Il 67% degli attacchi informatici alle aziende sfrutta vulnerabilita nella rete. Non nel software, non nelle email: nella rete stessa. Porte aperte, segmentazione assente, switch non gestiti, VPN configurate male. BullTech Informatica, MSP a Vimercate (MB) dal 2009, gestisce la sicurezza di rete di oltre 80 PMI tra Milano, Monza, Bergamo e Brescia. In 17 anni abbiamo visto di tutto: ransomware che si propaga in 90 secondi su reti piatte, firewall con le regole di default, VPN senza MFA lasciate aperte al mondo. Questa guida nasce da quell'esperienza pratica. Solo quello che funziona davvero.
Cos'e la Sicurezza di Rete Aziendale
La sicurezza di rete aziendale e l'insieme di tecnologie, policy e procedure che proteggono l'infrastruttura di rete della tua azienda da accessi non autorizzati, attacchi e perdite di dati. Non e solo "mettere un firewall". E un sistema a strati che parte dal perimetro e arriva fino al singolo dispositivo.
Pensa alla rete come a un edificio. Il firewall e la porta blindata d'ingresso. La segmentazione sono le pareti interne con le serrature. La VPN e il corridoio sicuro per chi lavora da fuori. L'IDS/IPS sono le telecamere di sorveglianza. Il monitoraggio e il guardiano che le controlla 24 ore su 24. Serve tutto. Un pezzo mancante e il punto da cui entrano.
I 5 pilastri della network security
- Perimetro: firewall next-gen, DMZ, filtro DNS
- Segmentazione: VLAN, micro-segmentazione, zero trust
- Accesso remoto: VPN, SD-WAN, MFA obbligatoria
- Rilevamento: IDS/IPS, NDR, analisi del traffico
- Monitoraggio: SIEM, NOC, alerting 24/7
Il problema delle PMI italiane? La maggior parte ha solo il primo strato. Un firewall (spesso quello integrato nel router del provider) e basta. Niente segmentazione, niente monitoraggio, niente policy di accesso. E come avere la porta blindata ma le finestre spalancate. Se vuoi un quadro completo sulla sicurezza informatica aziendale, leggi la nostra guida dedicata.
Le 7 Minacce Principali per la Rete Aziendale
Non tutte le minacce arrivano via email. Molte sfruttano direttamente la rete, le sue configurazioni deboli, i protocolli obsoleti, le porte aperte. Ecco le 7 che vediamo piu spesso nelle PMI lombarde:
Movimento laterale del ransomware
Il ransomware entra da un PC (email, RDP esposto) e si propaga su tutta la rete piatta in meno di 2 minuti. Senza segmentazione, cifra server, NAS, backup locali. Con la segmentazione, resta confinato nella VLAN di origine.
Porte e servizi esposti su Internet
RDP (porta 3389), SSH (22), SMB (445) esposti direttamente su IP pubblico. Basta uno scan automatizzato per trovarli. Il 23% delle PMI che gestiamo per la prima volta ha almeno un servizio critico esposto senza saperlo.
Wi-Fi aziendale senza segmentazione
Dipendenti, ospiti, telecamere IP e stampanti tutti sulla stessa rete Wi-Fi. Un ospite con un portatile infetto puo raggiungere il server dell'ERP. La rete ospiti deve essere isolata, punto.
Switch non gestiti e rete piatta
Switch consumer da 30 EUR senza VLAN, senza port security, senza logging. Qualsiasi dispositivo collegato ha accesso a tutto. Lo switch managed costa poco di piu ma permette segmentazione, monitoring e controllo degli accessi.
VPN configurata male o senza MFA
VPN con credenziali username/password senza MFA. Le credenziali vengono rubate via phishing o credential stuffing, e il criminale entra nella rete aziendale come se fosse in ufficio. Abbiamo visto VPN con le credenziali di default del vendor: admin/admin.
Assenza di monitoraggio del traffico
Nessuno controlla cosa entra e cosa esce dalla rete. Il malware comunica con il server di comando (C2) per settimane prima che qualcuno se ne accorga. Senza IDS/IPS e log analysis, l'attaccante ha tutto il tempo per esplorare e rubare dati.
Firmware e configurazioni obsolete
Switch, access point, firewall con firmware di 3 anni fa e vulnerabilita note. Credenziali di gestione di default. Configurazioni mai riviste. Il 45% delle vulnerabilita di rete che troviamo nei nostri assessment sono firmware non aggiornati.
Il denominatore comune? Quasi tutte queste minacce si neutralizzano con configurazioni corrette e architettura di rete pensata. Non servono prodotti da centinaia di migliaia di euro. Serve competenza. Per il monitoraggio centralizzato di tutti questi eventi, la soluzione e un sistema SIEM che correli i log di firewall, server e endpoint.
Firewall e Segmentazione: Prima Linea di Difesa
Il firewall e la prima cosa da sistemare. Ma non il router del provider con "firewall integrato". Un firewall next-generation vero: Fortinet, Sophos, WatchGuard. Uno che fa deep packet inspection, application control, IPS, sandboxing, filtro DNS. Che distingue tra traffico legittimo e traffico malevolo, non solo tra porte aperte e chiuse.
Ma il firewall da solo non basta se dentro la rete e tutto piatto. La segmentazione di rete e il secondo pilastro, e forse il piu sottovalutato. Funziona cosi: dividi la rete in zone (VLAN) con regole di accesso specifiche tra una zona e l'altra.
VLAN Server
Server ERP, database, file server. Accessibile solo dalla VLAN amministrazione e solo sulle porte necessarie. Mai direttamente raggiungibile dalla rete ospiti o IoT.
VLAN Amministrazione
PC e postazioni degli uffici. Accesso ai server, a Internet filtrato dal firewall, alla stampante di piano. Nessun accesso alla VLAN produzione o IoT.
VLAN Produzione / OT
Macchinari CNC, PLC, sistemi SCADA. Isolata da tutto il resto. Accesso a Internet solo per aggiornamenti specifici, via proxy. Il ransomware che entra dall'email non tocca la produzione.
VLAN Ospiti
Wi-Fi per visitatori, fornitori, consulenti. Solo accesso a Internet, nessuna visibilita sulla rete interna. Bandwidth limitata. Portale captive con accettazione delle policy.
VLAN IoT / Telecamere
Telecamere IP, sensori, dispositivi IoT. Isolati completamente. Molti dispositivi IoT hanno firmware insicuro e credenziali di default: isolarli e l'unica difesa realistica.
Un caso reale: un'azienda manifatturiera di Bergamo, 45 dipendenti, aveva una rete completamente piatta. Un ransomware entrato via email ha cifrato server, NAS e 3 postazioni CNC in 90 secondi. Dopo il ripristino (6 ore grazie al backup immutabile), abbiamo segmentato la rete in 5 VLAN. Tre mesi dopo, un secondo tentativo di attacco e rimasto confinato nella VLAN postazioni: zero impatto sulla produzione. Per la gestione professionale del firewall e la progettazione della rete aziendale, contattaci per un assessment gratuito.
VPN e Accesso Remoto Sicuro
Lo smart working ha moltiplicato la superficie di attacco. Ogni dipendente che lavora da casa e un potenziale punto di ingresso nella rete aziendale. La VPN aziendale e lo strumento standard, ma va configurata bene. Altrimenti e peggio che non averla: da una falsa sensazione di sicurezza.
Le regole base per una VPN sicura:
- MFA obbligatoria: username e password non bastano. Serve il secondo fattore (app authenticator, token hardware). Sempre, per tutti, senza eccezioni per il titolare
- Split tunneling consapevole: decidi cosa passa dalla VPN e cosa va diretto su Internet. Tutto il traffico in VPN rallenta; niente in VPN espone. La configurazione giusta dipende dalle tue applicazioni
- Certificati, non solo password: la VPN basata su certificati client e molto piu sicura di quella con sole credenziali. Se le credenziali vengono rubate, senza il certificato non si entra
- Accesso granulare: il commerciale in VPN deve vedere il CRM, non il server dell'ERP. Ogni profilo VPN deve dare accesso solo alle risorse necessarie per quel ruolo
- Logging e monitoring: ogni connessione VPN deve essere loggata. Orario, IP di origine, durata, risorse accedute. Se qualcuno si connette dalla Romania alle 3 di notte, devi saperlo in tempo reale
Per aziende con 4 o piu sedi, o con traffico cloud-centrico, la SD-WAN e l'evoluzione naturale della VPN site-to-site: instrada il traffico sulla connessione migliore, gestisce il failover automatico, e centralizza la sicurezza di tutte le sedi in un unico punto di controllo. Per capire costi e benefici, leggi la guida completa all'SD-WAN per aziende.
Monitoraggio e IDS/IPS
Puoi avere il firewall migliore del mondo, ma se nessuno guarda i log, l'attaccante ha tutto il tempo per fare quello che vuole. Il monitoraggio della rete e il pezzo che trasforma la sicurezza da "speriamo bene" a "sappiamo cosa succede".
IDS (Intrusion Detection System): analizza il traffico di rete e segnala anomalie. Rileva scan di porte, tentativi di exploit, comunicazioni con server C2 noti, traffico DNS sospetto. Non blocca, avvisa. IPS (Intrusion Prevention System): fa la stessa cosa, ma blocca il traffico malevolo in tempo reale. La maggior parte dei firewall next-gen include entrambi.
Cosa monitorare nella rete aziendale
- Traffico in uscita anomalo: connessioni verso IP/domini sospetti, volumi insoliti, orari notturni
- Tentativi di accesso falliti: brute force su VPN, RDP, servizi interni
- Movimenti laterali: un PC che scansiona le porte di altri dispositivi nella rete
- DNS anomalo: query verso domini DGA (generati algoritmicamente), tunneling DNS
- Nuovi dispositivi: device sconosciuti che appaiono sulla rete (rogue AP, device personali)
- Variazioni di baseline: il traffico del server ERP raddoppia di colpo senza motivo
Per una PMI, il monitoraggio 24/7 interno non e realistico: servirebbero 3 analisti a turni. La soluzione pratica e un servizio gestito: il firewall e gli switch inviano i log al SIEM del MSP, che li analizza con correlazione automatica e interviene quando serve. Noi di BullTech lo includiamo nel contratto Always On, senza costi aggiuntivi per l'intervento.
Best Practice per PMI Italiane
Non servono budget da multinazionale. Queste 8 pratiche coprono il 90% del rischio di rete per una PMI italiana da 10-100 dipendenti. Le abbiamo testate su oltre 80 clienti:
Firewall next-gen al perimetro
Niente router del provider come unica difesa. Un NGFW vero con IPS, application control, filtro DNS, sandboxing email. Gestito e aggiornato dal MSP, non 'installato e dimenticato'.
Segmentazione in almeno 4 VLAN
Server, postazioni, ospiti, IoT/telecamere. E il minimo. Le regole inter-VLAN devono essere restrittive: solo il traffico necessario, tutto il resto bloccato.
MFA su ogni accesso remoto
VPN, RDP, portali cloud, pannelli di gestione del firewall e degli switch. Senza eccezioni. Il 99,9% degli attacchi a credenziali fallisce con la MFA attiva.
Switch managed con port security
Switch che supportano VLAN, 802.1X, port security, DHCP snooping. Costano 100-200 EUR in piu dei consumer ma danno visibilita e controllo totale sulla rete.
Wi-Fi enterprise con WPA3
SSID separati per dipendenti e ospiti. Autenticazione RADIUS per i dipendenti (802.1X), portale captive per gli ospiti. Mai la stessa password Wi-Fi condivisa con tutti.
Patching firmware trimestrale
Switch, access point, firewall: firmware aggiornato almeno ogni trimestre. Il 45% delle vulnerabilita di rete che troviamo sono firmware obsoleti con CVE pubbliche.
Vulnerability assessment semestrale
Scansione della rete dall'interno e dall'esterno per trovare porte aperte, servizi esposti, configurazioni deboli. Costa 800-2.000 EUR a sessione e trova problemi che non sapevi di avere.
Documentazione di rete aggiornata
Schema logico e fisico della rete, lista IP, regole firewall documentate, credenziali in password manager. Se il tecnico che ha configurato tutto cambia lavoro, devi sapere cosa c'e e come funziona.
Per un approfondimento sulla sicurezza informatica complessiva, leggi la nostra guida alla cyber security per PMI. E se la tua azienda rientra nei settori soggetti alla direttiva europea, consulta la nostra guida NIS2 per aziende di Milano e Lombardia.
Quanto Costa Proteggere la Rete Aziendale
La domanda che tutti fanno. Ecco i costi reali nel 2026 per una PMI da 20-50 postazioni, basati sulle quotazioni che facciamo ogni settimana:
| Componente | Costo Mensile | Note |
|---|---|---|
| Firewall next-gen gestito | 200-500 EUR/mese | Fortinet/Sophos, incluso IPS, filtro DNS, sandboxing, aggiornamenti |
| Switch managed + VLAN setup | 1.500-5.000 EUR (una tantum) | Switch Layer 2/3, configurazione VLAN, port security, cablaggio |
| Wi-Fi enterprise (AP + controller) | 2.000-6.000 EUR (una tantum) | Access point con WPA3, RADIUS, SSID separati, roaming |
| VPN site-to-site o client | 100-300 EUR/mese | Con MFA, certificati, split tunneling configurato, logging |
| IDS/IPS + monitoraggio rete | 200-400 EUR/mese | Spesso incluso nel firewall NGFW + servizio gestito MSP |
| Vulnerability assessment | 800-2.000 EUR/sessione | Scansione interna + esterna, report con priorita, piano remediation |
| Pacchetto MSP completo (tutto incluso) | 500-1.200 EUR/mese | Firewall + segmentazione + VPN + monitoraggio + patching + supporto |
Il calcolo e semplice: 12 mesi di pacchetto MSP completo costano 6.000-14.400 EUR. Un singolo incidente di sicurezza costa in media 120.000 EUR. Il ROI della sicurezza di rete e 10:1. Non e un costo: e un'assicurazione che ti fa dormire la notte.
Per le aziende manifatturiere con reti OT (macchinari, PLC, SCADA), i costi possono essere superiori per la complessita della segmentazione IT/OT. Ma il rischio e anche maggiore: un ransomware che ferma la produzione costa migliaia di euro all'ora in ordini non evasi.
Domande Frequenti sulla Sicurezza di Rete Aziendale
Qual e la differenza tra firewall tradizionale e next-generation?
Il firewall tradizionale lavora su porte e protocolli: blocca o permette il traffico in base a regole statiche (tipo: 'blocca la porta 23'). Il firewall next-generation (NGFW) analizza il contenuto del traffico in profondita: identifica le applicazioni specifiche (puo distinguere tra Teams e Dropbox sulla stessa porta 443), include IPS per rilevare exploit in tempo reale, fa sandboxing degli allegati email, e puo applicare policy per utente, non solo per IP. Per una PMI da 20-50 postazioni, il costo di un NGFW gestito va da 200 a 500 EUR/mese. E la singola misura piu importante per la sicurezza della rete aziendale.
Quanto costa mettere in sicurezza la rete aziendale di una PMI?
Per una PMI da 20-50 postazioni, i costi reali nel 2026 sono: firewall next-gen gestito 200-500 EUR/mese, switch managed con VLAN 1.500-5.000 EUR una tantum, VPN site-to-site o client 100-300 EUR/mese, IDS/IPS (spesso incluso nel NGFW) 0-200 EUR/mese aggiuntivi, monitoraggio rete 24/7 200-400 EUR/mese. Un pacchetto MSP completo che include tutto (firewall, segmentazione, VPN, monitoraggio, patching switch e AP) parte da 500-1.200 EUR/mese. Va confrontato con il costo medio di un breach: 120.000 EUR. In pratica, 12 mesi di protezione costano meno di un singolo incidente.
La segmentazione di rete serve davvero a una PMI?
Si, e una delle misure piu sottovalutate. Senza segmentazione, un ransomware che entra da un PC della reception puo raggiungere il server dell'ERP in 2 secondi: e tutto sulla stessa rete piatta. Con la segmentazione (VLAN), separi la rete in zone: produzione, amministrazione, ospiti, IoT, server. Ogni zona ha regole di accesso diverse. Se il ransomware entra dalla rete ospiti, non puo raggiungere i server. Costo di implementazione: 2.000-5.000 EUR per una PMI tipica, con switch managed e configurazione professionale. E un investimento che si ripaga al primo tentativo di attacco laterale bloccato.
Come faccio a sapere se la mia rete aziendale e stata compromessa?
I segnali piu comuni sono: rallentamenti improvvisi senza causa apparente, connessioni in uscita verso IP sconosciuti (soprattutto in orari notturni), account bloccati per troppi tentativi di login, file rinominati con estensioni strane (.encrypted, .locked), software sconosciuti installati su server o PC. Un IDS/IPS monitora il traffico in tempo reale e ti avvisa di anomalie. Un SIEM correla i log di tutti i dispositivi e identifica pattern sospetti. Noi di BullTech includiamo un vulnerability assessment trimestrale nel contratto Always On: scansioniamo la rete dall'interno e dall'esterno per identificare compromissioni prima che diventino incidenti.
VPN o SD-WAN: quale scegliere per collegare piu sedi?
Dipende dal numero di sedi e dal tipo di traffico. Per 2-3 sedi con traffico moderato, una VPN site-to-site (IPSec o WireGuard) e sufficiente e costa poco: 100-300 EUR/mese gestita. Per 4+ sedi, con applicazioni cloud-centriche (Microsoft 365, gestionali SaaS) e necessita di failover automatico, la SD-WAN e superiore: instrada il traffico sulla connessione migliore in tempo reale, ottimizza la latenza per le app critiche, e centralizza la gestione. Costo SD-WAN gestita: 300-800 EUR/mese per sede. Molti clienti BullTech partono con VPN e migrano a SD-WAN quando aggiungono sedi o spostano applicazioni in cloud.