L'economia della fiducia zero: Perché il percorso 'facile' costa di più

Di Nate Brady - Architetto della sicurezza del cloud

17 luglio 2025 5 Minuti di lettura

Il settore della cybersecurity ha sviluppato un affascinante consenso intorno allo Zero Trust Network Access ): posizionarlo come sostituzione diretta dell'infrastruttura VPN obsoleta, promettere un'interruzione minima e migrare le politiche gradualmente nel tempo. Il messaggio è convincente: evitare la complessità del cambiamento organizzativo, ottenendo al contempo moderni vantaggi in termini di sicurezza. I dati economici, tuttavia, possono raccontare una storia diversa.

Prevedo che le organizzazioni che percorrono questa strada "facile" scopriranno che l'approccio, inteso a minimizzare le interruzioni a breve termine, in realtà massimizza i costi a lungo termine. Nel frattempo, coloro che vedono la migrazione ZTNA come un'opportunità di trasformazione fondamentale dell'IT scopriranno che il loro sudore paga dividendi in termini di efficienza operativa. Sono un convinto sostenitore della triade buono-veloce-facile (se ne possono scegliere solo due) e in questo blog spiegherò come questo vale per l'adozione dell'ZTNA.

La crisi dell'inventario delle applicazioni

La radice di questo paradosso risiede in un punto cieco che la maggior parte delle aziende condivide, ma che raramente riconosce: non sanno effettivamente quali applicazioni possiedono, chi le usa (con quali dati) e quale valore aziendale forniscono. Anni di crescita organica dell'IT, di acquisizioni e di iniziative dipartimentali hanno creato portafogli di applicazioni molto vasti che resistono a una facile categorizzazione.

L'infrastruttura VPN tradizionale ha permesso questa opacità. Le ampie politiche di accesso alla rete oscurano i reali modelli di utilizzo delle applicazioni. Quando i dipendenti possono accedere a "tutto ciò che c'è sulla rete", nessuno ha bisogno di giustificare l'esistenza di applicazioni specifiche o di chi deve accedervi. La VPN diventa un comodo livello di astrazione che maschera le lacune fondamentali della governance.

L'approccio ZTNA-as-VPN-replacement perpetua questa dinamica. I venditori promettono di replicare i modelli di accesso esistenti con un'interruzione organizzativa minima. Il messaggio implicito è: si può ottenere una sicurezza a fiducia zero senza l'inconveniente di capire cosa si sta proteggendo. Questo crea una struttura di incentivi di mercato in cui la complessità viene premiata e la razionalizzazione viene evitata.

Consideri le implicazioni economiche. Le organizzazioni mantengono abitualmente applicazioni la cui giustificazione aziendale originale è scaduta. Pagano i costi di licenza per un software che serve una popolazione di utenti in diminuzione. Assegnano risorse infrastrutturali a sistemi che potrebbero essere consolidati o ritirati. Il modello di sostituzione VPN preserva queste inefficienze, aggiungendo nuovi costi tecnologici.

La falsa economia della "mitigazione del rischio".

L'ironia si approfondisce quando si esamina il modo in cui le organizzazioni inquadrano il loro processo decisionale. Il processo di inventario e razionalizzazione delle applicazioni viene caratterizzato come "rischioso": e se accidentalmente limitassimo l'accesso a qualcosa di importante? E se i proprietari delle applicazioni si oppongono ai requisiti di giustificazione? E se scopriamo che il nostro portafoglio IT è più caotico di quanto pensassimo?

Queste preoccupazioni riflettono dinamiche organizzative genuine, ma il calcolo del rischio è al contrario. Il rischio reale risiede nell'ignoranza perpetua dell'ambiente IT. I team di sicurezza non possono implementare controlli efficaci per applicazioni che non conoscono. Gli sforzi di conformità diventano esercizi di teatro della documentazione piuttosto che di gestione sostanziale del rischio. La pianificazione della continuità aziendale si basa su ipotesi piuttosto che su prove.

Il mercato ha risposto in modo prevedibile a questi incentivi disallineati. È nato un ecosistema di consulenza che ruota attorno alla gestione della complessità, piuttosto che alla sua riduzione. Le organizzazioni si affidano a costosi servizi professionali per migrare centinaia di applicazioni su piattaforme ZTNA, senza chiedersi se quelle applicazioni debbano esistere in primo luogo. Le tariffe per questa "mitigazione del rischio" spesso superano i risparmi sui costi che una corretta razionalizzazione genererebbe.

Il Dividendo Zero Trust

Le organizzazioni che scelgono il percorso di trasformazione scoprono qualcosa di inaspettato: un'adeguata implementazione della fiducia zero crea una funzione di forzatura per l'ottimizzazione del portafoglio IT, attesa da tempo. Quando ogni applicazione deve avere un proprietario identificato, uno scopo aziendale giustificato e flussi di dati classificati, la pulizia avviene in modo organico.

L'economia diventa rapidamente convincente. Il pensionamento delle applicazioni elimina i costi delle licenze, riduce i requisiti dell'infrastruttura e diminuisce la superficie di sicurezza. Le opportunità di consolidamento emergono quando i team scoprono di mantenere più strumenti per funzioni identiche. La riduzione del debito tecnico segue naturalmente quando i sistemi deprecati perdono il loro anonimato protettivo.

I vantaggi quantificabili spesso sorprendono i team di leadership. L'ottimizzazione delle licenze da sola genera in genere riduzioni dei costi del 20-40% nella spesa per il software. La razionalizzazione dell'infrastruttura produce risparmi simili nei costi di calcolo e di archiviazione. I guadagni in termini di efficienza operativa - meno sistemi da patchare, monitorare e fare il backup - creano flussi di dividendi continui che si sommano nel tempo.

Forse ancora più importante, le organizzazioni sviluppano una conoscenza effettiva dei loro ambienti IT. Questa capacità consente una risposta più rapida agli incidenti, valutazioni più accurate dell'impatto aziendale e decisioni di investimento tecnologico basate sui dati. I vantaggi competitivi si accumulano costantemente per le aziende che comprendono ciò che possiedono e come crea valore.

Riformulare il caso aziendale

Il tradizionale business case della cybersecurity posiziona i miglioramenti della sicurezza come spese necessarie - investimenti nella riduzione del rischio che non generano direttamente entrate. Questo inquadramento pone i team di sicurezza in una posizione di svantaggio sistematico quando competono per il budget con iniziative che promettono evidenti ritorni finanziari.

Il dividendo dell'inventario delle applicazioni cambia completamente questa dinamica. L'implementazione di Zero Trust diventa un'iniziativa di ottimizzazione del portafoglio IT che include miglioramenti della sicurezza. Il business case si sposta da "quanto costerà questo progetto di sicurezza?" a "quanto denaro ci farà risparmiare questo sforzo di ottimizzazione?".

Le considerazioni sulla tempistica rafforzano questa riorganizzazione. I vantaggi della razionalizzazione delle applicazioni iniziano immediatamente - le applicazioni ritirate smettono di generare costi nel mese corrente. L'ottimizzazione delle licenze si manifesta nel ciclo di rinnovo successivo. Le riduzioni dell'infrastruttura si ripercuotono sulle fatture trimestrali del cloud. Questi risparmi in genere finanziano l'implementazione ZTNA entro 12-18 mesi, dopodiché i miglioramenti della sicurezza diventano essenzialmente gratuiti.

Le organizzazioni che abbracciano questo approccio scoprono che le loro iniziative di fiducia zero ricevono un'accoglienza diversa da parte degli stakeholder. I CFO diventano alleati piuttosto che scettici. I leader delle business unit si impegnano in modo proattivo quando comprendono i vantaggi in termini di efficienza. I team tecnologici apprezzano l'opportunità di eliminare il debito tecnico accumulato negli anni.

La scelta strategica

La crisi della fine del ciclo di vita delle VPN rappresenta un punto di inflessione strategico che va ben oltre la sostituzione della tecnologia. Le organizzazioni possono scegliere di perpetuare le inefficienze esistenti con nuovi strumenti, oppure possono utilizzare il requisito della transizione come catalizzatore per un miglioramento fondamentale.

Il percorso "facile" preserva le zone di comfort organizzativo, ma aggiunge complessità tecnologica e costi. Il percorso di trasformazione richiede un'interruzione a breve termine, ma crea vantaggi competitivi sostenibili grazie a una migliore gestione del portafoglio IT, all'efficienza operativa e a un'autentica capacità di sicurezza.

L'economia favorisce la trasformazione, ma solo per le organizzazioni disposte a confrontarsi con la realtà dell'inventario applicativo che hanno evitato. Quelle che scelgono questo percorso scoprono che i problemi più difficili hanno spesso le soluzioni più redditizie. La dinamica del mercato premia questo coraggio: le aziende con portafogli IT puliti e ben compresi superano i loro colleghi in molteplici dimensioni.

La questione non è se la sua organizzazione finirà per razionalizzare il suo portafoglio di applicazioni. Le pressioni del mercato, i requisiti di conformità e i costi operativi costringeranno alla fine a fare i conti. La questione è se utilizzerà l'attuale transizione VPN come un'opportunità per farlo in modo strategico, o se aspetterà una crisi per farlo in modo reattivo.

Le organizzazioni che fanno questa scelta oggi saranno quelle che avranno vantaggi competitivi sostenibili domani.

Torna ai blog