Wie das fünfköpfige Sicherheitsteam der Spokane Teachers Credit Union große Zero-Trust-Erfolge erzielt

Greg Mitchells kleines fünfköpfiges Team bei der Spokane Teachers Credit Union (STCU) hat erreicht, wovon viele große Finanzinstitute nur träumen. Im Rahmen ihrer Zero-Trust-Strategie haben sie eine Segmentierungsdurchsetzung von über 90 % erreicht.
Was die Geschichte von STCU so fesselnd macht, sind nicht nur die Zahlen, sondern auch die Einstellung des Teams.
Während unseres Gesprächs in der neuesten Folge des Podcasts „The Segment“ teilte Greg die fünf Lektionen mit, die er und sein Team während der Zero Trust-Implementierung gelernt haben.
Wir haben besprochen, wie schlanke Teams die Segmentierung zu einer Geschäftspriorität machen, Schritt für Schritt Widerstandsfähigkeit aufbauen und dabei die Beziehungen im gesamten Unternehmen stärken können.
1. Machen Sie Cybersicherheit zu einer Geschäftsinitiative
Zu oft hören wir, dass die Sicherheit das Geschäft „unterstützen“ muss. Greg sieht das anders.
„Wir haben die Linse sozusagen verändert“, sagte er. „Das ist genauso wichtig wie diese Geschäftsinitiativen. Es wurde zu einer weiteren Initiative, die wir vierteljährlich mit Zustimmung der Geschäftsleitung verfolgen.“
Dieser Rahmen ist wichtig. Wenn Zero-Trust -Initiativen wie die Segmentierung als Kerngeschäftsprojekte behandelt werden, erhalten sie die gleiche Aufmerksamkeit, Ressourcen und Dynamik wie umsatzsteigernde Initiativen.
Darüber hinaus sendet es eine starke Botschaft an das gesamte Unternehmen: Cybersicherheit ist keine Option.
2. Für frühe Erfolge sollten kleine Organisationen (sehr) klein anfangen
Die allgemeine Zero-Trust-Weisheit besteht darin, Ihre Reise mit der Sicherung der wichtigsten Vermögenswerte Ihres Unternehmens zu beginnen. Dies zeigt frühzeitig Fortschritte, sichert die Zustimmung der Geschäftsführung und sperrt die Daten, Anwendungen und Ressourcen, auf die das Unternehmen am meisten angewiesen ist.
Aber für eine regionale Kreditgenossenschaft wie STCU kann jeder Fehler oder Fehltritt katastrophale Folgen haben. Aus diesem Grund hat Greg einen etwas anderen Ausgangspunkt für Zero Trust gewählt.
„Sie wollen kleine Erfolge, also beginnen Sie zunächst mit kleineren Anwendungen“, riet er. „Erstellen Sie ein Playbook, gewinnen Sie Vertrauen und nehmen Sie sich dann die kritischeren, komplexeren Anwendungen vor.“
Gregs Ansatz hat funktioniert. STCU vermied anfängliche Hindernisse und baute stattdessen Glaubwürdigkeit, Vertrauen und wiederholbare Prozesse auf.
Die Fortschritte wurden immer größer, bis eine Durchsetzungsrate von 90 % erreicht war. Wie Greg es ausdrückte, ist es schon ein Fortschritt, eine App von 100 % Gefährdung auf 40 % Schutz zu bringen. Jede Steigerung zählt, insbesondere in einer kleinen Organisation.
Sie möchten kleine Erfolge erzielen, also beginnen Sie zunächst mit kleineren Anwendungen. Erstellen Sie ein Playbook, gewinnen Sie Vertrauen und nehmen Sie sich dann die kritischeren, komplexeren Anwendungen vor.
3. Bauen Sie Beziehungen auf, nicht nur Regeln
Für viele Organisationen wird Zero Trust oft als rein technischer Aspekt angesehen. Greg hob jedoch einen unerwarteten Geschäftsvorteil hervor: eine stärkere abteilungsübergreifende Zusammenarbeit.
„Der größte Vorteil, den wir festgestellt haben, ist ein etwas stärkerer Aufbau von Beziehungen unter Gleichgesinnten“, sagte er. „Wir haben Teams darin geschult, wie sie Blöcke anzeigen und einige Selbstbedienungsvorgänge durchführen können. Es ging nicht darum, dies alles hinter verschlossenen Türen zu tun. Es ging um Partnerschaft.“
Diese Transparenz verwandelte eine mögliche Reibungsquelle in eine Brücke zwischen der IT und dem Unternehmen. Es bedeutet auch, dass Gregs kleines fünfköpfiges Team vom Rest der Organisation unterstützt wird, was die Arbeit aller erheblich erleichtert.
4. Üben und testen Sie die Einstellung „Verstoß annehmen“
Greg erklärte außerdem, wie STCU seine Widerstandsfähigkeit durch vierteljährliche Notfallwiederherstellungsübungen und Penetrationstests durch Dritte testet.
„Notfallwiederherstellung, Notfallwiederherstellung, Notfallwiederherstellung“, betonte er. „Es macht keinen Spaß, aber es ist wichtig. Sie finden Lücken und beheben sie dann.“
Dies deckt sich mit einem Thema, das ich in der gesamten Cyber-Branche immer häufiger erkenne: Cyber-Resilienz ist nicht nur eine Strategie, sondern ein Lebensstil.
Sie stellen es nicht ein und vergessen es dann. Sie üben es, bis es Ihnen in Fleisch und Blut übergegangen ist. Und das gilt für die gesamte Organisation, nicht nur für das Sicherheitsteam.
5. Nutzen Sie die Unterstützung der Führungsebene als Kraftmultiplikator
Greg würdigte bei jeder Gelegenheit die Führung.
„Ich ziehe meinen Hut vor unserem Direktor“, sagte er. „Wenn Führungskräfte sagen, dass es eine Priorität ist, wird es für die nächste Person zur Priorität, die es umsetzen muss.“
Dieses Top-Down-Engagement ermöglichte es Gregs schlankem Team, seinen Zero-Trust-Weg mit anderen IT- und Geschäftsprioritäten in Einklang zu bringen, ohne die Produktivität zu beeinträchtigen.
Der nächste Schritt von STCU ist die Ausweitung von Zero Trust auf seine Microsoft Azure -Umgebung. Das Playbook bleibt das gleiche: Binden Sie frühzeitig die richtigen Architekten ein, richten Sie die Technologie an den Geschäftszielen aus und skalieren Sie, was bereits funktioniert.
Wichtige Zero-Trust-Lektionen von einem kleinen Team
Für Führungskräfte kleinerer Organisationen, die sich fragen, ob Zero Trust zu komplex, zu kostspielig oder zu störend ist, beweist STCU das Gegenteil. Mit der richtigen Einstellung können selbst schlanke Teams eine unternehmensweite Widerstandsfähigkeit erreichen.
Greg hat es am besten ausgedrückt: „Zero Trust ist eine Geisteshaltung. Sie müssen dafür nicht die Bank sprengen. Nutzen Sie, was Sie haben, holen Sie sich die Zustimmung der Führungsebene und machen Sie weiter. Es gibt immer noch mehr, was Sie tun können.“
Hören Sie sich unser vollständiges Gespräch auf The Segment: A Zero Trust Leadership Podcast an Apfel, Spotify (Englisch)oder unsere website.