Cómo el equipo de seguridad de 5 personas de Spokane Teachers Credit Union logra grandes victorias en el modelo de Confianza Cero

El pequeño equipo de cinco personas de Greg Mitchell en Spokane Teachers Credit Union (STCU) logró lo que muchas grandes instituciones financieras sólo sueñan. Alcanzaron una aplicación de segmentación de más del 90% como parte de su estrategia de Confianza Cero.

Lo que hace que la historia de STCU sea tan convincente no son sólo los números sino la mentalidad del equipo.

Durante nuestra conversación en el último episodio del podcast The Segment , Greg compartió las cinco lecciones que él y su equipo aprendieron durante la implementación de Zero Trust.  

Analizamos cómo los equipos lean pueden convertir la segmentación en una prioridad comercial, desarrollar resiliencia paso a paso y fortalecer las relaciones en toda la organización a lo largo del camino.

1. Convertir la ciberseguridad en una iniciativa empresarial

Con demasiada frecuencia escuchamos que la seguridad tiene que “apoyar” al negocio. Greg lo ve diferente.

“En cierta manera cambiamos el enfoque”, dijo. “Esto es tan importante como esas iniciativas empresariales. “Se convirtió en otra iniciativa que seguimos trimestralmente con la aceptación del liderazgo”.

Que el encuadre importa. Cuando las iniciativas de Confianza Cero , como la segmentación , se tratan como proyectos centrales del negocio, reciben la misma atención, los mismos recursos y el mismo impulso que las iniciativas que generan ingresos.  

También envía un mensaje poderoso a toda la compañía: la ciberseguridad no es opcional.

2. Para obtener victorias tempranas, las organizaciones pequeñas deberían comenzar siendo (muy) pequeñas.

La sabiduría popular sobre Confianza Cero recomienda comenzar el recorrido protegiendo los activos más críticos de su organización. Esto demuestra un progreso temprano, obtiene la aceptación a nivel directivo y bloquea los datos, las aplicaciones y los recursos de los que más depende la compañía.

Pero para una cooperativa de crédito regional como STCU, cualquier error o paso en falso puede ser catastrófico. Es por eso que Greg eligió un punto de partida ligeramente diferente para Zero Trust.

“Si quieres conseguir pequeñas victorias, empieza primero con aplicaciones más pequeñas”, aconsejó. “Desarrolle un manual de estrategias, gane confianza y luego aborde las aplicaciones más críticas y complejas”.

El enfoque de Greg funcionó. STCU evitó los obstáculos iniciales y en su lugar generó credibilidad, confianza y procesos repetibles.  

Los avances fueron en aumento hasta alcanzar el 90% de cumplimiento. Como lo expresó Greg, incluso mover una aplicación del 100% de exposición al 40% de protección es un avance. Cada incremento importa, especialmente en una organización pequeña.

Si quieres obtener pequeñas victorias, empieza primero con aplicaciones más pequeñas. Cree un manual de estrategias, gane confianza y luego emprenda las aplicaciones más críticas y complejas.

3. Construya relaciones, no sólo reglas

Para muchas organizaciones, el modelo de Confianza Cero suele considerar algo puramente técnico. Pero Greg destacó un beneficio comercial inesperado: una colaboración interfuncional más fuerte.

“El mayor beneficio que encontramos es que se fortalecen un poco más las relaciones entre pares”, dijo. “Capacitamos a los equipos sobre cómo visualizar bloques y realizar algunos autoservicios. No se trataba de hacer todo esto a puertas cerradas. “Se trataba de una colaboración”.

Esa transparencia convirtió lo que podría ser una fuente de fricción en un puente entre TI y el negocio. También significa que el pequeño equipo de cinco personas de Greg recibe apoyo del resto de la organización, lo que hace que el trabajo de todos sea mucho más fácil.

4. Practique y pruebe la mentalidad de “asumir una infracción”

Greg también compartió cómo STCU prueba su resiliencia a través de ejercicios trimestrales de recuperación ante desastres y pruebas de penetración de terceros.

“Recuperación ante desastres, recuperación ante desastres, recuperación ante desastres”, enfatizó. “No es lo divertido, pero es importante. “Encuentras lagunas y luego las arreglas”.

Esto se alinea con un tema que estoy empezando a encontrar en la industria cibernética: la resiliencia cibernética no es solo una estrategia sino un estilo de vida.  

No lo configuras y lo olvidas. Lo ensayas hasta que se vuelve algo natural. Y esto se aplica a toda la organización, no sólo al equipo de seguridad.

5. Haga que la aceptación del liderazgo sea su multiplicador de fuerza

En todo momento, Greg atribuyó el liderazgo.

“Me quito el sombrero ante nuestro director”, dijo. “Cuando los líderes dicen que es una prioridad, se convierte en una prioridad para la siguiente persona que debe implementarlo”.

Este compromiso de arriba hacia abajo empoderó al equipo ágil de Greg a equilibrar su recorrido hacia Zero Trust junto con otras prioridades comerciales y de TI sin sacrificar la productividad.

El próximo paso de STCU es extender Zero Trust a su entorno Microsoft Azure . La estrategia seguirá siendo la misma: involucrar a los arquitectos adecuados desde el principio, alinear la tecnología con los objetivos comerciales y escalar lo que ya está funcionando.

Grandes lecciones de Confianza Cero de un equipo pequeño

Para los líderes de organizaciones más pequeñas que se preguntan si Zero Trust es demasiado complejo, demasiado costoso o demasiado disruptivo, STCU demuestra lo contrario. Con la mentalidad adecuada, incluso los equipos ágiles pueden ofrecer resiliencia de nivel empresarial.

Greg lo expresó mejor: “Zero Trust es una mentalidad. No es necesario gastar una fortuna. Emplee lo que tiene, obtenga la aceptación del liderazgo y siga adelante. “Siempre hay algo más que puedes hacer.”

Escuche nuestra conversación completa en The Segment: A Zero Trust Leadership Podcast a través de Manzana, Spotify, o nuestro website.