Quanto costa mettere in sicurezza la rete aziendale?

Per una PMI con 20-50 postazioni, un setup di sicurezza rete completo costa: firewall next-gen (WatchGuard o Fortinet) 1.500-4.000 euro + 500-1.200 euro/anno di licenze, segmentazione VLAN sugli switch gestiti (se non li hai gia, 500-2.000 euro di switch), endpoint protection EDR su tutte le postazioni 3-6 euro/postazione/mese, monitoraggio SOC/MDR 5-10 euro/postazione/mese. Totale primo anno: 5.000-12.000 euro. Sembra tanto? Un singolo attacco ransomware costa in media 150.000 euro a una PMI italiana (Clusit, 2025). La sicurezza e un investimento, non un costo.

Cos'e la segmentazione VLAN e perche e importante?

La segmentazione VLAN divide la rete aziendale in sottoreti logiche isolate. Esempio: VLAN Uffici (PC dipendenti), VLAN Server (server e NAS), VLAN Ospiti (Wi-Fi guest), VLAN IoT (stampanti, telecamere, dispositivi smart). Ogni VLAN e isolata: un PC infetto nella VLAN Uffici non puo raggiungere direttamente i server nella VLAN Server perche il traffico deve passare dal firewall, che filtra e controlla. Senza segmentazione, un singolo PC compromesso ha accesso diretto a TUTTI i dispositivi della rete: server, backup, stampanti, telecamere. Con la segmentazione, l'attaccante deve superare piu barriere. E il singolo intervento con il miglior rapporto costo/beneficio per la sicurezza di rete.

Serve un firewall se ho gia il router del provider Internet?

Si, assolutamente. Il router del provider Internet (TIM, Vodafone, Fastweb) e un dispositivo di accesso alla rete, NON un dispositivo di sicurezza. Ha un firewall basilare (NAT + stateful inspection) che blocca le connessioni in entrata non sollecitate, ma non fa: deep packet inspection, IDS/IPS, filtraggio contenuti web, antivirus gateway, sandboxing degli allegati email, VPN enterprise, reportistica e logging avanzato. E come avere una porta blindata ma senza serratura. Un firewall next-gen (WatchGuard Firebox T45 o Fortinet FortiGate 40F, dai 600-1.200 euro) e il minimo indispensabile per qualsiasi azienda con piu di 5 PC.

Cos'e il modello Zero Trust e come si applica a una PMI?

Zero Trust significa: 'non fidarti di nessuno, verifica sempre'. Nel modello tradizionale, chi e dentro la rete aziendale e considerato affidabile. Nel modello Zero Trust, ogni accesso viene verificato: chi sei (identita), da dove ti connetti (rete), con quale dispositivo (compliance del device), a cosa vuoi accedere (autorizzazione granulare). Per una PMI, Zero Trust si applica gradualmente: Step 1: MFA su tutto (email, VPN, applicazioni). Step 2: Conditional Access (blocca accessi da dispositivi non conformi). Step 3: Segmentazione rete con VLAN. Step 4: Microsegmentazione (policy per singola applicazione). Non serve fare tutto subito: anche solo il MFA e la segmentazione VLAN ti mettono anni avanti rispetto alla media delle PMI italiane.

IDS e IPS: qual e la differenza?

IDS (Intrusion Detection System) monitora il traffico di rete e ti AVVISA quando rileva attivita sospette (scansioni, exploit, traffico anomalo). E un sistema passivo: vede e segnala, ma non blocca. IPS (Intrusion Prevention System) fa la stessa analisi dell'IDS ma BLOCCA automaticamente il traffico malevolo. E un sistema attivo: vede, segnala e interviene. Nei firewall moderni (WatchGuard, Fortinet, Palo Alto) l'IPS e integrato e attivo per default. Il rischio dell'IPS: i falsi positivi possono bloccare traffico legittimo. Per questo serve un tuning iniziale fatto da chi conosce la rete. BullTech configura l'IPS su tutti i firewall che installa, con tuning personalizzato nei primi 30 giorni.

Come proteggo la rete aziendale dal ransomware?

La protezione dal ransomware e multilivello: (1) Firewall con IPS: blocca gli exploit noti e il traffico verso server di comando e controllo. (2) Email security: filtra gli allegati malevoli e i link di phishing PRIMA che arrivino nella casella dell'utente. (3) Endpoint protection EDR: rileva e blocca il ransomware sul PC, anche se e un ceppo nuovo (zero-day). (4) Segmentazione rete: anche se un PC viene cifrato, il ransomware non si propaga ai server e ai backup. (5) Backup immutabile: copie dei dati che il ransomware NON puo cancellare o cifrare, in una location separata. (6) Formazione utenti: il 90% dei ransomware entra tramite email di phishing cliccata da un dipendente. Leggi la nostra guida completa sulla protezione ransomware per PMI.

Ogni quanto va aggiornato il firewall?

Il firmware del firewall va aggiornato ogni volta che il vendor rilascia una patch di sicurezza critica — in media ogni 1-3 mesi. Le firme IPS/antivirus vanno aggiornate quotidianamente (i firewall moderni lo fanno in automatico). L'hardware va sostituito quando il vendor smette di rilasciare aggiornamenti di sicurezza (End of Life) — in media ogni 5-7 anni. Un firewall non aggiornato e peggio di nessun firewall: da un falso senso di sicurezza mentre ha vulnerabilita note che gli attaccanti conoscono bene. BullTech gestisce gli aggiornamenti firewall per tutti i clienti con contratto MSP: pianifichiamo le finestre di manutenzione, testiamo la compatibilita e applichiamo le patch senza downtime per l'azienda.

Sicurezza Rete Aziendale: Guida Completa 2026

Parliamoci chiaro: la rete della maggior parte delle PMI italiane e un campo minato. Switch comprati da MediaWorld, il Wi-Fi con la password “nomeazienda2020”, il firewall del provider Internet che “tanto basta” e zero segmentazione. Poi arriva il ransomware e in 4 ore hai tutta l'azienda cifrata. Noi di BullTech Informatica, da Vimercate (MB), proteggiamo reti aziendali dal 2009. In questa guida ti spieghiamo come mettere davvero in sicurezza la tua rete, livello per livello, senza comprare roba che non ti serve.

Definizione

La sicurezza della rete aziendale (network security) comprende l'insieme di tecnologie, policy e procedure che proteggono l'infrastruttura di rete di un'azienda da accessi non autorizzati, attacchi informatici, perdita di dati e interruzioni di servizio. Include: firewall perimetrali, sistemi di rilevamento e prevenzione intrusioni (IDS/IPS), segmentazione di rete (VLAN), protezione degli endpoint (EDR), controllo degli accessi (NAC), crittografia del traffico (VPN/TLS) e monitoraggio continuo (SOC/SIEM). Secondo il Rapporto Clusit 2025, gli attacchi informatici alle PMI italiane sono cresciuti del 65% rispetto al 2023.

Fatti chiave — Sicurezza Rete 2026

+65% attacchi informatici a PMI italiane 2023-2025 (Clusit, 2025)
150.000 € costo medio di un attacco ransomware per una PMI (ACN, 2025)
90% degli attacchi inizia con un'email di phishing
5 livelli di difesa: perimetrale, rete, endpoint, identita, dati
Zero Trust: il paradigma di sicurezza dominante nel 2026
150+ reti aziendali protette da BullTech in Lombardia (2009-2026)

La difesa in profondita: 5 livelli di protezione

La sicurezza di rete non e un prodotto, e un'architettura. Non esiste un singolo apparato che ti protegge da tutto. Serve un approccio “defense in depth”: piu livelli di difesa, cosi se uno viene superato, il successivo ferma l'attaccante. Vediamoli uno per uno.

Livello 1 — Difesa perimetrale (Firewall Next-Gen)

Il firewall e la prima linea di difesa: controlla tutto il traffico tra la tua rete e Internet. Un firewall next-gen (NGFW) non si limita a filtrare le porte come quelli vecchi: fa deep packet inspection (analizza il contenuto del traffico), application control (riconosce e controlla le applicazioni, non solo le porte), web filtering (blocca siti malevoli e categorie indesiderate), gateway antivirus (scansiona file e allegati in transito) e sandboxing (esegue file sospetti in un ambiente isolato per vedere se sono malevoli).

Cosa consigliamo: per PMI con 10-50 postazioni, WatchGuard Firebox T45/T85 o Fortinet FortiGate 40F/60F. Costo: 600-2.500 euro di hardware + 400-1.200 euro/anno di licenze per i servizi di sicurezza. E un investimento che ogni azienda deve fare, punto.

Livello 2 — Segmentazione di rete (VLAN)

La segmentazione VLAN e il secondo livello piu importante. Divide la rete in zone isolate: anche se un PC nella zona “Uffici” viene compromesso, non puo raggiungere direttamente i server nella zona “Server” perche il traffico tra le VLAN deve passare dal firewall. Configurazione tipica BullTech:

VLAN 10 — Management: switch, firewall, access point (accesso solo per gli admin IT)

VLAN 20 — Server: server fisici e virtuali, NAS, backup (accesso controllato dal firewall)

VLAN 30 — Uffici: PC e portatili dei dipendenti (accesso a Internet e ai server autorizzati)

VLAN 40 — VoIP: telefoni IP e centralino (isolata per qualita voce e sicurezza)

VLAN 50 — Wi-Fi Guest: rete ospiti con accesso solo a Internet, zero accesso alla rete aziendale

VLAN 60 — IoT: stampanti, telecamere, sensori — dispositivi spesso insicuri, isolati dal resto

Serve switch gestiti (managed) che supportino 802.1Q. Non costano molto di piu degli switch non gestiti e la differenza per la sicurezza e enorme.

Livello 3 — IDS/IPS (Rilevamento e prevenzione intrusioni)

L'IPS (Intrusion Prevention System) analizza il traffico di rete in tempo reale e blocca automaticamente i pattern di attacco conosciuti: exploit di vulnerabilita, scansioni di porte, comunicazioni con server di comando e controllo (C2), tentativi di brute force. Nei firewall WatchGuard e Fortinet l'IPS e integrato e si attiva con un clic. Le firme si aggiornano quotidianamente e il motore riconosce migliaia di pattern di attacco.

Livello 4 — Protezione endpoint (EDR)

Il firewall protegge il perimetro, ma cosa succede quando il malware arriva direttamente sull'endpoint (via chiavetta USB, allegato email, sito compromesso)? Serve un EDR (Endpoint Detection and Response) su ogni PC e server: non il vecchio antivirus a firme, ma un sistema che analizza il comportamento dei processi in tempo reale. Se un processo inizia a cifrare file in massa (ransomware), l'EDR lo blocca e isola il PC dalla rete prima che si propaghi.

Cosa consigliamo: Bitdefender GravityZone Business Security o Microsoft Defender for Business (incluso in M365 Business Premium). Costo: 3-6 euro/postazione/mese. Non e opzionale: e il minimo.

Livello 5 — Protezione dell'identita (MFA + Zero Trust)

Il livello piu trascurato e il piu importante. Il 90% degli attacchi sfrutta credenziali rubate o deboli. La protezione dell'identita include: MFA su tutti gli accessi (email, VPN, applicazioni cloud), password policy robuste (minimo 12 caratteri, no riuso), Conditional Access (blocca accessi anomali per posizione, dispositivo o orario), monitoraggio degli accessi con alert su comportamenti sospetti. L'obiettivo e il modello Zero Trust: verifica sempre, non fidarti mai, anche per gli utenti “dentro” la rete.

Zero Trust per PMI: non serve un budget da enterprise

“Zero Trust e roba da multinazionali.” Falso. I principi di Zero Trust si applicano a qualsiasi azienda, anche con budget limitato. Ecco la roadmap che proponiamo alle PMI, in ordine di priorita e costo crescente:

Step 1 (gratis): attiva MFA su Microsoft 365, VPN e tutte le applicazioni cloud — blocca il 99,9% degli attacchi di furto credenziali

Step 2 (500-2.000 euro): segmenta la rete con VLAN e regole firewall — limita la propagazione laterale degli attacchi

Step 3 (3-6 euro/PC/mese): installa un EDR su tutti gli endpoint — rileva e blocca malware avanzato in tempo reale

Step 4 (incluso in M365 Premium): configura Conditional Access — blocca accessi da dispositivi non conformi o posizioni sospette

Step 5 (5-10 euro/PC/mese): attiva monitoraggio SOC/MDR — un team di analisti monitora la tua rete 24/7 e risponde agli incidenti

Solo i primi 3 step proteggono la tua azienda meglio del 90% delle PMI italiane. Costo totale per 30 postazioni: 2.000-4.000 euro una tantum + 90-180 euro al mese per l'EDR. E un investimento ragionevole per dormire tranquilli.

Monitoraggio rete e incident response

Avere firewall e EDR senza monitorarli e come avere un allarme in casa senza nessuno che risponde quando suona. Il monitoraggio della rete include: log del firewall (chi ha tentato di accedere a cosa, da dove), alert dell'IPS (tentativi di intrusione bloccati), eventi dell'EDR (malware rilevati, comportamenti anomali), stato dei dispositivi (switch, access point, server up/down).

Per le PMI, il monitoraggio si delega a un SOC/MDR (Security Operations Center / Managed Detection and Response): un team di analisti che monitora la tua rete 24/7, analizza gli alert, elimina i falsi positivi e interviene in caso di incidente reale. Il costo? 5-10 euro/postazione/mese. Molto meno di un analista di sicurezza interno (50.000-70.000 euro/anno di stipendio).

E quando l'incidente succede (prima o poi succede), serve un piano di incident response: chi fa cosa, in che ordine, chi si chiama, come si contiene l'attacco, come si ripristinano i sistemi. Senza un piano, il panico prende il sopravvento e i danni si moltiplicano.

Checklist sicurezza rete: a che punto sei?

Hai un firewall next-gen (non il router del provider) con licenze di sicurezza attive

La rete e segmentata in VLAN (almeno: server, uffici, guest, IoT)

L'IPS del firewall e attivo e le firme si aggiornano quotidianamente

Ogni PC ha un EDR (non un semplice antivirus) installato e aggiornato

L'MFA e attivo su TUTTI gli accessi: email, VPN, applicazioni cloud, admin firewall

Il Wi-Fi guest e isolato dalla rete aziendale (VLAN dedicata)

Il firmware del firewall e stato aggiornato negli ultimi 3 mesi

Hai un backup immutabile off-site (non sullo stesso NAS del server)

Esiste un piano di incident response scritto e condiviso

I log del firewall sono conservati per almeno 6 mesi

Se hai spuntato 7+ voci su 10, sei messo meglio della media. Se ne hai spuntate meno di 5, hai delle vulnerabilita importanti che vanno affrontate prima che qualcuno le sfrutti. Un assessment di sicurezza rete identifica i buchi e ti da un piano d'azione con priorita e costi.

Domande frequenti sulla sicurezza rete aziendale

Definizione

Fatti chiave — Sicurezza Rete 2026

+65% attacchi informatici a PMI italiane 2023-2025 (Clusit, 2025)
150.000 € costo medio di un attacco ransomware per una PMI (ACN, 2025)
90% degli attacchi inizia con un'email di phishing
5 livelli di difesa: perimetrale, rete, endpoint, identita, dati
Zero Trust: il paradigma di sicurezza dominante nel 2026
150+ reti aziendali protette da BullTech in Lombardia (2009-2026)