Malcolm Jack quiere que comprenda que cuando se trata de ciberseguridad, las personas son tan importantes como la tecnología.
Jack es el director de tecnología del contratista Granite, con sede en Watsonville, California, que anunció un importante hito tecnológico para la contratación pública en diciembre: alcanzar el Nivel 2 de Certificación del Modelo de Madurez de Ciberseguridad.
El marco CMMC requiere que los contratistas gubernamentales certifiquen sus prácticas de ciberseguridad para cumplir con los estándares del gobierno federal, y es imprescindible para manejar información controlada no clasificada, según el anuncio.
Para el 31 de octubre de 2026, todos los contratos con el Departamento de Guerra, anteriormente Departamento de Defensa, requerirán el certificado CMMC correspondiente.
En una evaluación reciente, Granite logró lo que caracterizó como “una puntuación perfecta casi imposible”, superando con éxito los 110 requisitos de seguridad y cumpliendo 320 objetivos de evaluación.
Aquí, Jack analiza el cronograma de adopción, lo que los contratistas deben saber sobre el proceso y cómo ponerse al día.
Nota del editor: esta entrevista ha sido editada para mayor brevedad y claridad.
BUCEO EN LA CONSTRUCCIÓN: ¿Cuándo comenzó Granite a obtener la certificación CMMC Nivel 2?
JACK MALCOLM: De hecho, lo llamamos un viaje de dos años, pero cuando miro hacia atrás a algunos de mis discos, es más bien un viaje de cinco o seis años.
Analizamos CMMC en 2019, cuando el gobierno anunció por primera vez las nuevas regulaciones del Suplemento del Reglamento Federal de Adquisiciones de Defensa que iban a requerir la certificación CMMC para los contratistas federales, de los cuales somos uno. Tenemos una división federal [that has] estado haciendo trabajo federal durante años.
Ha sido una evolución interesante a lo largo de esos cinco o seis años para llegar a donde estamos hoy, que incluyó algunos giros y bolas curvas que nos lanzó el gobierno.
Cambiaron los objetivos varias veces, en cuanto a cuando era necesario contar con la certificación CMMC para licitar en trabajos federales. Pero ahora parece que realmente se mantienen firmes en sus requisitos para 2026.
¿Cómo fue el proceso para certificarse?
Fue un viaje.
En CMMC Nivel 2, hay 110 cosas que debes tener en su lugar, por lo que en realidad se reduce a más de 300 controles que debes reemplazar. Es una implementación grande. No espera hasta que crea que tiene todo listo para probarlo.
En lugar de eso, implementaríamos algunas cosas y luego las probaríamos. Traíamos a alguien de afuera o trabajábamos con nuestro equipo de auditoría interna para ver si podíamos encontrar fallas.
Pasar por esas pruebas iterativas en los controles poco después de implementarlos y luego seguir adelante es la forma en que pudimos seguir avanzando y sentirnos seguros de lo que habíamos implementado.
¿Cómo fue esta implementación para la empresa?
Jack Malcolm
Permiso otorgado por Granite Construction.
Acaba de encontrar probablemente una de las partes más importantes de CMMC en general.
Este no es un compromiso tecnológico. La razón por la que tuvimos éxito en lograr esto es la estrecha asociación con nuestra división federal. Se trata más de la gente.
Podemos contar con la tecnología y las herramientas, pero en realidad son las personas las que se ocupan diariamente de la información no clasificada controlada.
Si no conocen las reglas, los reglamentos y los protocolos de manejo seguro, no sabrán dónde colocar la información ni cómo colocarla allí. Si no entienden cómo interactuar con la gente y qué puedes compartir y qué no, entonces terminarás metido en muchos problemas.
Si bien CMMC parece un éxito tecnológico, esto es realmente un éxito de asociación entre la organización de TI y nuestro grupo federal, porque ambos asumieron una gran parte en entenderlo y cómo operarlo diariamente. Elaboraron programas de capacitación sobre cómo utilizar estos sistemas que funcionaron muy, muy bien.
Lo que noto cuando hablo con mis colegas de la industria es que son las personas las que faltan. Algunos colegas se acercaron a mí y me dijeron: «Oye, ¿cómo se implementan las tecnologías y las soluciones?» Puedo darte algunos consejos al respecto. Pero realmente, ¿cómo están cambiando su personal y su fuerza laboral para entender cómo operar dentro de este nuevo requisito de DFARS?
¿Qué obstáculos existen ahora para los contratistas?
La gente me ha preguntado: «¿Qué hago para llegar allí?» Y yo digo: “Bueno, el mejor consejo que te puedo dar es que empieces hace dos años”.
Porque, como dije, fue un viaje de dos años, pero en realidad fue un viaje de cinco años para nosotros, porque tuvimos que girar con el tiempo y realmente adquirir la experiencia y esa asociación con nuestro equipo federal. Tomó tiempo llegar allí. Entonces, si comenzara ahora mismo, estaría muy nervioso.
Estoy seguro de que hay una manera de ponerse al día. Estoy seguro de que habrá varias empresas y consultorías que estarán encantadas de aceptar una gran cantidad de dinero para ayudarle a implementarlo muy rápidamente.
Pero eso me preocuparía, porque muchas veces cuando estás implementando algo, en realidad no te estás tomando el tiempo para capacitar a tus equipos y a tu personal sobre cuáles son los requisitos.
Fuente