스포캔 교사 신용 조합의 5명으로 구성된 보안 팀이 제로 트러스트에서 큰 성공을 거둔 방법

스포캔 교사 신용 조합(STCU)의 5명으로 구성된 소규모 팀인 Greg Mitchell은 많은 대형 금융 기관이 꿈꾸는 일을 해냈습니다. 제로 트러스트 전략의 일환으로 90개 이상의% 세분화 적용을 달성했습니다.

STCU의 스토리가 매력적인 이유는 단순한 수치뿐만 아니라 팀의 마음가짐에 있습니다.

더 세그먼트 팟캐스트의 최신 에피소드에서 Greg는 제로 트러스트를 구현하는 동안 자신과 팀이 얻은 다섯 가지 교훈을 공유했습니다.  

린 팀이 어떻게 세분화를 비즈니스 우선순위로 전환하고, 단계적으로 복원력을 구축하며, 그 과정에서 조직 전체의 관계를 강화할 수 있는지에 대해 논의했습니다.

1. 사이버 보안을 비즈니스 이니셔티브로 만들기

보안은 비즈니스를 '지원'해야 한다는 말을 너무 자주 듣습니다. Greg는 다르게 생각합니다.

"우리는 렌즈를 바꾼 셈이죠."라고 그는 말했습니다. "이는 이러한 비즈니스 이니셔티브만큼이나 중요합니다. 이는 경영진의 동의를 얻어 분기별로 추적하는 또 다른 이니셔티브가 되었습니다."

이러한 프레임이 중요합니다. 세분화와 같은 제로 트러스트 이니셔티브가 핵심 비즈니스 프로젝트로 취급되면 수익 창출 이니셔티브와 동일한 관심, 리소스, 추진력을 얻게 됩니다.  

또한 사이버 보안은 선택 사항이 아니라는 강력한 메시지를 회사 전체에 전달합니다.

2. 초기 승리를 위해 소규모 조직은 (매우) 작게 시작해야 합니다.

일반적인 제로 트러스트의 지혜는 조직의 가장 중요한 자산을 보호하는 것으로 여정을 시작하는 것입니다. 이를 통해 초기 진행 상황을 보여주고, 이사회 차원의 동의를 얻고, 비즈니스에서 가장 많이 사용하는 데이터, 애플리케이션 및 리소스를 보호할 수 있습니다.

하지만 STCU와 같은 지역 신용 조합의 경우 실수나 실책은 치명적인 결과를 초래할 수 있습니다. 그래서 그렉은 제로 트러스트의 시작점을 조금 다르게 선택했습니다.

"작은 성공을 원한다면 먼저 작은 애플리케이션부터 시작하세요."라고 그는 조언했습니다. "플레이북을 만들고 자신감을 얻은 다음 더 중요하고 복잡한 애플리케이션에 도전하세요."

Greg의 접근 방식은 효과가 있었습니다. STCU는 초기 장애물을 피하고 대신 신뢰와 믿음, 반복 가능한 프로세스를 구축했습니다.  

90건(% )에 도달할 때까지 진행 상황은 계속 증가했습니다. Greg의 말처럼, 앱을 100개% 노출에서 40개% 보호로 옮기는 것만으로도 진전입니다. 특히 소규모 조직에서는 모든 증가가 중요합니다.

작은 성공을 원한다면 먼저 작은 애플리케이션부터 시작하세요. 플레이북을 만들고 자신감을 얻은 다음 더 중요하고 복잡한 애플리케이션에 도전하세요.

3. 단순한 규칙이 아닌 관계 구축

많은 조직에서 제로 트러스트는 순전히 기술적인 것으로만 여겨지는 경우가 많습니다. 하지만 Greg는 예상치 못한 비즈니스 이점으로 부서 간 협업 강화라는 점을 강조했습니다.

"우리가 발견한 가장 큰 이점은 동료들 간의 관계 구축이 조금 더 강화되었다는 것입니다."라고 그는 말합니다. "팀원들에게 블록을 보고 셀프 서비스를 수행하는 방법에 대해 교육했습니다. 이 모든 것을 비공개로 진행하는 것이 아닙니다. 파트너십에 관한 것이었습니다."

이러한 투명성은 마찰의 원인이 될 수 있었던 것을 IT와 비즈니스 간의 가교 역할을 하는 것으로 바꿨습니다. 또한 5명으로 구성된 Greg의 소규모 팀이 나머지 조직의 지원을 받을 수 있어 모든 사람의 업무가 훨씬 수월해집니다.

4. "침해 가정" 사고방식 연습 및 테스트

또한 Greg는 분기별 재해 복구 연습과 타사 침투 테스트를 통해 STCU의 복원력을 테스트하는 방법도 공유했습니다.

"재해 복구, 재해 복구, 재해 복구"라고 그는 강조했습니다. "재미있는 일은 아니지만 중요한 일입니다. 부족한 부분을 찾아서 고쳐야 합니다."

이는 사이버 회복탄력성이 단순한 전략이 아니라 라이프스타일이라는 사이버 업계 전반에서 발견하기 시작한 주제와도 일맥상통합니다.  

설정하고 잊어버리지 마세요. 자연스러워질 때까지 연습합니다. 이는 보안 팀뿐만 아니라 조직 전체에 적용됩니다.

5. 리더십의 동의를 얻어 힘의 배수로 만들기

매번 그렉은 리더십을 인정했습니다.

"감독님께 경의를 표합니다."라고 그는 말했습니다. "리더가 우선 순위라고 말하면 다음 사람이 실행해야 할 우선 순위가 됩니다."

이러한 하향식 접근 방식을 통해 Greg의 린 팀은 생산성 저하 없이 제로 트러스트 여정과 다른 IT 및 비즈니스 우선 순위의 균형을 맞출 수 있었습니다.

STCU의 다음 단계는 제로 트러스트를 Microsoft Azure 환경으로 확장하는 것입니다. 적절한 아키텍트를 조기에 참여시키고, 기술을 비즈니스 목표에 맞추고, 이미 작동 중인 것을 확장하는 플레이북은 동일하게 유지됩니다.

소규모 팀에서 얻은 큰 제로 트러스트 교훈

제로 트러스트가 너무 복잡하거나, 비용이 많이 들거나, 너무 파괴적이지 않을까 걱정하는 소규모 조직의 리더들에게 STCU는 그렇지 않다는 것을 증명합니다. 올바른 사고방식만 있다면 린 팀도 엔터프라이즈급 복원력을 제공할 수 있습니다.

Greg가 가장 잘 설명했습니다: "제로 트러스트는 사고방식입니다. 큰돈을 들이지 않아도 됩니다. 가지고 있는 것을 활용하고, 리더십의 동의를 얻고, 계속 진행하세요. 할 수 있는 일은 언제나 더 많습니다."

더 세그먼트에서 전체 대화를 들어보세요: 제로 트러스트 리더십 팟캐스트 애플, Spotify또는 website.