Costruire vs comprare infrastruttura di sicurezza: i veri trade-off

Ho costruito sei piattaforme di sicurezza da zero: Presidio (XDR), Valta (CTI), Mirage (Deception), PhishSim (Phishing Simulation), un portale SOC, e un security assessment framework. Lo faccio perche credo nel controllo e nella personalizzazione. Ma sarei disonesto se dicessi che costruire e sempre meglio di comprare. La decisione di build vs buy per la security infrastructure dipende da fattori specifici, e la risposta giusta cambia per ogni organizzazione.

Quando costruire ha senso

Costruire ha senso quando: le soluzioni commerciali non coprono il tuo caso d'uso specifico (per le PMI italiane, gli XDR enterprise erano troppo costosi e troppo complessi - questo e stato il driver per Presidio), quando hai competenze interne per mantenere il sistema nel tempo (costruire e facile, mantenere e difficile), quando il vendor lock-in e un rischio strategico (cambiare SIEM dopo 3 anni di regole personalizzate e dolorosissimo), e quando la personalizzazione profonda e un requisito (i playbook SOAR generici non funzionano per ogni organizzazione).

Quando comprare ha senso

Comprare ha senso quando: non hai team tecnico per mantenere la soluzione (un Wazuh non manutenuto e peggio di un servizio gestito), quando il time-to-value e critico (implementare uno stack XDR da zero richiede mesi, un servizio gestito richiede settimane), quando la compliance richiede certificazioni specifiche del prodotto (alcuni framework di compliance richiedono prodotti certificati), e quando il costo totale di ownership del build supera quello del buy (e succede piu spesso di quanto si pensi).

Il mio approccio e pragmatico: costruisco il core dove la personalizzazione e critica (detection rules, playbook SOAR, deception), e uso componenti open source dove la commodity e accettabile (SIEM engine, case management, visualization). Non costruisco un SIEM engine da zero - uso Wazuh. Ma costruisco le integrazioni, i playbook, i bridge, e le customizzazioni che trasformano componenti individuali in una piattaforma coerente. Il vero valore e nell'integrazione e nell'adattamento, non nella riscrittura di cio che esiste gia.