer CISO del fabricante de equipos médicos Stryker Corp., empresa enlistada dentro de las Fortune 500, donde se le atribuye el control de las prácticas fuera de control de TI en las sombras. Se unió al proveedor de servicios de documentos Xerox con el rol de CISO en 2016, con una gran experiencia en el sector público y privado. Al principio de su carrera, se desempeñó como vicepresidente asociado de soluciones empresariales en Catapult Technology, donde administró contratos con el gobierno. También trabajó en la industria de la defensa como asistente técnica de tecnología en Lockheed Martin, ingeniero de red sénior en Northrop Grumman y en el Departamento de Defensa como matemático criptológico.

La revista Information Security habló con Johnson sobre su decisión de convertirse en CISO, los desafíos en el sector privado y el papel del gobierno federal en la ciberseguridad. Aquí la transcripción de dicha entrevista, publicada por nuestro sitio hermano SearchSecurity.

Su carrera temprana en TI no se centró en la seguridad. ¿Qué le atrajo de este campo?

Alissa Johnson: soy una persona que se clasifica a sí misma como entrometida e intrigada por todo. Intento resolver las cosas y no sigo el camino del status quo. Es una mezcla de rasgos. Lo que me llevó directamente a ser un CISO fue servir como vice CIO en la Casa Blanca. Estaba buscando irme y pensaba en el siguiente paso en mi carrera, que esperaba que fuera una posición de CIO. Sin embargo, un reclutador ejecutivo me recomendó centrarme en el rol de CISO.

¿Cuándo llegó a la Casa Blanca, cuál era el estado de conciencia cibernética y preparación?

Johnson: La Casa Blanca es esencialmente una startup cada cuatro u ocho años, cuando entra un nuevo presidente. La tecnología y las iniciativas se basan en lo que quiere la nueva administración. Había una preparación bastante buena cuando heredamos la administración de Bush. Sin embargo, nos encontramos con sistemas de escritorio y unidades de disco, por lo que necesitábamos modernizar ambos desde una perspectiva tecnológica y desde una perspectiva de seguridad. Y, por supuesto, el nuevo presidente quería un BlackBerry y acceso en todo momento para poder estar en contacto con el pueblo estadounidense. Era un desafío hacer eso sin arriesgar la seguridad.

¿Cuál fue el mayor logro de su papel como vice CIO en la Casa Blanca, ya sea directamente relacionado con la ciberseguridad o en general?

Dra. Alissa Johnson, CISO de Xerox

Johnson: Uno es que hay muchas instancias en las que permitimos que la cultura impulsara la gobernanza de la seguridad y, muchas veces, nos encontramos detrás del adversario. Uno debe permitir que el gobierno de seguridad maneje cosas, por ejemplo, con la autenticación multifactorial. Puede haber una mejor manera de hacerlo, pero cuando dejamos que la cultura de una empresa o agencia impulse la gobernanza de la seguridad o la innovación, eso es un problema.

Lo segundo que aprendí fue que realmente no hay mucha diferencia entre ahí y aquí. [...] Xerox no tiene secretos nucleares, pero los piratas informáticos también nos están atacando e intentando obtener datos utilizando las mismas herramientas y tecnología. Lo que quieren obtener es diferente, pero la forma en que lo obtienen es lo mismo. Todas las organizaciones tienen aspectos únicos, pero cuando se analiza la forma en que entran los atacantes, [es] en gran medida lo mismo.

¿Cuáles son sus mayores preocupaciones en Xerox y cómo las está abordando?

Johnson: Estamos poniendo nuestra energía en ser proactivos. Parece simple, pero muchas operaciones de seguridad cibernética invierten mucho en ser reactivas. Ellos planean cómo responderán cuando algo suceda. Eso es bueno en términos del marco de trabajo de ciberseguridad del NIST [el Instituto Nacional de Estándares y Ciberseguridad Tecnológica]. Detectar y responder están al principio. Sin embargo, quiero enfocarme en la prevención.

¿Podría hablar sobre algún ataque cibernético o ataque específico al que haya tenido que responder en Xerox?

Johnson: No hemos tenido situaciones reales de alerta roja, pero lo más importante para nosotros es la seguridad de internet de las cosas (IoT). Somos conocidos como la empresa documental, pero nuestros productos se encuentran en hospitales, agencias gubernamentales y el sector financiero, y debemos asegurarnos de que no proporcionamos inadvertidamente un conducto para los ataques a las redes de los clientes o que quizás dejamos que los extraños vean lo que se está imprimiendo.

En Xerox, queremos asegurarnos de que los productos que introducimos en otros entornos se integren bien y no necesiten muchas campanas y silbatos para ayudar a prevenir ataques.

¿Cómo se está logrando eso?

Johnson: Es a través de la notificación y la facilidad de integración y las tecnologías de inclusión en listas blancas, integradas a través de nuestra asociación con McAfee. Eso ayuda a prevenir ataques y proporciona notificaciones si algo se ve sospechoso o no.

¿Participa directamente en eso bajo su rol de CISO?

Johnson: Sí, lo hago. Lo consideramos como parte de nuestra responsabilidad de proteger la marca. Tenemos un grupo de seguridad de productos que está analizando los avances en seguridad, pero el rol de CISO es la capa que habla y asesora sobre eso. Esas cosas son súper importantes, especialmente cuando pensamos dónde deberían estar las inversiones futuras.

¿Qué visualiza en el horizonte futuro para la ciberseguridad?

Johnson: No es solo un futuro; hay diferentes tipos de infracciones y preocupaciones cambiantes en torno a la privacidad, así como a las crecientes regulaciones. Cualquiera de esas cosas puede cambiar el futuro de la cibernética, por lo que creo que el futuro conduce a la [inteligencia artificial] y al aprendizaje automático. Estoy pensando especialmente en permitir que los sistemas con inteligencia artificial actúen en mi nombre.

Ya lo hacemos en cierto sentido cuando establecemos las políticas de firewalls y redes ahora que estamos en la era de los motores de análisis de datos que pueden decirnos mucho sobre los datos. Lo que falta es que no hacen nada al respecto. Ahí es donde creo que tenemos que dejar que el proceso se desarrolle para que el motor inteligente pueda analizar datos, contarnos sobre ello y dar el paso lógico de hacer algo al respecto.

Con la economía calentándose, ¿le resulta difícil atraer y retener a las personas que necesita? ¿Y esto varía mucho según la ubicación?

Johnson: Sí. Tenemos un gran contingente en Rochester, N.Y., y nuestra sede central se encuentra en Norwalk, Connecticut. De alguna manera, quité la vendita y dije que ya no podemos decidir simplemente que un equipo debe estar en un lugar u otro. La escasez de ciberseguridad es tan mala que no podemos permitirnos que se queden en una sola ubicación. Al igual que la discusión de la computación cognitiva, esta es otra forma de cerrar la brecha de habilidades.

¿Cuál considera que es el papel del gobierno federal en la ciberseguridad y cómo evoluciona eso en la administración actual?

Johnson: Hay muchos cambios en la ciberseguridad, incluso sin que la nueva administración haga políticas y genere nuevas ideas. Creo que es responsabilidad de todos nosotros, tanto del sector federal como del privado, hacer más intercambio de información. Cuando estaba en la Casa Blanca, tendíamos a pensar que necesitábamos retener celosamente la información. Puede haber algunas buenas razones para eso, pero al adversario no le importa. Ellos comparten [información] ampliamente en esa comunidad; en la web oscura, la cantidad de intercambio de información es exponencialmente mayor.

Nos atemoriza que alguien mencione una filtración, así que tenemos miedo de compartir. Tenemos centros de análisis de intercambio de información (ISACs, o Information Sharing and Analysis Centers) y coaliciones que ayudan, pero aún protegemos [la información] en una medida que realmente hace que sea difícil atacar el problema de manera efectiva.