Danilo Montesi
10 novembre 2023 - SESSIONE 8 | Collaborazione per la security
Uno strumento per l’auto valutazione del cyber risk
A Tool for Cyber Risk Self-Assessment
Danilo Montesi ha conseguito il dottorato di ricerca in Informatica presso l'Università di Pisa. Nell'ottobre 1993 è diventato Fellow dell'European Research Consortium for Informatics and Mathematics. Nell'ottobre 1994 ha ottenuto una borsa di studio Human Capital and Mobility per lavorare all'Imperial College di Londra, Regno Unito. Nel 1996, grazie a una borsa di studio Senior NATO, ha lavorato presso il Dipartimento di Informatica della Purdue University, negli Stati Uniti. Dal 1996 al 2000 è stato professore associato all'Università di Milano e ha insegnato all'Università dell'East Anglia, Regno Unito. Nel 2000 è diventato professore associato all'Università di Bologna, Italia. Nel 2002 è diventato professore ordinario all'Università di Camerino. Dal novembre 2005 è professore ordinario di Database e Sistemi Informativi presso l'Università di Bologna. È il fondatore dello SmartData Research Group. Nel 2018 ha visitato la Stanford University e nel 2023 il NII di Tokyo
Danilo Montesi obtained his PhD in Computer Science from the University of Pisa. In October 1993 he became a Fellow of the European Research Consortium for Informatics and Mathematics. In October 1994 he was awarded a Human Capital and Mobility fellowship to work at Imperial College, London, UK. Under a Senior NATO fellowship, he worked at the Department of Computing, Purdue University, USA in 1996. From 1996 to 2000 he was an assistant professor at the University of Milano, Italy and taught at the University of East Anglia, UK. In 2000 he became an associate professor at the University of Bologna, Italy. In 2002 he became a full professor at the University of Camerino. Since November 2005 he has been a full professor of Database and Information Systems at the University of Bologna. He is the founder of SmartData Research Group. In 2018 he visited Stanford University and in 2023 he visited the National Institute of Informatics in Tokyo.
ABSTRACT
Negli ultimi anni il crescente interesse sviluppato nell’ambito del cyber risk ha posto l’attenzione sulle possibili gravi conseguenze di un evento informatico per organizzazioni e imprese. La continua espansione nella quotidianità di diverse tecnologie come strumenti di lavoro, attraverso la diffusione dei social network, dei dispositivi mobili e dei servizi cloud, ha portato ad una maggiore vulnerabilità dell’intero spazio cibernetico. Lo strumento proposto vuole occuparsi della corretta formulazione del concetto di rischio, contestualizzandolo allo spazio cibernetico. Basandosi sull’analisi delle due componenti principali: probabilità e impatto, l’obiettivo consiste nel proporre un modello di valutazione del cyber risk prendendo in considerazione altri aspetti come la sicurezza e l’esposizione. A seguito di un’attività di autovalutazione, lo strumento proposto è in grado di riassumere il livello di sicurezza corrente e fornire un report in cui si evidenziano le principali problematiche e si suggeriscono le azioni da implementare per una migliore e più efficace strategia di gestione del rischio informatico.
In recent years, the growing interest in cyber risk has focused on the possible serious consequences of a cyber event for organisations and businesses. The continuous expansion of various technologies as working tools in everyday life, through the spread of social networks, mobile devices and cloud services, has led to an increased vulnerability of the entire cyberspace. The proposed tool aims to deal with the correct formulation of the concept of risk, contextualising it to cyberspace. Based on the analysis of the two main components: probability and impact, the objective is to propose a cyber risk assessment model by considering other aspects such as security and exposure. Following a self-assessment activity, the proposed tool is able to summarise the current security level and provide a report highlighting the main issues and suggesting actions to be implemented for a better and more effective cyber risk management strategy.