Mar López, CEO de Sofistic
«Hay oportunidades laborales brutales en el sector de la ciberseguridad, y no sólo para informáticos: mírame a mí»Los aprendizajes de un referente del liderazgo femenino en tecnología: «Cree en ti, no intentes ser quien no eres y rodéate de gente que sepa más que tú»
Lleva un vestido rojo que es toda una declaración de intenciones en una oficina donde es la única mujer, la única mayor de 45 años ... y la única con perfil no técnico. También es ella la que manda. Mar López es desde hace un mes la CEO de Sofistic, una empresa española de ciberseguridad que forma parte del Grupo Cuatrochento. Antes estuvo en Accenture y antes (entre 2012 y 2021) fue la primera responsable de la Oficina de Ciberseguridad y Lucha contra la Desinformación dentro del Departamento de Seguridad Nacional. En el búnker de la Moncloa se forjó como líder; pocas cosas le asustan después de haber coordinado equipos formados por altos funcionarios, guardias civiles, policías y militares. «Me dieron un consejo una vez: 'No intentes ser quien no eres'. A mí me ha ido bien siendo quien soy», afirma esta malagueña que, desde que volvió a su tierra en 2021 se ha convertido en pieza clave del ecosistema tecnológico con su empuje y su capacidad para tender lazos. Ha sido la principal impulsora de la creación del Clúster de Ciberseguridad de Andalucía, el Foro de Mujeres Ciber-Líderes de Andalucía y Women4Cyber Spain.
–Deja su cargo en Accenture para liderar una empresa española, de relativamente pequeño tamaño y especializada en ciberseguridad de infraestructuras críticas. ¿Qué le mueve a emprender este cambio?
-Llegó el momento de cambiar. En Accenture empecé en la parte de ciberseguridad y después pasé a ser responsable de algunas cuentas de negocio. Echaba de menos la capacidad de desarrollar iniciativas nuevas, con impacto.
–Creía que había burocracia en la Administración y se topó con una multinacional...
–Las organizaciones tan grandes son transatlánticos y es complicado impulsar cosas nuevas. Hay burocracia y es entendible: son tan grandes que tienen que minimizar su riesgo al máximo. Pero yo ya veía que no era mi sitio. Con Fernando [Ramírez, que es 'country manager' de Sofistic] hablaba a menudo, igual que con otras personas del ecosistema 'ciber' de Málaga. En mayo coincidimos en un congreso y me presentó al CEO del Grupo Cuatrochento. Nos caímos bien y aquí estoy, con la oportunidad de ser CEO de una empresa de ciberseguridad que no sólo opera en España, sino en toda Latinoamérica. Y estoy encantada porque me he encontrado gente joven (creo que soy la más vieja de toda la compañía) y con muchas ganas de colaborar y de hacer crecer esto. Yo también llego con muchas ganas a Sofistic y creo que me van a dejar hacer cosas. Todo el mundo me lo dice: has recuperado tu energía y tu sonrisa.
-¿Cuál es su plan?
–Sofistic es una empresa que está muy especializada en prestar servicios de ciberseguridad a infraestructuras críticas y al sector financiero. Cuando hablamos de infraestructuras críticas hablamos de energía o transporte, por ejemplo, el Canal de Panamá. Y la estrategia que yo quiero adoptar es seguir apostando por esas infraestructuras críticas donde somos especialistas, pero meternos además en temas de seguridad y defensa. Es uno de los motivos por los que Sofistic cuenta conmigo: la experiencia que tengo en ese campo.
–Entiendo que el aumento de gasto previsto en defensa es una razón de peso para apostar por esa área.
–Hay una fuerte inversión prevista en defensa y específicamente en ciberseguridad. El Plan Industrial de Seguridad y Defensa son 10.400 millones de euros y el 31% se va a dedicar a ciberseguridad; además el Plan Nacional de Ciberseguridad, que terminó en 2021, pero que realmente se va a ejecutar ahora en 2025, trae unos 1.200 millones. Vamos a meternos a saco a por estos proyectos porque somos una compañía española y europea y eso es muy importante por cuestiones de soberanía y autonomía estratégica. Así que creo que es muy interesante el momento de ahora para crecer en este ámbito.
«Hay una fuerte inversión prevista en defensa y específicamente en ciberseguridad; es un momento muy interesante para crecer en este campo»
–Ha mencionado las infraestructuras críticas. Crece la preocupación sobre la vulnerabilidad de hospitales o centrales eléctricas frente a ciberataques. De hecho, cuando se produjo el apagón en abril, lo primero que pensaron muchos fue que era ésa la razón. ¿Estamos desprotegidos?
–Los operadores de servicios esenciales (sanidad, agua, energía, centros de I+D, Administración Pública, bancos...) tienen marcadas por las directivas europeas NIS1 y la NIS2 unas estrictas medidas de protección que deben incorporar. Tanto por normativa como por esa preocupación creciente tenemos que estar muy atentos. Porque, efectivamente, si pasa algo de esto, ¿cuál es el impacto? ¿Cuánto nos costó, en todos los sentidos y no solo el económico, el apagón? Hasta que pasa algo y vemos cuál es el impacto no nos damos cuenta de que el coste de que eso pase es superior a hacer una inversión para evitar que ocurra.
–¿Esto se aplica también a las empresas? ¿Han aprendido ya a considerar la ciberseguridad una inversión y no un coste?
–Hay varios niveles de conciencia y de madurez. Por una parte, tenemos esa normativa que obliga a las grandes empresas y las infraestructuras críticas a invertir en medidas de ciberseguridad. Las medianas empresas, en general, han cogido conciencia y se dan cuenta de que hay ciertas cosas en las que tienen que invertir, sobre todo porque se lo exigen si trabajan para grandes empresas o Administraciones Públicas. Aunque depende mucho también del sector donde operen. Y donde sigue faltando mucha concienciación es entre las pequeñas empresas y los autónomos. Todavía seguimos escuchando eso de «A mí no me va a pasar, ¿quién va a tener interés en mí?» Pues no, no es que tengan interés en ti, es que son ataques que no son dirigidos, sino masivos.
–Esa actitud de «A mí no me va a tocar» es similar a la que tenemos la mayoría de ciudadanos.
–Sí, correcto. Las acciones de concienciación en ciberseguridad no son suficientes ni tienen suficiente impacto. Hay una actitud muy extendida de: «Ya vienen los de la ciberseguridad a jodernos la vida, a ponerme doble factor de autenticación, a obligarme a cambiar la contraseña…» ¡Pero vamos a ver! Si tú en tu casa pones una puerta enorme, con doble cerradura, para estar seguro, pues en Internet es lo mismo: estás abriendo la puerta de tu casa, de tu intimidad. O pones esa doble cerradura o va a ser fácil entrar. Creo que hay que cambiar el lenguaje y explicar las cosas de forma que lleguen, cosa que desde el punto de vista tecnológico muchas veces no hemos sabido hacer. Los técnicos hablamos en términos técnicos y entre nosotros nos entendemos. Y yo digo que hay que salir de la zona de confort. Tenemos que intentar llevar esta explicación a la ciudadanía para que entienda el porqué de las cosas.
«La regulación no coarta la innovación; eso es algo que siempre se ha dicho con cada tecnología nueva, pero no es así. Con la IA yo soy prorregulación, en términos de equilibrio»
–¿Qué riesgos representa la inteligencia artificial en el terreno de la ciberseguridad?
–Igual que nosotros, los buenos, estamos explotando la IA, los cibercriminales no son tontos. La IA es una herramienta más que les ayuda a tener éxito en los ataques. Nosotros la tendremos que utilizar en el otro sentido. A mí me preocupa, claro que me preocupa, porque los malos siempre van por delante. Y aparte de esto, me preocupa cómo se están construyendo esas inteligencias artificiales.
–¿Es entonces partidaria de una regulación estricta de la IA?
–Tiene que haber un equilibrio. No podemos coger cualquier herramienta tecnológica y utilizarla para lo que nos dé la gana. Y es verdad que la regulación no está hecha para los malos. Pero si encima los buenos no tenemos ciertas restricciones, cualquiera puede hacer cualquier cosa para cualquier cosa. Por ejemplo, los temas de biometría. Porque eso va a impactar en nuestra privacidad, en cómo son explotados nuestros datos. Y no estoy de acuerdo en que la regulación coarta la innovación. La regulación, tal como se ha hecho en Europa, no coarta la innovación; eso es algo que siempre se ha dicho con cada tecnología nueva, pero no es así. Yo soy pro regulación, en términos de equilibrio.
-No podía ser de otra manera, viniendo de donde viene. Aunque después de pasar al otro lado, al de la empresa, ¿no ha cambiado un poco de idea? Alguna vez se habrá visto a sí misma deseando que la regulación fuera un poco más laxa...
-Bueno, en algunos momentos he dicho: uf, esto lo podía haber hecho de otra manera, ja ja. Me pasó con el Esquema Nacional de Seguridad. Hicimos que en todos los pliegos de la Administración Pública se tenga que cumplir con ese esquema. Y luego yo en Accenture era la responsable de 'Health and Public Sector'… así que todo lo tenía que hacer acorde. Y era un curro, claro. Pero creo que tiene que hacerse así: al final es tener medidas de seguridad para que no ocurran cosas como lo que pasó con el SEPE. Volvemos a mi idea del equilibrio: estamos hablando de sectores públicos que dan servicios a los ciudadanos; servicios que son muy sensibles. Hacienda, los hospitales… imagina que dejan de dar servicio. Si no se exigiera que la Administración cumpliera con esa regulación, esos servicios no estarían tan protegidos.
«Cuando yo llego al Departamento de Seguridad Nacional soy jefa de informática y comunicaciones. Una economista con 36 años liderando a guardias civiles. ¿Sabes qué tenían ellos? Unos conocimientos técnicos brutales. ¿Y sabes lo que no tenían? Estrategia. Sumando esas capacidades hicimos muchas cosas»
-¿En qué momento ve a Málaga como ecosistema tecnológico?
-Estamos en un momento dulce que tenemos que aprovechar. Y aprovechar no significa quedarnos donde estamos; hay que impulsar. Y me da miedo de que nos estemos desinflando un poco.
-¿Qué le faltaría a Málaga para seguir evolucionando y no desinflarse, como usted dice?
-Nos podríamos poner a analizar muchas cuestiones. Yo creo que el Parque Tecnológico necesita un impulso. Felipe Romera lo ha hecho muy bien, el IMEC es una gran noticia y la Fundación Ricardo Valle está haciendo cosas. Pero no termino de ver unida la ciudad con el Parque Tecnológico. Lo de llevar el tren o el metro me parece innegociable. Y aparte de las infraestructuras, hay que pensar en la estrategia de futuro, en qué queremos que sea la Málaga tecnológica. Es verdad que ahora todo el mundo quiere venir, pero esto puede cambiar. Tenemos que seguir siendo competitivos y que las empresas realmente quieran estar aquí, no sólo porque hace muy buen tiempo y sea una ciudad maravillosa, sino que las conexiones y las condiciones sean buenas. Están muy bien todos los planes de atracción de inversiones, pero luego también tienes que invertir en el territorio.
-¿Cómo de grave es el problema de la falta de profesionales tecnológicos?
-Eso no es que pase aquí, es que pasa en todo el mundo. Yo me estoy dando cuenta ahora de que es lo mismo en Panamá, República Dominicana, Colombia… Hay una demanda brutal de personas dedicadas a la tecnología y en particular a la ciberseguridad. Y eso va a seguir siendo así mucho tiempo, pese a que yo creo que en Málaga se esta haciendo bien porque la Universidad ha trabajado mucho en que la formación que se brinde responda a esta demanda.
-¿Cuál es el plan de crecimiento de Sofistic en términos de plantilla?
-Somos en total unas 100 personas y aquí en la oficina de Málaga somos 10. Ésta es una oficina más de negocio y comercial. La parte más técnica está repartida entre Colombia, Panamá y Castellón, que es donde tenemos el SOC. Nos gustaría crecer, que estas cifras se duplicaran o se cuadruplicaran. Pero depende también de que encontremos a las personas adecuadas.
«Tú en tu casa pones una puerta enorme, con doble cerradura, para estar seguro. Pues en Internet es lo mismo: estás abriendo la puerta de tu casa, de tu intimidad»
-¿De qué perfiles hablamos?
-Hay oportunidades brutales en el sector de la ciber y no solo para informáticos. Necesitamos abogados, comunicadores, desarrolladores de contenido, formadores… Es cuestión de tener ganas e interés por aprender. Una abogada me dijo un día que le gustaría trabajar en ciberseguridad y me preguntó qué curso técnico le recomendaba. Le dije que no le hacía falta aprender a programar; que se especializara en toda la rama del derecho que está implicada en la ciberseguridad. Hay muy pocos abogados que sepan de eso y están muy bien pagados. Igual que profesores, para todas las formaciones que se tienen que hacer sobre ciberseguridad en las empresas. No son perfiles fáciles de encontrar. Así que para dedicarte a la ciberseguridad no te tienes que poner a hackear: hay toda una serie de perfiles no tecnológicos que son necesarios también y que son escasos. Yo misma soy economista y me he dedicado a la ciberseguridad, desde la vertiente de diseño de estrategias y políticas.
–Usted es una de las principales impulsoras del Cluster de Ciberseguridad de Andalucía. ¿Cómo va?
-Es una iniciativa muy difícil de sacar adelante, a las empresas les cuesta mucho colaborar. Ven la competencia y no ven el beneficio de trabajar juntas en iniciativas que, al final, tengan impacto en Andalucía. Yo tengo esa visión y sé que se puede hacer, pero es complicado tirar del carro. Tenemos un apoyo político importante por parte de la Junta de Andalucía, y es lo que hace que se mantenga; si no, sería muy complicado. Si me preguntas por objetivos: afianzarnos. En septiembre vamos a hacer una asamblea para elegir la presidencia y vicepresidencia definitivas y fijar el plan estratégico. Yo estoy convencida de que Andalucía tiene que tener un cluster que aglutine al ecosistema ciber y lo haga crecer, como existe en Madrid o el País Vasco, y que sea un lobby al que se tenga en cuenta.
«Trabajar en el Departamento de Seguridad Nacional es el mejor máster que he hecho en mi vida»
-¿Echa de menos la etapa en el Departamento de Seguridad Nacional?
-Mucho. Es el mejor máster que he hecho en mi vida. Estuve diez años, trabajé como una burra y fue una experiencia brutal. Nosotros éramos los responsables en temas de gestión de crisis y en ese momento estábamos construyendo todo el paraguas de la ciberseguridad nacional. Ahora que se habla tanto del Centro Nacional de Ciberseguridad… pues nuestro equipo fue el que sentó las bases. Y publicamos en 2015 la ley de Seguridad Nacional, donde se pone en marcha el Consejo de Seguridad Nacional. Crear algo y ver el impacto que al final termina teniendo es muy fuerte. Y a mí me gustaba ese mundo y me gustaba mi trabajo: la parte de coordinación, de poner a todos los actores de acuerdo en un momento dado porque hay algo que hay que solucionar... Claro que lo echo de menos, sí, muchísimo. Y conocí a mucha gente muy, muy potente en temas de seguridad. En España no nos damos cuenta de lo que tenemos. Siempre hablamos mal de la política, de los asesores…. Ésta es gente que está ahí porque quiere estar ahí, porque te puedo asegurar que en cualquier sitio fuera de la Administración cobrarían el doble o el triple.
-Entonces ¿volverá a la Administración algún día?
-A día de hoy, no. A futuro, tendría que ser algo muy, muy, muy interesante y que me convenciera mucho para volver a la Administración.
-Usted es uno de los referentes de liderazgo femenino más potentes que tenemos en Málaga. ¿Qué consejo le daría a una mujer joven que tenga ambición por alcanzar puestos directivos?
-Hay una cosa muy importante: creer en uno mismo. El síndrome ese del impostor no puede prevalecer. Lo primero es creer en uno mismo y saber que lo que uno hace, lo hace bien. Cualquier persona, hombre o mujer, sabe que hay cosas específicas que se le dan bien. Y esas son las que hay que explotar. ¿Que va a haber alguien que lo haga mejor que yo? Sí, claro. Hay mucha gente en el mundo, posiblemente mucho más inteligente. Pues justamente de esa gente que sabe más que tú es de la que te tienes que rodear.
-Ésa es una frase que muchos directivos dicen pero luego no la ponen en práctica.
-Sí, yo también he visto que eso muchas veces no se cumple. Pero te puedo asegurar que a mí siempre me ha gustado rodearme de gente que sabe más que yo. Yo sé de una cosa, tú sabes de otra; posiblemente tú no tengas esta habilidad que yo sí tengo, y viceversa. Lo que enriquece las organizaciones es la combinación de esas capacidades. Cuando yo llego al Departamento de Seguridad Nacional yo soy jefa de informática y comunicaciones. Una economista, mujer, con 36 años, liderando a guardias civiles. ¿Sabes qué tenían ellos? Unos conocimientos técnicos brutales. ¿Y sabes lo que no tenían? Estrategia, liderazgo, visión de cómo llevar las cosas al siguiente nivel. Sumando esas capacidades hicimos muchas cosas.
-No me dirá que fue fácil...
-Me acuerdo que mi jefe me decía: tú eres como una coronel. Y yo decía: pues díselo a éste, a ver si se lo cree... Mujer, civil, no funcionaria, no técnica... Aquello fue un máster en liderazgo. Y en general, la gente es más sencilla de lo que creemos: en general todo el mundo está dispuesto a escuchar y ser escuchado. También hay otro consejo que me dieron a mí: no intentes ser quien no eres, porque se te va a notar. Y a mí me ha ido bien siendo como soy.
¿Tienes una suscripción? Inicia sesión
