بقلم نيت برادي - مهندس الأمن السحابي
يوليو 17, 2025 يوليو 2025 5 قراءة دقيقة
لقد طورت صناعة الأمن السيبراني إجماعًا رائعًا حول Zero Trust Network Access (ZTNA): ضعها كبديل مباشر للبنية التحتية القديمة للشبكات الافتراضية الخاصة (VPN)، ووعد بأقل قدر من التعطيل، وترحيل السياسات تدريجيًا بمرور الوقت. الرسائل مقنعة - تجنب تعقيد التغيير التنظيمي مع الحصول على مزايا أمنية حديثة. إلا أن الاقتصاديات قد تروي قصة مختلفة.
أتوقع أن تكتشف المؤسسات التي تسلك هذا المسار "السهل" أن هذا النهج، الذي يهدف إلى تقليل الاضطرابات قصيرة الأجل، سيؤدي في الواقع إلى زيادة التكاليف على المدى الطويل. وفي الوقت نفسه، فإن أولئك الذين يرون أن ترحيل ZTNA كفرصة للتحول الأساسي في تكنولوجيا المعلومات سيجدون أن جهدهم المبذول سيؤتي ثماره في الكفاءات التشغيلية. أنا من أشد المؤمنين بالثالوث الجيد والسريع والسهل (يمكنك اختيار اثنين فقط) وسأشرح في هذه المدونة كيف ينطبق ذلك على اعتماد ZTNA.
أزمة مخزون التطبيقات
تكمن جذور هذا التناقض في نقطة عمياء تشترك فيها معظم الشركات ولكنها نادراً ما تعترف بها: فهي لا تعرف في الواقع ما هي التطبيقات التي تمتلكها، ومن يستخدمها (مع أي بيانات)، أو ما هي قيمة الأعمال التي تقدمها. لقد أدت سنوات من النمو العضوي لتكنولوجيا المعلومات وعمليات الاستحواذ ومبادرات الإدارات إلى إنشاء محافظ تطبيقات مترامية الأطراف تقاوم التصنيف السهل.
وقد مكنت البنية التحتية التقليدية للشبكات الافتراضية الخاصة الافتراضية هذا التعتيم. تحجب سياسات الوصول إلى الشبكة الواسعة أنماط الاستخدام الفعلي للتطبيقات. عندما يتمكن الموظفون من الوصول إلى "كل شيء على الشبكة"، لا يحتاج أحد إلى تبرير سبب وجود تطبيقات محددة أو من يحتاج إلى الوصول إليها. تصبح الشبكة الافتراضية الخاصة طبقة تجريد ملائمة تخفي ثغرات الحوكمة الأساسية.
يديم نهج استبدال ZTNA كشبكة افتراضية افتراضية خاصة هذه الديناميكية. يعد البائعون بتكرار أنماط الوصول الحالية بأقل قدر من التعطيل التنظيمي. الرسالة الضمنية: يمكنك تحقيق أمن انعدام الثقة دون إزعاج فهم ما تحميه. وهذا يخلق هيكل حوافز في السوق حيث تتم مكافأة التعقيد وتجنب الترشيد.
النظر في الآثار الاقتصادية المترتبة على ذلك. تحتفظ المؤسسات بشكل روتيني بتطبيقات انتهت مبرراتها التجارية الأصلية. وهي تدفع رسوم ترخيص للبرمجيات التي تخدم أعداداً متناقصة من المستخدمين. وتخصص موارد البنية التحتية للأنظمة التي يمكن توحيدها أو سحبها. يحافظ نموذج استبدال الشبكة الافتراضية الخاصة على أوجه القصور هذه مع إضافة تكاليف تقنية جديدة فوق ذلك.
الاقتصاد الزائف في "تخفيف المخاطر"
تتعمق المفارقة عند دراسة كيفية تأطير المؤسسات لعملية اتخاذ القرار. يتم وصف عملية جرد التطبيقات وترشيدها بأنها "محفوفة بالمخاطر" - ماذا لو قمنا عن طريق الخطأ بتقييد الوصول إلى شيء مهم؟ ماذا لو تراجع أصحاب التطبيقات عن متطلبات التبرير؟ ماذا لو اكتشفنا أن محفظة تكنولوجيا المعلومات لدينا أكثر فوضوية مما كنا نظن؟
تعكس هذه المخاوف ديناميكيات تنظيمية حقيقية، لكن حسابات المخاطر معكوسة. يكمن الخطر الفعلي في الجهل الدائم ببيئة تكنولوجيا المعلومات لديك. لا يمكن لفرق الأمن تنفيذ ضوابط فعالة للتطبيقات التي لا يفهمونها. وتصبح جهود الامتثال تمارين في مسرح التوثيق بدلاً من إدارة المخاطر الموضوعية. يعتمد تخطيط استمرارية الأعمال على الافتراضات بدلاً من الأدلة.
وقد استجاب السوق بشكل متوقع لهذه الحوافز غير المتوائمة. فقد ظهرت منظومة استشارية حول إدارة التعقيدات بدلاً من الحد منها. سوف تستعين المؤسسات بخدمات احترافية باهظة الثمن لترحيل مئات التطبيقات إلى منصات ZTNA دون التساؤل عما إذا كان ينبغي أن تكون هذه التطبيقات موجودة في المقام الأول. وغالبًا ما تتجاوز رسوم "تخفيف المخاطر" هذه رسوم "تخفيف المخاطر" وفورات التكلفة التي قد يولدها الترشيد المناسب.
عائدات الثقة الصفرية
تكتشف المؤسسات التي تختار مسار التحوّل شيئًا غير متوقع: فالتطبيق السليم للثقة الصفرية يخلق وظيفة إجبارية لتحسين محفظة تكنولوجيا المعلومات التي طال انتظارها. عندما يجب أن يكون لكل تطبيق مالك محدد، وغرض تجاري مبرر، وتدفقات بيانات مصنفة، فإن عملية التنظيف تحدث بشكل طبيعي.
تصبح الاقتصاديات مقنعة بسرعة. يؤدي تقاعد التطبيقات إلى التخلص من تكاليف الترخيص، ويقلل من متطلبات البنية التحتية، ويقلل من مساحة الأمان. تظهر فرص الدمج عندما تكتشف الفرق أنها تحتفظ بأدوات متعددة لوظائف متطابقة. ويتبع تخفيض الديون التقنية بشكل طبيعي عندما تفقد الأنظمة المهملة هويتها الوقائية.
غالبًا ما تفاجئ الفوائد القابلة للقياس الكمي فرق القيادة. عادةً ما يؤدي تحسين الترخيص وحده إلى تخفيضات في التكاليف بنسبة 20-40% في الإنفاق على البرمجيات. ينتج عن ترشيد البنية التحتية وفورات مماثلة في تكاليف الحوسبة والتخزين. وتؤدي المكاسب الناتجة عن الكفاءة التشغيلية - أنظمة أقل في التصحيح والمراقبة والنسخ الاحتياطي - إلى تحقيق تدفقات أرباح مستمرة تتضاعف بمرور الوقت.
ولعل الأهم من ذلك هو تطوير المؤسسات للمعرفة الفعلية حول بيئات تكنولوجيا المعلومات الخاصة بها. وتتيح هذه القدرة استجابة أسرع للحوادث، وتقييمات أكثر دقة لتأثيرات الأعمال، وقرارات الاستثمار التكنولوجي المستندة إلى البيانات. تتراكم المزايا التنافسية بشكل مطرد بالنسبة للمؤسسات التي تفهم ما تمتلكه وكيف تخلق القيمة.
إعادة صياغة حالة العمل
تضع حالة الأعمال التقليدية للأمن السيبراني التحسينات الأمنية على أنها نفقات ضرورية - استثمارات في الحد من المخاطر التي لا تولد إيرادات مباشرة. ويضع هذا الإطار فرق الأمن في وضع غير مواتٍ بشكل منهجي عند التنافس على الميزانية ضد المبادرات التي تعد بعوائد مالية واضحة.
تغير أرباح مخزون التطبيقات هذه الديناميكية بالكامل. يصبح تنفيذ الثقة الصفرية مبادرة لتحسين محفظة تكنولوجيا المعلومات التي تصادف أنها تتضمن تحسينات أمنية. تتحول دراسة الجدوى من "كم سيكلف هذا المشروع الأمني؟" إلى "كم من المال سيوفر لنا هذا الجهد التحسيني؟
تعزز اعتبارات الجدول الزمني هذا الترشيد. تبدأ فوائد ترشيد التطبيقات على الفور - تتوقف التطبيقات المتوقفة عن العمل عن توليد التكاليف في الشهر الحالي. يظهر تحسين الترخيص في دورة التجديد التالية. تتدفق تخفيضات البنية التحتية إلى فواتير السحابة الفصلية. وعادةً ما تمول هذه الوفورات تطبيق ZTNA في غضون 12-18 شهرًا، وبعد ذلك تصبح التحسينات الأمنية مجانية بشكل أساسي.
تجد المؤسسات التي تتبنى هذا الإطار أن مبادراتها التي لا تتسم بالثقة المطلقة تلقى استقبالاً مختلفاً من أصحاب المصلحة. يصبح المديرون الماليون حلفاء بدلاً من المشككين. يشارك قادة وحدات الأعمال بشكل استباقي عندما يفهمون فوائد الكفاءة. تقدر فرق التكنولوجيا فرصة التخلص من الديون التقنية التي تراكمت على مدار سنوات.
الخيار الاستراتيجي
تمثل أزمة نهاية عمر الشبكة الافتراضية الخاصة نقطة انعطاف استراتيجية تتجاوز مجرد استبدال التكنولوجيا. يمكن للمؤسسات أن تختار إدامة أوجه القصور الحالية بأدوات جديدة، أو يمكنها استخدام متطلبات الانتقال كمحفز للتحسين الأساسي.
يحافظ المسار "السهل" على مناطق الراحة التنظيمية مع إضافة التعقيدات التكنولوجية والتكلفة. يتطلب مسار التحول تعطلاً قصير الأجل ولكنه يخلق مزايا تنافسية مستدامة من خلال تحسين إدارة محفظة تكنولوجيا المعلومات والكفاءة التشغيلية والقدرة الأمنية الحقيقية.
فالاقتصاديات تؤيد التحول، ولكن فقط بالنسبة للمؤسسات الراغبة في مواجهة واقع المخزون التطبيقي الذي كانت تتجنبه. أولئك الذين يختارون هذا المسار يكتشفون أن أصعب المشاكل غالبًا ما يكون لها الحلول الأكثر ربحية. إن ديناميكية السوق تكافئ هذه الشجاعة - حيث تتفوق المؤسسات التي لديها محافظ تكنولوجيا معلومات نظيفة ومفهومة جيدًا على نظيراتها عبر أبعاد متعددة.
السؤال ليس ما إذا كانت مؤسستك ستقوم في نهاية المطاف بترشيد محفظة تطبيقاتها. إن ضغوط السوق ومتطلبات الامتثال والتكاليف التشغيلية ستفرض في نهاية المطاف هذا الترشيد. والسؤال هو ما إذا كنت ستستخدم الانتقال الحالي للشبكة الافتراضية الخاصة كفرصة للقيام بذلك بشكل استراتيجي، أو تنتظر حدوث أزمة للقيام بذلك بشكل تفاعلي.
إن المؤسسات التي تتخذ هذا الخيار اليوم هي التي ستحصل على مزايا تنافسية مستدامة غداً.
نبذة عن الكاتب
نيت برادي
مهندس الأمن السحابي
ناثان برادي هو مهندس معماري للمؤسسات في Skyhigh Security. وقد حصل ناثان على درجة الدكتوراه في اقتصاديات الأعمال من جامعة نيوكاسل بأستراليا، وماجستير في إدارة الأعمال من جامعة كنساس، وشهادات جامعية في إدارة الأعمال والهندسة، وشهادات في مجال الصناعة بما في ذلك CISSP وCCSP وASAE من مايكروسوفت وASA- CSA من AWS.
يعمل الدكتور برادي أيضًا في المجلس التنفيذي لـ (ISC2) شيكاغو. على مدى السنوات العشرين الماضية، عمل نيت كمستشار موثوق به في بناء البنية التحتية لتكنولوجيا المعلومات الهامة للعديد من الشركات المدرجة على قائمة فورتشن 500.
العودة إلى المدونات