Mar López, CEO de Sofistic

«Hay oportunidades laborales brutales en el sector de la ciberseguridad, y no sólo para informáticos: mírame a mí»

–Deja su cargo en Accenture para liderar una empresa española, de relativamente pequeño tamaño y especializada en ciberseguridad de infraestructuras críticas. ¿Qué le mueve a emprender este cambio?

-Llegó el momento de cambiar. En Accenture empecé en la parte de ciberseguridad y después pasé a ser responsable de algunas cuentas de negocio. Echaba de menos la capacidad de desarrollar iniciativas nuevas, con impacto.

–Creía que había burocracia en la Administración y se topó con una multinacional...

–Las organizaciones tan grandes son transatlánticos y es complicado impulsar cosas nuevas. Hay burocracia y es entendible: son tan grandes que tienen que minimizar su riesgo al máximo. Pero yo ya veía que no era mi sitio. Con Fernando [Ramírez, que es 'country manager' de Sofistic] hablaba a menudo, igual que con otras personas del ecosistema 'ciber' de Málaga. En mayo coincidimos en un congreso y me presentó al CEO del Grupo Cuatrochento. Nos caímos bien y aquí estoy, con la oportunidad de ser CEO de una empresa de ciberseguridad que no sólo opera en España, sino en toda Latinoamérica. Y estoy encantada porque me he encontrado gente joven (creo que soy la más vieja de toda la compañía) y con muchas ganas de colaborar y de hacer crecer esto. Yo también llego con muchas ganas a Sofistic y creo que me van a dejar hacer cosas. Todo el mundo me lo dice: has recuperado tu energía y tu sonrisa.

-¿Cuál es su plan?

–Sofistic es una empresa que está muy especializada en prestar servicios de ciberseguridad a infraestructuras críticas y al sector financiero. Cuando hablamos de infraestructuras críticas hablamos de energía o transporte, por ejemplo, el Canal de Panamá. Y la estrategia que yo quiero adoptar es seguir apostando por esas infraestructuras críticas donde somos especialistas, pero meternos además en temas de seguridad y defensa. Es uno de los motivos por los que Sofistic cuenta conmigo: la experiencia que tengo en ese campo.

–Entiendo que el aumento de gasto previsto en defensa es una razón de peso para apostar por esa área.

–Hay una fuerte inversión prevista en defensa y específicamente en ciberseguridad. El Plan Industrial de Seguridad y Defensa son 10.400 millones de euros y el 31% se va a dedicar a ciberseguridad; además el Plan Nacional de Ciberseguridad, que terminó en 2021, pero que realmente se va a ejecutar ahora en 2025, trae unos 1.200 millones. Vamos a meternos a saco a por estos proyectos porque somos una compañía española y europea y eso es muy importante por cuestiones de soberanía y autonomía estratégica. Así que creo que es muy interesante el momento de ahora para crecer en este ámbito.

–Ha mencionado las infraestructuras críticas. Crece la preocupación sobre la vulnerabilidad de hospitales o centrales eléctricas frente a ciberataques. De hecho, cuando se produjo el apagón en abril, lo primero que pensaron muchos fue que era ésa la razón. ¿Estamos desprotegidos?

–Los operadores de servicios esenciales (sanidad, agua, energía, centros de I+D, Administración Pública, bancos...) tienen marcadas por las directivas europeas NIS1 y la NIS2 unas estrictas medidas de protección que deben incorporar. Tanto por normativa como por esa preocupación creciente tenemos que estar muy atentos. Porque, efectivamente, si pasa algo de esto, ¿cuál es el impacto? ¿Cuánto nos costó, en todos los sentidos y no solo el económico, el apagón? Hasta que pasa algo y vemos cuál es el impacto no nos damos cuenta de que el coste de que eso pase es superior a hacer una inversión para evitar que ocurra.

–¿Esto se aplica también a las empresas? ¿Han aprendido ya a considerar la ciberseguridad una inversión y no un coste?

–Hay varios niveles de conciencia y de madurez. Por una parte, tenemos esa normativa que obliga a las grandes empresas y las infraestructuras críticas a invertir en medidas de ciberseguridad. Las medianas empresas, en general, han cogido conciencia y se dan cuenta de que hay ciertas cosas en las que tienen que invertir, sobre todo porque se lo exigen si trabajan para grandes empresas o Administraciones Públicas. Aunque depende mucho también del sector donde operen. Y donde sigue faltando mucha concienciación es entre las pequeñas empresas y los autónomos. Todavía seguimos escuchando eso de «A mí no me va a pasar, ¿quién va a tener interés en mí?» Pues no, no es que tengan interés en ti, es que son ataques que no son dirigidos, sino masivos.

–Esa actitud de «A mí no me va a tocar» es similar a la que tenemos la mayoría de ciudadanos.

–Sí, correcto. Las acciones de concienciación en ciberseguridad no son suficientes ni tienen suficiente impacto. Hay una actitud muy extendida de: «Ya vienen los de la ciberseguridad a jodernos la vida, a ponerme doble factor de autenticación, a obligarme a cambiar la contraseña…» ¡Pero vamos a ver! Si tú en tu casa pones una puerta enorme, con doble cerradura, para estar seguro, pues en Internet es lo mismo: estás abriendo la puerta de tu casa, de tu intimidad. O pones esa doble cerradura o va a ser fácil entrar. Creo que hay que cambiar el lenguaje y explicar las cosas de forma que lleguen, cosa que desde el punto de vista tecnológico muchas veces no hemos sabido hacer. Los técnicos hablamos en términos técnicos y entre nosotros nos entendemos. Y yo digo que hay que salir de la zona de confort. Tenemos que intentar llevar esta explicación a la ciudadanía para que entienda el porqué de las cosas.

–¿Qué riesgos representa la inteligencia artificial en el terreno de la ciberseguridad?

–Igual que nosotros, los buenos, estamos explotando la IA, los cibercriminales no son tontos. La IA es una herramienta más que les ayuda a tener éxito en los ataques. Nosotros la tendremos que utilizar en el otro sentido. A mí me preocupa, claro que me preocupa, porque los malos siempre van por delante. Y aparte de esto, me preocupa cómo se están construyendo esas inteligencias artificiales.

–¿Es entonces partidaria de una regulación estricta de la IA?

–Tiene que haber un equilibrio. No podemos coger cualquier herramienta tecnológica y utilizarla para lo que nos dé la gana. Y es verdad que la regulación no está hecha para los malos. Pero si encima los buenos no tenemos ciertas restricciones, cualquiera puede hacer cualquier cosa para cualquier cosa. Por ejemplo, los temas de biometría. Porque eso va a impactar en nuestra privacidad, en cómo son explotados nuestros datos. Y no estoy de acuerdo en que la regulación coarta la innovación. La regulación, tal como se ha hecho en Europa, no coarta la innovación; eso es algo que siempre se ha dicho con cada tecnología nueva, pero no es así. Yo soy pro regulación, en términos de equilibrio.

-No podía ser de otra manera, viniendo de donde viene. Aunque después de pasar al otro lado, al de la empresa, ¿no ha cambiado un poco de idea? Alguna vez se habrá visto a sí misma deseando que la regulación fuera un poco más laxa...

-Bueno, en algunos momentos he dicho: uf, esto lo podía haber hecho de otra manera, ja ja. Me pasó con el Esquema Nacional de Seguridad. Hicimos que en todos los pliegos de la Administración Pública se tenga que cumplir con ese esquema. Y luego yo en Accenture era la responsable de 'Health and Public Sector'… así que todo lo tenía que hacer acorde. Y era un curro, claro. Pero creo que tiene que hacerse así: al final es tener medidas de seguridad para que no ocurran cosas como lo que pasó con el SEPE. Volvemos a mi idea del equilibrio: estamos hablando de sectores públicos que dan servicios a los ciudadanos; servicios que son muy sensibles. Hacienda, los hospitales… imagina que dejan de dar servicio. Si no se exigiera que la Administración cumpliera con esa regulación, esos servicios no estarían tan protegidos.

-¿En qué momento ve a Málaga como ecosistema tecnológico?

-Estamos en un momento dulce que tenemos que aprovechar. Y aprovechar no significa quedarnos donde estamos; hay que impulsar. Y me da miedo de que nos estemos desinflando un poco.

-¿Qué le faltaría a Málaga para seguir evolucionando y no desinflarse, como usted dice?

-Nos podríamos poner a analizar muchas cuestiones. Yo creo que el Parque Tecnológico necesita un impulso. Felipe Romera lo ha hecho muy bien, el IMEC es una gran noticia y la Fundación Ricardo Valle está haciendo cosas. Pero no termino de ver unida la ciudad con el Parque Tecnológico. Lo de llevar el tren o el metro me parece innegociable. Y aparte de las infraestructuras, hay que pensar en la estrategia de futuro, en qué queremos que sea la Málaga tecnológica. Es verdad que ahora todo el mundo quiere venir, pero esto puede cambiar. Tenemos que seguir siendo competitivos y que las empresas realmente quieran estar aquí, no sólo porque hace muy buen tiempo y sea una ciudad maravillosa, sino que las conexiones y las condiciones sean buenas. Están muy bien todos los planes de atracción de inversiones, pero luego también tienes que invertir en el territorio.

-¿Cómo de grave es el problema de la falta de profesionales tecnológicos?

-Eso no es que pase aquí, es que pasa en todo el mundo. Yo me estoy dando cuenta ahora de que es lo mismo en Panamá, República Dominicana, Colombia… Hay una demanda brutal de personas dedicadas a la tecnología y en particular a la ciberseguridad. Y eso va a seguir siendo así mucho tiempo, pese a que yo creo que en Málaga se esta haciendo bien porque la Universidad ha trabajado mucho en que la formación que se brinde responda a esta demanda.

-¿Cuál es el plan de crecimiento de Sofistic en términos de plantilla?

-Somos en total unas 100 personas y aquí en la oficina de Málaga somos 10. Ésta es una oficina más de negocio y comercial. La parte más técnica está repartida entre Colombia, Panamá y Castellón, que es donde tenemos el SOC. Nos gustaría crecer, que estas cifras se duplicaran o se cuadruplicaran. Pero depende también de que encontremos a las personas adecuadas.

-¿De qué perfiles hablamos?

-Hay oportunidades brutales en el sector de la ciber y no solo para informáticos. Necesitamos abogados, comunicadores, desarrolladores de contenido, formadores… Es cuestión de tener ganas e interés por aprender. Una abogada me dijo un día que le gustaría trabajar en ciberseguridad y me preguntó qué curso técnico le recomendaba. Le dije que no le hacía falta aprender a programar; que se especializara en toda la rama del derecho que está implicada en la ciberseguridad. Hay muy pocos abogados que sepan de eso y están muy bien pagados. Igual que profesores, para todas las formaciones que se tienen que hacer sobre ciberseguridad en las empresas. No son perfiles fáciles de encontrar. Así que para dedicarte a la ciberseguridad no te tienes que poner a hackear: hay toda una serie de perfiles no tecnológicos que son necesarios también y que son escasos. Yo misma soy economista y me he dedicado a la ciberseguridad, desde la vertiente de diseño de estrategias y políticas.

–Usted es una de las principales impulsoras del Cluster de Ciberseguridad de Andalucía. ¿Cómo va?

-Es una iniciativa muy difícil de sacar adelante, a las empresas les cuesta mucho colaborar. Ven la competencia y no ven el beneficio de trabajar juntas en iniciativas que, al final, tengan impacto en Andalucía. Yo tengo esa visión y sé que se puede hacer, pero es complicado tirar del carro. Tenemos un apoyo político importante por parte de la Junta de Andalucía, y es lo que hace que se mantenga; si no, sería muy complicado. Si me preguntas por objetivos: afianzarnos. En septiembre vamos a hacer una asamblea para elegir la presidencia y vicepresidencia definitivas y fijar el plan estratégico. Yo estoy convencida de que Andalucía tiene que tener un cluster que aglutine al ecosistema ciber y lo haga crecer, como existe en Madrid o el País Vasco, y que sea un lobby al que se tenga en cuenta.