Firewall per PMI: Come Scegliere Senza Team IT
Guida pratica per scegliere il firewall giusto per PMI: differenze consumer vs enterprise, criteri di valutazione e perché la gestione conta più dell'hardware.
Scegliere un firewall per la propria azienda sembra una decisione tecnica. In realtà è una decisione di business che ha implicazioni dirette sulla continuità operativa, sulla conformità normativa e sulla protezione dei dati dei tuoi clienti.
Questo articolo è scritto per chi gestisce una PMI italiana e si trova davanti a questa scelta: spesso senza un team IT interno, con budget limitati, e con la pressione crescente di normative come NIS2 e GDPR. Non troverai gergo inutile. Troverai criteri concreti, domande da fare al fornitore e un metodo per non sbagliare.
1. Il primo errore: confondere il router con il firewall
Il malinteso piu comune tra le PMI italiane e questo: pensare che il router fornito dall'operatore telefonico faccia anche da firewall. Non e cosi, o meglio: non in modo sufficiente per un'azienda.
Il router ha un compito preciso: instradare il traffico da internet verso i dispositivi della tua rete e viceversa. Include funzioni di NAT (Network Address Translation) che nascondono gli indirizzi interni dalla rete pubblica, e questo offre una protezione di base. Ma non e progettato per analizzare il contenuto del traffico, bloccare minacce specifiche, registrare eventi di sicurezza o applicare politiche differenziate per utenti o applicazioni.
Il firewall invece e un sistema dedicato alla sicurezza del perimetro di rete. Analizza ogni pacchetto che entra ed esce, applica regole granulari, identifica comportamenti anomali e puo bloccare attacchi prima che raggiungano i tuoi sistemi.
Un esempio pratico: se un dipendente clicca su un link di phishing e scarica un file malevolo, il router non fa nulla. Un firewall moderno con funzione IPS (Intrusion Prevention System) puo riconoscere la firma dell'attacco e bloccarlo in tempo reale, o almeno allertare chi gestisce la sicurezza.
La differenza non e solo tecnica. E la differenza tra avere una porta blindata e avere solo una porta chiusa a chiave.
2. Firewall consumer vs firewall enterprise: cosa cambia davvero
Sul mercato esistono dispositivi che si chiamano "firewall" ma hanno caratteristiche molto diverse. Capire la differenza ti aiuta a non pagare troppo per poco o troppo poco per le tue reali esigenze.
Dispositivi consumer o semi-consumer
In questa categoria rientrano i router ADSL/fibra forniti dagli ISP (Fritz!Box, TP-Link, ASUS, Netgear) e alcuni firewall entry-level destinati a utenti avanzati o piccoli uffici. Hanno funzioni di base: NAT, filtro DNS, eventualmente una VPN elementare. Non sono progettati per gestire traffico aziendale sostenuto, non ricevono aggiornamenti regolari alle firme di sicurezza, e la loro superficie di attacco e piu ampia perche il software e spesso meno curato.
Fritz!Box, per esempio, e un ottimo prodotto per l'uso domestico. Ma non ha funzioni IPS, non offre visibilita sul traffico applicativo, e non ha un sistema di log centralizzato auditabile. Per una PMI che tratta dati personali, e insufficiente.
Firewall open source (OPNsense, pfSense)
OPNsense e pfSense sono soluzioni open source molto potenti, spesso installate su hardware dedicato. Offrono funzionalita avanzate (IDS/IPS con Suricata, VPN, filtro contenuti, segmentazione VLAN) a costo zero di licenza. Il punto critico e la gestione: richiedono competenze specifiche per essere configurati e mantenuti correttamente. Un OPNsense mal configurato e piu pericoloso di un Fritz!Box perche da una falsa sensazione di sicurezza.
Se hai un sistemista competente che lo mantiene, puo essere una scelta eccellente. Se non ce l'hai, e un rischio.
Firewall enterprise (Fortinet, Palo Alto, Cisco, Check Point, Sophos)
I produttori enterprise offrono appliance hardware o soluzioni virtuali con un ecosistema completo: aggiornamenti automatici alle firme, supporto vendor con SLA, console di gestione centralizzata, integrazione con SIEM, conformita certificata a standard internazionali.
Il Gartner Magic Quadrant per i Network Firewalls (pubblicato annualmente, consultabile su gartner.com) posiziona regolarmente Palo Alto Networks, Fortinet e Check Point come leader di mercato. Queste classifiche sono utili come punto di partenza, ma per una PMI il brand da solo non e sufficiente: conta anche il costo totale, la semplicita di gestione e il supporto locale.
Fortinet FortiGate e spesso la scelta piu razionale per PMI italiane grazie al rapporto prestazioni/costo e alla disponibilita di partner certificati in Italia. Sophos XGS e apprezzata per l'interfaccia piu accessibile. Palo Alto e eccellente ma ha un costo che giustifica solo ambienti con requisiti molto elevati.
3. Criteri di scelta per una PMI: quello che conta davvero
Una volta deciso il segmento (self-managed enterprise o gestito), devi valutare il dispositivo specifico. Ecco i parametri che contano.
Throughput (Mbps o Gbps)
Il throughput e la quantita di traffico che il firewall riesce a gestire. Attenzione: i produttori pubblicano spesso il throughput "ideale" misurato con traffico sintetico. Il throughput reale, con inspection SSL attiva e IPS abilitato, puo essere fino al 50-70% inferiore.
Se hai una connessione in fibra da 1 Gbps e 50 utenti, non ti basta un firewall con throughput nominale di 500 Mbps con inspection attiva. Considera sempre il throughput con funzioni di sicurezza abilitate, non quello "bare metal".
Numero di connessioni simultanee
Ogni sessione aperta (un browser che scarica una pagina, una videochiamata, un accesso a un gestionale in cloud) occupa una sessione nel firewall. Un firewall entry-level gestisce 10.000-50.000 sessioni simultanee. Uno mid-range arriva a 500.000. Calcola circa 200-500 sessioni per utente attivo in un ambiente tipico da ufficio.
Funzionalita IPS/IDS
L'Intrusion Prevention System analizza il traffico alla ricerca di pattern di attacco noti. E fondamentale per bloccare exploit, ransomware in transito e tentativi di intrusione. Verifica che il vendor aggiorni le firme con frequenza elevata (idealmente quotidiana) e che l'abbonamento alle firme sia incluso o abbia un costo chiaro.
Il NIST Cybersecurity Framework (nist.gov/cyberframework) indica l'IPS come controllo essenziale nella funzione "Protect" per qualsiasi organizzazione che tratta dati sensibili. Per le PMI che devono rispettare GDPR o NIS2, non e un optional.
Supporto VPN
La VPN e diventata indispensabile con il lavoro da remoto. Valuta:
- VPN site-to-site: per collegare sedi diverse in modo sicuro
- VPN client-to-site: per i dipendenti in smart working
- Numero massimo di tunnel VPN supportati
- Supporto a protocolli moderni (WireGuard, IPsec IKEv2, SSL/TLS)
Vendor support e aggiornamenti
Un firewall non aggiornato e un firewall inutile. Verifica:
- Frequenza degli aggiornamenti firmware
- Fine vita (EOL) dell'appliance: quando il vendor smette di supportarla?
- Disponibilita di supporto tecnico in italiano o con SLA garantito
- Community o partner locali in caso di problemi urgenti
4. Le domande da fare al fornitore: checklist in 8 punti
Prima di firmare qualsiasi contratto o acquistare qualsiasi appliance, poni queste domande. Un fornitore serio risponde senza esitazione.
1. Qual e il throughput reale con inspection SSL e IPS attivi, non quello nominale? Chiedi un datasheet con i valori misurati con funzioni di sicurezza abilitate.
2. Con quale frequenza vengono aggiornate le firme IPS e i feed di threat intelligence? La risposta accettabile e: quotidianamente o in tempo reale tramite cloud.
3. Qual e il piano di fine vita dell'appliance proposta? Vuoi sapere per quanti anni riceverai aggiornamenti di sicurezza prima di dover cambiare hardware.
4. Il contratto include un SLA per i tempi di risposta a un incidente di sicurezza? Vuoi numeri precisi: es. risposta entro 4 ore, risoluzione entro 24 ore.
5. Come vengono gestiti i log? Dove vengono conservati e per quanto tempo? Per NIS2 e GDPR, i log devono essere conservati in modo sicuro e verificabile. Chiedi se il sistema di log e WORM (Write Once Read Many) o equivalente.
6. Avete referenze di PMI italiane nel mio settore che utilizzano questa soluzione? Un fornitore con esperienza specifica nel tuo verticale e preferibile a uno generico.
7. In caso di guasto hardware, qual e il tempo di sostituzione e il processo? Vuoi sapere se esiste un piano di business continuity: spare unit, configurazione di backup, procedura di failover.
8. Il costo include tutte le licenze annuali necessarie (IPS, antivirus, URL filtering, supporto)? Il prezzo hardware e spesso solo la punta dell'iceberg. Chiedi il costo totale su 3 anni.
5. Total cost of ownership: il costo nascosto che nessuno ti dice
Il prezzo dell'appliance e il numero che vedi sul preventivo. Il costo reale e molto piu alto.
Considera questo scenario tipico per una PMI con 30-50 utenti:
| Voce di costo | Anno 1 | Anni 2-5 (annuale) |
|---|---|---|
| Appliance hardware | 800-2.500 euro | 0 |
| Licenze sicurezza (IPS, AV, URL) | 400-800 euro | 400-800 euro |
| Supporto vendor | 200-500 euro | 200-500 euro |
| Gestione e monitoraggio | 2.000-6.000 euro | 2.000-6.000 euro |
| Formazione sysadmin interno | 500-1.500 euro | 200-500 euro |
| Totale stimato | 3.900-11.300 euro | 2.800-7.800 euro |
La gestione e il monitoraggio rappresentano spesso il 50-60% del costo totale. E anche la voce che viene sottovalutata o ignorata completamente quando si acquista solo l'hardware.
Se non hai un team IT interno che si occupa del firewall quotidianamente (revisione regole, analisi log, risposta agli alert, aggiornamenti), quel firewall non ti sta proteggendo come dovrebbe. Ti sta solo dando una falsa sensazione di sicurezza.
6. Il firewall senza gestione e come la cassaforte senza codice
Immagina di acquistare una cassaforte di alta qualita, installarla in ufficio e poi non impostare mai il codice segreto. E chiusa, ma non bloccata. Chiunque sappia come fare puo aprirla.
Un firewall non gestito funziona in modo simile.
Le regole di sicurezza vengono impostate una volta all'installazione e poi dimenticate. Nel frattempo:
- Nuovi dipendenti vengono aggiunti senza aggiornare le policy
- Ex dipendenti mantengono accessi VPN attivi
- Vengono aperte porte per esigenze temporanee e non vengono mai chiuse
- Le firme IPS non vengono aggiornate perche l'abbonamento e scaduto
- Gli alert di sicurezza si accumulano senza che nessuno li legga
Un report di Verizon (DBIR, Data Breach Investigations Report) documenta ogni anno che la configurazione errata e l'aggiornamento mancato sono tra le cause principali di breach nelle PMI. Non e una questione di hardware insufficiente: e una questione di gestione.
Il firewall e un sistema dinamico. Le minacce evolvono ogni giorno. Le regole devono essere riviste periodicamente. I log devono essere analizzati. Gli aggiornamenti devono essere applicati tempestivamente ma con test per evitare interruzioni di servizio.
Senza qualcuno che faccia tutto questo con competenza e continuita, il tuo firewall e uno scudo posato a terra.
7. Self-managed vs gestito: come scegliere il modello giusto per te
Non esiste una risposta universale. Dipende dalla tua situazione specifica.
Scegli il firewall self-managed se:
- Hai un team IT interno con almeno una figura dedicata alla sicurezza di rete
- Hai le competenze per configurare, monitorare e aggiornare il sistema in autonomia
- Hai un processo formalizzato di revisione periodica delle regole
- Hai un sistema SIEM o equivalente per la correlazione dei log
- Sei disposto a investire in formazione continua del tuo personale
In questo scenario, soluzioni come Fortinet FortiGate o Sophos XGS con le relative licenze di sicurezza sono scelte solide. OPNsense e valida se il team ha esperienza specifica.
Scegli il firewall gestito (MSSP) se:
- Non hai un team IT interno o hai solo un'unica figura IT generalista
- Non vuoi occuparti della gestione quotidiana della sicurezza
- Hai necessita di conformita a NIS2, GDPR o normative di settore
- Vuoi un SLA garantito con tempi di risposta definiti contrattualmente
- Vuoi prevedibilita di costo (canone fisso mensile invece di spese variabili)
- Hai avuto un incidente di sicurezza in passato e vuoi evitarne altri
La maggior parte delle PMI italiane con meno di 100 dipendenti ricade in questa seconda categoria. Non perche siano meno capaci, ma perche la sicurezza informatica e diventata una disciplina talmente specializzata che richiede personale dedicato a tempo pieno. Esternalizzarla a un MSSP qualificato e spesso piu efficiente e piu sicuro che tentare di gestirla internamente con risorse limitate.
8. Come valutare un MSSP: 6 caratteristiche da verificare prima di firmare
Se decidi di affidarti a un MSSP (Managed Security Service Provider), non tutti sono uguali. Ecco cosa verificare.
1. SLA documentato e vincolante contrattualmente
Non "ci impegniamo a rispondere entro qualche ora". Vuoi numeri precisi con penali in caso di mancato rispetto. Tipicamente: risposta iniziale entro 1-4 ore, escalation entro 8 ore, risoluzione entro 24-48 ore per incidenti critici.
2. SOC (Security Operations Center) attivo 24/7
Le minacce non hanno orari d'ufficio. Il ransomware si attiva spesso nel weekend o di notte proprio perche sa che nessuno sta guardando. Verifica che il monitoraggio sia davvero continuo, non solo dichiarato tale.
3. Trasparenza totale sui log e reportistica
Devi poter accedere ai log di sicurezza in qualsiasi momento. Il provider non deve essere l'unico a vederli. Chiedi se ti forniscono un portale di visibilita e report periodici leggibili anche da un non tecnico.
4. Esperienza specifica con PMI italiane
Un MSSP abituato a gestire grandi enterprise potrebbe non avere l'approccio giusto per le tue esigenze. Chiedi referenze di clienti simili a te per dimensione e settore.
5. Conformita alle normative italiane ed europee
Verifica che il provider conosca NIS2, GDPR e le normative di settore rilevanti per te. Chiedi se i log vengono conservati in modalita WORM (immutabile) come richiesto per alcuni adempimenti normativi.
6. Processo di offboarding definito
Cosa succede se decidi di cambiare provider? Hai accesso alle configurazioni? Ti vengono consegnati i log storici? Un provider serio definisce il processo di uscita prima che tu firmi, non dopo.
Red flag: segnali di allarme da non ignorare
- Nessun SLA scritto, solo promesse verbali
- Prezzi troppo bassi senza spiegazione di cosa e incluso e cosa no
- Impossibilita di avere referenze verificabili
- Resistenza a mostrarti la piattaforma di monitoraggio prima della firma
- Contratti con rinnovo automatico annuale senza clausola di uscita anticipata
- Impossibilita di parlare con un tecnico prima di firmare (solo commerciali)
- Log non accessibili direttamente dal cliente
9. Tabella comparativa: tre scenari a confronto
| Caratteristica | Router ISP / consumer | Firewall UTM self-managed | NGFW gestito (MSSP) |
|---|---|---|---|
| Costo iniziale | 0 (incluso) | 800-3.000 euro | Basso o incluso nel canone |
| Costo mensile | 0 | 150-600 euro (licenze + gestione interna) | 150-500 euro (canone fisso) |
| Competenze richieste | Nessuna | Sistemista dedicato | Nessuna (gestisce MSSP) |
| Protezione IPS/IDS | Assente | Presente se configurata | Presente e aggiornata |
| VPN aziendale | Elementare o assente | Completa | Completa |
| Monitoraggio 24/7 | Assente | Solo se hai personale H24 | Incluso |
| Conformita NIS2/GDPR | Insufficiente | Possibile se gestita bene | Progettata per la conformita |
| Log WORM/immutabili | Assente | Richiede configurazione extra | Spesso incluso |
| SLA garantito | Assente | Dipende dal team interno | Contrattualmente vincolante |
| Ideale per | Uso domestico | PMI con IT interno dedicato | PMI senza IT interno |
Conclusione: l'hardware non ti protegge, la gestione si
Arrivato a questo punto, il messaggio centrale dovrebbe essere chiaro: scegliere un firewall non significa solo comprare un'appliance. Significa scegliere un processo di sicurezza continuativo.
Il firewall giusto per la tua PMI dipende dalla tua situazione specifica: dimensione dell'azienda, tipo di traffico, requisiti normativi, risorse interne disponibili. Non esiste una risposta unica valida per tutti.
Quello che vale per tutti, invece, e questo: un firewall non gestito attivamente non ti protegge. Ti costa soldi e ti da una falsa sensazione di sicurezza, che e peggio di non averlo.
Se non hai le risorse per gestirlo internamente, affidati a un MSSP qualificato con SLA scritto, monitoring 24/7 e trasparenza sui log. E il modo piu efficiente di avere protezione reale senza dover assumere un team di sicurezza.
Vuoi sapere quanto costa avere un firewall gestito professionale per la tua PMI?
Scopri i piani SecBox Shield con firewall NGFW gestito, monitoraggio 24/7, log WORM e supporto incluso. Prezzi fissi mensili, senza sorprese.