/
Resiliência cibernética

Como a equipe de segurança de 5 pessoas da Spokane Teachers Credit Union alcança grandes vitórias em Zero Trust

Foto da cabeça de Greg Mitchell
Gerente de aplicativos de TI da STCU Greg Mitchell

A pequena equipe de cinco pessoas de Greg Mitchell na Spokane Teachers Credit Union (STCU) alcançou o que muitas grandes instituições financeiras apenas sonham. Eles atingiram mais de 90% de aplicação de segmentação como parte de sua estratégia Zero Trust.

O que torna a história da STCU tão convincente não são apenas os números, mas a mentalidade da equipe.

Durante nossa conversa no último episódio do podcast The Segment , Greg compartilhou as cinco lições que ele e sua equipe aprenderam durante a implementação do Zero Trust.  

Discutimos como equipes enxutas podem transformar a segmentação em uma prioridade de negócios, construir resiliência passo a passo e fortalecer relacionamentos em toda a organização ao longo do caminho.

1. Faça da segurança cibernética uma iniciativa empresarial

Muitas vezes ouvimos que a segurança tem que “dar suporte” ao negócio. Greg vê isso de forma diferente.

“Nós meio que mudamos a lente”, ele disse. “Isso é tão importante quanto essas iniciativas empresariais. Tornou-se outra iniciativa que monitoramos trimestralmente com adesão da liderança.”

Esse enquadramento é importante. Quando iniciativas de Confiança Zero , como segmentação, são tratadas como projetos de negócios principais, elas recebem a mesma atenção, recursos e impulso que as iniciativas de geração de receita.  

Isso também envia uma mensagem poderosa para toda a empresa: a segurança cibernética não é opcional.

2. Para vitórias iniciais, as pequenas organizações devem começar (muito) pequenas

A sabedoria comum do Zero Trust é começar sua jornada protegendo os ativos mais críticos da sua organização. Isso mostra o progresso inicial, obtém a adesão do conselho e bloqueia os dados, aplicativos e recursos dos quais a empresa mais depende.

Mas para uma cooperativa de crédito regional como a STCU, qualquer erro ou passo em falso pode ser catastrófico. É por isso que Greg escolheu um ponto de partida ligeiramente diferente para o Zero Trust.

“Você quer pequenas vitórias, então comece com aplicações menores primeiro”, ele aconselhou. “Crie um manual, ganhe confiança e então assuma as aplicações mais críticas e complexas.”

A abordagem de Greg funcionou. A STCU evitou obstáculos iniciais e, em vez disso, construiu credibilidade, confiança e processos repetíveis.  

O progresso aumentou até atingir 90% de aplicação. Como Greg disse, até mesmo mover um aplicativo de 100% exposto para 40% protegido é um progresso. Cada incremento importa, especialmente em uma organização pequena.

Você quer pequenas vitórias, então comece com aplicativos menores primeiro. Crie um manual, ganhe confiança e então assuma as aplicações mais críticas e complexas.

3. Construa relacionamentos, não apenas regras

Para muitas organizações, o Zero Trust é frequentemente visto como algo puramente técnico. Mas Greg destacou um benefício comercial inesperado: uma colaboração multifuncional mais forte.

“O maior benefício que encontramos foi um pouco mais de construção de relacionamentos entre colegas”, disse ele. “Treinamos equipes sobre como visualizar blocos e fazer algum autoatendimento. Não se tratava de fazer tudo isso a portas fechadas. Era uma questão de parceria.”

Essa transparência transformou o que poderia ser uma fonte de atrito em uma ponte entre a TI e os negócios. Isso também significa que a pequena equipe de cinco pessoas de Greg recebe apoio do resto da organização, o que torna o trabalho de todos muito mais fácil.

4. Pratique e teste a mentalidade de “assumir violação”

Greg também compartilhou como a STCU testa sua resiliência por meio de exercícios trimestrais de recuperação de desastres e testes de penetração de terceiros.

“Recuperação de desastres, recuperação de desastres, recuperação de desastres”, enfatizou. “Não é divertido, mas é importante. Você encontra lacunas e então as corrige.”

Isso se alinha com um tema que estou começando a encontrar no setor cibernético: a resiliência cibernética não é apenas uma estratégia, mas um estilo de vida.  

Você não configura e esquece. Você ensaia até que se torne algo natural. E isso vale para toda a organização, não apenas para a equipe de segurança.

5. Faça da adesão da liderança o seu multiplicador de força

Em todos os momentos, Greg deu crédito à liderança.

“Tiro o chapéu para o nosso diretor”, disse ele. “Quando os líderes dizem que é uma prioridade, ela se torna uma prioridade para a próxima pessoa implementar.”

Esse compromisso de cima para baixo capacitou a equipe enxuta de Greg a equilibrar sua jornada Zero Trust com outras prioridades de TI e negócios sem sacrificar a produtividade.

O próximo passo da STCU é estender o Zero Trust ao seu ambiente Microsoft Azure . O manual permanecerá o mesmo: envolver os arquitetos certos desde o início, alinhar a tecnologia com os objetivos de negócios e dimensionar o que já está funcionando.

Grandes lições de Zero Trust de uma pequena equipe

Para líderes de organizações menores que se perguntam se o Zero Trust é muito complexo, muito caro ou muito disruptivo, o STCU prova o contrário. Com a mentalidade certa, até mesmo equipes enxutas podem oferecer resiliência de nível empresarial.

Greg disse melhor: “Zero Trust é uma mentalidade. Você não precisa gastar muito. Use o que você tem, obtenha a adesão da liderança e continue. Sempre há mais que você pode fazer.”

Ouça nossa conversa completa sobre o podcast The Segment: A Zero Trust Leadership via maçã, Spotify, ou nosso website.

Tópicos relacionados

Artigos relacionados

8 perguntas que os CISOs deveriam fazer sobre IA
Resiliência cibernética

8 perguntas que os CISOs deveriam fazer sobre IA

Descubra oito questões que os CISOS devem considerar ao proteger suas organizações contra ataques de ransomware assistidos por IA.

Como fortalecer sua postura de segurança
Resiliência cibernética

Como fortalecer sua postura de segurança

As organizações estão adotando rapidamente uma estratégia de segurança Zero Trust, operando como se já tivessem sido violadas e tomando medidas para impedir que agentes mal-intencionados se espalhem pela rede.

Segurança na nuvem: transformando suposições falsas em garantias com a Illumio
Resiliência cibernética

Segurança na nuvem: transformando suposições falsas em garantias com a Illumio

Explorando os perigos de suposições falsas quando se trata de serviços em nuvem e segurança da carga de trabalho.

Mapeando o futuro: por que a visibilidade da cibersegurança é a maior vantagem
Resiliência cibernética

Mapeando o futuro: por que a visibilidade da cibersegurança é a maior vantagem

Saiba por que os CISOs devem pensar como cartógrafos para dominar a segurança na nuvem, os riscos de IA e as ameaças sistêmicas.

A Zero Trust cresceu. Aqui está o que seus fundadores dizem que está por vir.
segmentação

A Zero Trust cresceu. Aqui está o que seus fundadores dizem que está por vir.

Saiba por que os gráficos de segurança, a mentalidade do atacante e a priorização inteligente são fundamentais para o futuro do sucesso do Zero Trust.

Mulheres na cibersegurança compartilham suas principais lições de liderança
Cultura Illumio

Mulheres na cibersegurança compartilham suas principais lições de liderança

Descubra poderosas lições de liderança de três mulheres em cibersegurança enquanto elas compartilham ideias sobre orientação, parceria e quebra de estereótipos do setor.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?