Como a equipe de segurança de 5 pessoas da Spokane Teachers Credit Union alcança grandes vitórias em Zero Trust

A pequena equipe de cinco pessoas de Greg Mitchell na Spokane Teachers Credit Union (STCU) alcançou o que muitas grandes instituições financeiras apenas sonham. Eles atingiram mais de 90% de aplicação de segmentação como parte de sua estratégia Zero Trust.
O que torna a história da STCU tão convincente não são apenas os números, mas a mentalidade da equipe.
Durante nossa conversa no último episódio do podcast The Segment , Greg compartilhou as cinco lições que ele e sua equipe aprenderam durante a implementação do Zero Trust.
Discutimos como equipes enxutas podem transformar a segmentação em uma prioridade de negócios, construir resiliência passo a passo e fortalecer relacionamentos em toda a organização ao longo do caminho.
1. Faça da segurança cibernética uma iniciativa empresarial
Muitas vezes ouvimos que a segurança tem que “dar suporte” ao negócio. Greg vê isso de forma diferente.
“Nós meio que mudamos a lente”, ele disse. “Isso é tão importante quanto essas iniciativas empresariais. Tornou-se outra iniciativa que monitoramos trimestralmente com adesão da liderança.”
Esse enquadramento é importante. Quando iniciativas de Confiança Zero , como segmentação, são tratadas como projetos de negócios principais, elas recebem a mesma atenção, recursos e impulso que as iniciativas de geração de receita.
Isso também envia uma mensagem poderosa para toda a empresa: a segurança cibernética não é opcional.
2. Para vitórias iniciais, as pequenas organizações devem começar (muito) pequenas
A sabedoria comum do Zero Trust é começar sua jornada protegendo os ativos mais críticos da sua organização. Isso mostra o progresso inicial, obtém a adesão do conselho e bloqueia os dados, aplicativos e recursos dos quais a empresa mais depende.
Mas para uma cooperativa de crédito regional como a STCU, qualquer erro ou passo em falso pode ser catastrófico. É por isso que Greg escolheu um ponto de partida ligeiramente diferente para o Zero Trust.
“Você quer pequenas vitórias, então comece com aplicações menores primeiro”, ele aconselhou. “Crie um manual, ganhe confiança e então assuma as aplicações mais críticas e complexas.”
A abordagem de Greg funcionou. A STCU evitou obstáculos iniciais e, em vez disso, construiu credibilidade, confiança e processos repetíveis.
O progresso aumentou até atingir 90% de aplicação. Como Greg disse, até mesmo mover um aplicativo de 100% exposto para 40% protegido é um progresso. Cada incremento importa, especialmente em uma organização pequena.
Você quer pequenas vitórias, então comece com aplicativos menores primeiro. Crie um manual, ganhe confiança e então assuma as aplicações mais críticas e complexas.
3. Construa relacionamentos, não apenas regras
Para muitas organizações, o Zero Trust é frequentemente visto como algo puramente técnico. Mas Greg destacou um benefício comercial inesperado: uma colaboração multifuncional mais forte.
“O maior benefício que encontramos foi um pouco mais de construção de relacionamentos entre colegas”, disse ele. “Treinamos equipes sobre como visualizar blocos e fazer algum autoatendimento. Não se tratava de fazer tudo isso a portas fechadas. Era uma questão de parceria.”
Essa transparência transformou o que poderia ser uma fonte de atrito em uma ponte entre a TI e os negócios. Isso também significa que a pequena equipe de cinco pessoas de Greg recebe apoio do resto da organização, o que torna o trabalho de todos muito mais fácil.
4. Pratique e teste a mentalidade de “assumir violação”
Greg também compartilhou como a STCU testa sua resiliência por meio de exercícios trimestrais de recuperação de desastres e testes de penetração de terceiros.
“Recuperação de desastres, recuperação de desastres, recuperação de desastres”, enfatizou. “Não é divertido, mas é importante. Você encontra lacunas e então as corrige.”
Isso se alinha com um tema que estou começando a encontrar no setor cibernético: a resiliência cibernética não é apenas uma estratégia, mas um estilo de vida.
Você não configura e esquece. Você ensaia até que se torne algo natural. E isso vale para toda a organização, não apenas para a equipe de segurança.
5. Faça da adesão da liderança o seu multiplicador de força
Em todos os momentos, Greg deu crédito à liderança.
“Tiro o chapéu para o nosso diretor”, disse ele. “Quando os líderes dizem que é uma prioridade, ela se torna uma prioridade para a próxima pessoa implementar.”
Esse compromisso de cima para baixo capacitou a equipe enxuta de Greg a equilibrar sua jornada Zero Trust com outras prioridades de TI e negócios sem sacrificar a produtividade.
O próximo passo da STCU é estender o Zero Trust ao seu ambiente Microsoft Azure . O manual permanecerá o mesmo: envolver os arquitetos certos desde o início, alinhar a tecnologia com os objetivos de negócios e dimensionar o que já está funcionando.
Grandes lições de Zero Trust de uma pequena equipe
Para líderes de organizações menores que se perguntam se o Zero Trust é muito complexo, muito caro ou muito disruptivo, o STCU prova o contrário. Com a mentalidade certa, até mesmo equipes enxutas podem oferecer resiliência de nível empresarial.
Greg disse melhor: “Zero Trust é uma mentalidade. Você não precisa gastar muito. Use o que você tem, obtenha a adesão da liderança e continue. Sempre há mais que você pode fazer.”
Ouça nossa conversa completa sobre o podcast The Segment: A Zero Trust Leadership via maçã, Spotify, ou nosso website.