Lo sprint di Granite nella cybersecurity: dentro la corsa per battere le scadenze federali di conformità
Sottotitolo: Con un mandato federale ormai imminente, la maratona di Granite verso il CMMC Livello 2 mostra perché le persone-non solo la tecnologia-sono il vero firewall della cybersecurity.
In una frizzante mattina di dicembre a Watsonville, in California, i corridoi di Granite Construction vibravano non del rombo dei macchinari, ma dell’intensità silenziosa di un’azienda che aveva appena compiuto una rara impresa di cybersecurity. In un’epoca in cui i contratti federali arrivano con serrature digitali sempre più strette, Granite ha annunciato di aver ottenuto l’ambita Cybersecurity Maturity Model Certification (CMMC) Livello 2-anni prima della scadenza critica del Dipartimento della Guerra (ex DoD). Ma dietro i titoli c’è una storia di obiettivi che si spostano, svolte interne e una rivelazione: la vulnerabilità più grande non è una riga di codice, ma le persone dietro gli schermi.
La strada verso la conformità: più di una checklist
Per Malcolm Jack, chief technology officer di Granite, il percorso verso la conformità federale in materia di cybersecurity non era solo una questione di spuntare caselle. “Non è un’iniziativa tecnologica-riguarda le persone”, insiste Jack. L’odissea di Granite è iniziata già nel 2019, quando il governo federale ha per la prima volta segnalato una nuova era di scrutinio cyber per i propri appaltatori. Ne è seguita una maratona di adattamento a requisiti in evoluzione, di curveball regolatorie e-soprattutto-di costruzione di una cultura in cui la sicurezza è responsabilità di tutti.
Lo standard CMMC Livello 2 non è un ostacolo da poco: richiede 110 pratiche di sicurezza distinte, che si espandono fino a oltre 300 controlli individuali. Ma Granite non ha aspettato la perfezione prima di mettere alla prova le proprie difese. Ha invece adottato un approccio iterativo-implementando, testando e ritestando i controlli, spesso con auditor esterni o con il proprio team interno. Questo implacabile ciclo di feedback è stato decisivo per individuare le debolezze prima che potessero trasformarsi in passività.
Eppure, come sottolinea Jack, la tecnologia da sola non può salvare un’azienda da una violazione se i dipendenti non sono formati a riconoscere le minacce o a gestire correttamente i dati sensibili. La svolta di Granite non è arrivata da un nuovo firewall scintillante, ma dalla creazione di una partnership tra l’IT e la divisione federale-introducendo una formazione solida e assicurando che ogni membro del personale comprendesse cosa c’era in gioco. “Se non conoscono le regole, non sapranno dove mettere le informazioni-o come mantenerle al sicuro”, dice Jack.
La vera scadenza: ieri
Con il Dipartimento della Guerra fermo su un termine di conformità nel 2026, l’orologio corre per migliaia di appaltatori. Il consiglio di Jack a chi è in ritardo è netto: “Il miglior consiglio che potrei darvi è di iniziare due anni fa.” Sebbene i consulenti promettano soluzioni rapide, avverte che una conformità affrettata rischia di lasciare il personale impreparato-una ricetta per il disastro quando sono in gioco dati federali.
Conclusione: il firewall umano
La storia di successo di Granite è un colpo di avvertimento per il settore: la conformità non è solo uno sprint dell’IT, ma una staffetta che coinvolge tutta l’azienda. Mentre il governo federale blinda le proprie frontiere digitali, i vincitori non saranno quelli con la tecnologia più luccicante, ma quelli che costruiscono il firewall umano più solido. Per Granite, la corsa alla conformità non è stata vinta nella sala server, ma nella mente delle sue persone.
WIKICROOK
- CMMC: CMMC è un framework del DoD che stabilisce standard di cybersecurity per gli appaltatori della difesa, garantendo la protezione delle informazioni governative sensibili nella catena di fornitura.
- Controlled Unclassified Information (CUI): la CUI è informazione federale sensibile che non è classificata ma deve essere protetta e controllata secondo leggi e politiche governative.
- DFARS: DFARS è un insieme di regolamenti per gli appaltatori della difesa, incentrato su requisiti di cybersecurity e protezione dei dati per lavorare con il Dipartimento della Difesa degli Stati Uniti.
- Controlli di sicurezza: i controlli di sicurezza sono strumenti, processi o policy-come firewall o backup-utilizzati per proteggere sistemi informatici e dati da minacce e attacchi.
- Test iterativi: i test iterativi sono un processo ripetuto di valutazione e miglioramento della sicurezza, che aiuta a individuare precocemente le vulnerabilità e a rafforzare le difese di cybersecurity.




