Il Wi-Fi aziendale è spesso il punto di ingresso più trascurato nella sicurezza informatica delle PMI. Una rete wireless mal configurata può essere compromessa in pochi minuti da chiunque si trovi nel raggio d'azione del segnale — un competitor nell'edificio di fronte, un cliente in sala d'attesa, un dipendente in uscita con rancori.
A differenza di una connessione cablata, il segnale Wi-Fi non si ferma alle mura dell'ufficio. Ogni dispositivo che si connette alla rete aziendale è un potenziale punto di ingresso, e ogni rete Wi-Fi è una superficie di attacco che richiede configurazione e gestione attiva.
I rischi principali del Wi-Fi aziendale non protetto
- Sniffing del traffico: su reti Wi-Fi non cifrate o con protocolli deboli (WEP, WPA), il traffico può essere intercettato con strumenti facilmente disponibili.
- Evil twin attack: un attaccante crea una rete Wi-Fi con lo stesso nome (SSID) della rete aziendale o di una rete pubblica nota, inducendo i dispositivi a connettersi automaticamente. Tutto il traffico passa attraverso il dispositivo dell'attaccante.
- Accesso non autorizzato alla rete interna: un dispositivo connesso alla rete Wi-Fi aziendale (senza segmentazione) ha accesso agli stessi risorse di un PC aziendale — server, NAS, stampanti, sistemi gestionali.
- Rete ospiti non isolata: se la rete Wi-Fi per i visitatori non è correttamente separata dalla rete di lavoro, un ospite — intenzionalmente o meno — può accedere ai sistemi interni.
Standard di sicurezza: WPA3 e perché conta la scelta del protocollo
Il protocollo di sicurezza wireless è il primo livello di difesa:
- WEP: obsoleto e insicuro, cracckabile in minuti. Non deve essere usato.
- WPA/WPA2-Personal: ancora diffuso, ma vulnerabile ad attacchi dizionario se la password è debole. WPA2 rimane accettabile con password lunga e complessa (20+ caratteri).
- WPA2/WPA3-Enterprise: ogni utente ha credenziali individuali (autenticazione 802.1X via RADIUS). Elimina il problema della password condivisa: se un dipendente lascia l'azienda, si revoca solo il suo account senza cambiare la password per tutti.
- WPA3: lo standard più recente, con protezione contro attacchi brute force offline (SAE/Dragonfly handshake). Raccomandato per tutti i nuovi deployment.
Segmentazione della rete: la misura più importante
La segmentazione divide la rete fisica in reti logiche separate (VLAN) con accessi controllati tra di esse:
| Segmento di rete | Dispositivi | Accesso consentito |
|---|---|---|
| Rete aziendale | PC e laptop dei dipendenti | Risorse interne, internet |
| Rete server | Server, NAS, sistemi critici | Solo dalla rete aziendale, accessi specifici |
| Rete IoT | Stampanti, videocamere, dispositivi smart | Solo internet, isolata dalla rete aziendale |
| Rete ospiti | Visitatori, dispositivi personali | Solo internet, completamente isolata |
Checklist sicurezza Wi-Fi aziendale
- Protocollo WPA3 o WPA2-Enterprise abilitato
- Password lunga e complessa (non il nome dell'azienda o l'indirizzo)
- SSID della rete aziendale non trasmesso (hidden network per reti interne critiche)
- Rete ospiti su SSID separato, completamente isolato dalla rete di lavoro
- Dispositivi IoT su VLAN dedicata
- Firmware degli access point aggiornato
- Cambio password regolare (almeno annuale o al cambio del personale)
- Log degli accessi Wi-Fi abilitati
La sicurezza Wi-Fi è parte di una strategia di sicurezza informatica più ampia. Per le aziende che gestiscono dati sensibili o accedono a sistemi critici via rete wireless, una revisione professionale della configurazione di rete è un investimento con ritorno rapido. Contatta NEO WEB per una consulenza sulla sicurezza della tua infrastruttura digitale.
