Per le PMI italiane, la scelta Wazuh vs SIEM commerciale non riguarda solo il costo licenza. Riguarda capacità operativa, qualità delle evidenze, accountability di risposta e costo totale. L’open source può essere la risposta corretta, ma solo quando l’organizzazione sa gestirlo.
Fonti: guida installazione Wazuh, architettura Wazuh, determinazione ACN obblighi di base, guida ENISA NIS2.
Punti chiave
- Wazuh riduce la dipendenza da licenze, ma non elimina il lavoro operativo.
- I SIEM commerciali possono offrire supporto, integrazioni e contenuti gestiti, ma costi e complessità variano.
- I criteri NIS 2 non negoziabili sono copertura, retention, gestione alert, evidenze ed escalation.
- Un modello managed è più sicuro quando il team interno non può gestire detection giornaliera.
Perché molte PMI esplorano SIEM open source
Molte PMI soggette a NIS 2 hanno bisogno di più monitoraggio, ma non possono assorbire prezzi enterprise o un SOC interno esteso. Wazuh offre un punto di ingresso pratico: visibilità, raccolta log e detection senza il modello classico di licenza SIEM commerciale.
Costi: licenza, deployment e personale
| Voce costo | Wazuh | SIEM commerciale |
|---|---|---|
| Licenza | Costo software più basso per lo stack open source. | Subscription o modello ingestion. |
| Infrastruttura | Storage, compute, backup e alta disponibilità sono interni. | Può essere SaaS o infrastruttura gestita. |
| Persone | Servono engineering e security operations interne. | Riducibili con vendor, MSSP o servizio managed. |
| Evidenze compliance | Da progettare e mantenere. | Spesso più semplici da esportare, ma comunque da governare. |
Funzionalità a confronto
Wazuh copre molti casi SIEM e XDR: telemetria agent, raccolta log, regole, vulnerabilità e dashboard. I SIEM commerciali possono aggiungere integrazioni native, analytics avanzati, detection content gestito, archival e supporto vendor. Il confronto corretto parte dai casi d’uso, non dai brand.
Implementazione e curva di apprendimento
Wazuh funziona bene con team che conoscono Linux, indici, certificati, networking, regole e security operations. I SIEM commerciali possono ridurre parte del setup, ma richiedono comunque onboarding sorgenti, governance alert e procedure di risposta.
Supporto e SLA
Open source non significa assenza di supporto, ma il modello cambia. Per una PMI regolata, la domanda è: chi interviene quando l’ingestion si ferma, lo storage si riempie, la detection fallisce o un alert richiede escalation fuori orario?
Conformità NIS 2: criteri non negoziabili
- I sistemi critici sono coperti?
- Log di identità, rete, endpoint e cloud sono raccolti?
- Retention definita e protetta?
- Alert rivisti ed escalati?
- Management report utilizzabile?
- Evidenze solide per audit o incident review?
Quando un servizio managed è la scelta migliore
Se il team interno non può garantire triage, tuning, escalation ed evidence pack, un servizio managed è più sicuro di un deployment solo tool. Il servizio vCISO Aegister e la Cyber Console collegano controlli, telemetria, governance e reporting.
Decision tree: sei domande
| Domanda | Se sì | Se no |
|---|---|---|
| Abbiamo capacità SIEM engineering? | Wazuh è realistico. | Valutare SIEM managed. |
| Possiamo monitorare alert ogni giorno? | Modello interno possibile. | Serve triage managed. |
| Serve SLA vendor? | Commerciale o managed. | Open source può essere adatto. |
| Servono evidence pack a breve? | Priorità a governance e reporting. | Partire da pilot controllato. |
Matrice decisionale per maturità
| Maturità | Modello consigliato | Ragione |
|---|---|---|
| Bassa capacità cyber operations | SIEM managed o Wazuh managed | Il gap principale sono persone e processo, non il tool. |
| Buone operations IT, SOC limitato | Wazuh con triage managed | Il team interno gestisce infrastruttura, il supporto esterno gestisce detection. |
| SOC interno o security engineering forte | Wazuh o SIEM commerciale | La scelta può basarsi su integrazioni, scala, supporto e costo. |
| Ambiente enterprise complesso | SIEM commerciale o ibrido | Scala, data lake, supporto e integrazioni possono dominare. |
Domande procurement per ogni SIEM
- Quali sorgenti log rientrano nello scope iniziale?
- Quale retention è inclusa e quali costi crescono con i dati?
- Chi tara le regole dopo il deployment?
- Chi rivede gli alert ogni giorno e fuori orario?
- Quali evidenze sono esportabili per audit e reporting?
- Cosa accade se il SIEM non è disponibile durante un incidente?
- Come sono documentate contrattualmente le responsabilità fornitore?
Percorso di migrazione per PMI
Un percorso pragmatico parte da un pilot su identità, VPN, firewall e server critici. Dopo il pilot, decidere se espandere Wazuh internamente, aggiungere triage managed o passare a SIEM commerciale. Il pilot deve produrre evidenze, non solo dashboard.
Red flag durante la selezione
- La proposta parla solo di licenze e ignora chi gestirà il sistema.
- Nessuno sa spiegare il workflow di escalation incidente.
- La retention è vaga o descritta solo come numero di storage.
- Il detection content è trattato come completo senza tuning locale.
- Il reporting agli organi è un ripensamento.
Modello di scoring pesato
Le PMI possono rendere la decisione più oggettiva assegnando punteggi. Un modello semplice pesa capacità operativa 30%, evidenze 25%, costo totale 20%, integrazioni 15% e supporto/SLA 10%. I pesi possono cambiare, ma l’esercizio obbliga il team a discutere tradeoff reali.
| Criterio | Peso | Domanda |
|---|---|---|
| Capacità operativa | 30% | Possiamo gestirlo ogni giorno? |
| Qualità evidenze | 25% | Possiamo provare controlli e risposta? |
| Costo totale | 20% | Qual è il costo 24 mesi, incluse persone? |
| Copertura integrazioni | 15% | Può acquisire le sorgenti critiche? |
| Supporto/SLA | 10% | Chi aiuta quando fallisce? |
Agenda workshop di selezione
- Confermare perimetro NIS 2 e servizi critici.
- Elencare sorgenti log obbligatorie e retention.
- Confrontare Wazuh, SIEM commerciale e opzioni managed sul modello di scoring.
- Identificare gap di staffing e fuori orario.
- Definire output evidenze attesi dal management.
- Scegliere scope pilot e data decisione.
Clausole contrattuali da verificare
Per opzioni commerciali o managed, controllare tempi notifica incidente, localizzazione dati, accesso ai raw log, diritti export, retention, subfornitori, disponibilità servizio, orari supporto e responsabilità tuning regole. Per open source self-managed, trasformare gli stessi temi in policy e runbook interni.
Exit strategy
La scelta SIEM non deve bloccare l’organizzazione in evidenze non esportabili. Richiedere un percorso di uscita per configurazioni, indici, dashboard, detection logic ed export audit. Vale per modelli open source e commerciali, perché le evidenze devono sopravvivere al cambio piattaforma.
Navigazione della serie
- introduzione a Wazuh
- deployment passo-passo Wazuh
- gestione log Wazuh per NIS 2
- rilevamento e monitoraggio NIS2
- registri operativi e log
FAQ
Wazuh costa meno di un SIEM commerciale?
Il costo software di ingresso è inferiore, ma il TCO include deployment, storage, tuning, monitoring, backup ed evidenze.
Una PMI può gestire Wazuh da sola?
Sì, se ha ownership tecnica e operativa adeguata. Altrimenti un modello managed è più sicuro.
Quale opzione è migliore per la NIS 2?
Quella che produce copertura, risposta ed evidenze affidabili. La scelta dello strumento è secondaria rispetto alla maturità operativa.