axio, una plataforma para la evaluación de riesgos de ciberseguridad, anunció hoy el cierre de una ronda Serie B de $23 millones liderada por ISTARI de Temasek, con la participación de los inversionistas NFP Ventures, IA Capital Group y el ex CEO de BP, Bob Dudley. El CEO de Axio, Scott Kannry, le dice a TechCrunch que las ganancias, que elevan el capital total de Axio, con sede en Nueva York, recaudado a $ 30 millones, se destinarán al desarrollo del equipo de ingeniería y productos y respaldarán las funciones de comercialización y la expansión en “geografías clave”.
Axio fue cofundado en 2016 por Kannry y Dave White, quienes dicen que se inspiraron en la dificultad que las empresas suelen tener para tomar decisiones sobre inversiones en ciberseguridad. Kannry dirigió el equipo de seguros cibernéticos durante varios años en Aon, mientras que Dave procedía de Carnegie Mellon y dedicó la mayor parte de su carrera a diseñar marcos de seguridad cibernética, incluido un modelo, C2M2 (Cybersecurity Capability Maturity Model), adoptado por el Departamento de Energía de EE. UU.
“Vimos cómo los directores ejecutivos y las juntas directivas lucharon incluso para abordar las discusiones sobre el riesgo cibernético. En ese momento, la opinión común era que la cibernética era fundamentalmente un problema técnico, resuelto a través de inversiones en TI por parte de las personas que lo ejecutan”, dijo Kannry en una entrevista por correo electrónico con TechCrunch. “Ahora, dada la ola de infracciones de alto perfil que afectan prácticamente a todos los sectores, industrias y tamaños de organizaciones, las juntas y los directores ejecutivos reconocen que la seguridad cibernética es fundamentalmente un problema comercial, que literalmente requiere que se discuta en términos financieros”.
Axio tiene como objetivo ayudar a las empresas a responder preguntas como si deberían invertir en controles cibernéticos (por ejemplo, seguridad de punto final) versus seguros cibernéticos y cuánto presupuesto necesita un equipo de seguridad para reducir la probabilidad de una pérdida, dijo Kannry. El producto produce informes que cuantifican el riesgo cibernético en términos financieros sin recurrir a puntajes ni jerga técnica, lo que permite a los departamentos ingresar información para generar métricas que muestren cómo una empresa está mejorando o no con el tiempo.
Las empresas emergentes como BitSight ofrecen productos similares que evalúan la probabilidad de que una organización sea violada. Pero Kannry dice que Axio se diferencia a través de un enfoque en el modelado del impacto de los escenarios cibernéticos. En otras palabras, Axio se preocupa menos por las probabilidades al evaluar el riesgo y más por sus efectos más severos.
Axio introdujo recientemente escenarios dinámicos que permiten a las empresas modelar escenarios hipotéticos para ayudarlos a comprender cómo priorizar sus controles de seguridad. También firmó asociaciones estratégicas con varias grandes aseguradoras cibernéticas, que según Kannry aprovechan la plataforma de Axio como parte de sus procesos de suscripción de seguros cibernéticos.
Créditos de imagen: axio
“Nuestra plataforma permite a los líderes de seguridad establecer una línea de base de sus controles de seguridad existentes, cuantificar su exposición cibernética en dólares y hacer una prueba de estrés de su cobertura de seguro para comprender si están suficientemente cubiertos. [It moves] más allá de los enfoques heredados y basados en el cumplimiento de la ciberseguridad hacia modelos más basados en el riesgo que [look] en ciberseguridad de manera integral y en el contexto del gasto”, dijo Kannry. “Durante los últimos dos años, hemos visto un aumento significativo en los líderes de seguridad que aprovechan nuestra plataforma para evaluar y cuantificar su riesgo cibernético. Muchos de nuestros clientes principales en energía e infraestructura crítica, a pesar de gastar en algunos casos millones de dólares por año en controles de seguridad cibernética, comenzaron a evaluar críticamente sus programas cibernéticos a raíz de ataques de alto perfil como SolarWinds y el cierre relacionado con ransomware de Colonial. Tubería. Al mismo tiempo, las aseguradoras y reaseguradoras cibernéticas nos han pedido que brindemos una visibilidad de riesgo más profunda y cuantificada para respaldar a sus equipos de suscripción”.
Ciertamente es cierto que existe presión sobre las empresas, particularmente las públicas, para gestionar mejor el riesgo cibernético. A principios de este año, la Comisión de Bolsa y Valores de EE. propuesto nuevas reglas de informes que pertenecen a las posturas y políticas de seguridad cibernética para todas las empresas que cotizan en bolsa. Si bien no se han adoptado formalmente, los requisitos sugeridos incluyen actualizaciones periódicas sobre incidentes de seguridad cibernética previamente revelados y divulgaciones del papel de la administración en la mitigación del riesgo y la implementación de procedimientos de seguridad cibernética.
Mientras tanto, ciertas formas de ciberataque se están volviendo comunes. De acuerdo a Según el informe de 2022 de la firma de seguridad cibernética Sophos, el 66 % de las organizaciones se vieron afectadas por ataques de ransomware el año pasado, frente a solo el 37 % en 2020.
Estimulado por estas presiones, Gartner predice que el 40% de todas las juntas públicas tendrán comités de ciberseguridad dedicados para 2025.
“A pesar de los aumentos significativos en el gasto en seguridad cibernética en los últimos años, las amenazas cibernéticas continúan planteando desafíos importantes para las empresas de todos los sectores, especialmente para los operadores de infraestructura crítica, que históricamente han estado en el corazón de nuestra base de clientes”, agregó Kannry. “El aumento de los ataques cibernéticos patrocinados por el estado, la inestabilidad geopolítica y el ‘ransomware como servicio’ han demostrado la susceptibilidad del sector de la infraestructura crítica a los ataques… La pandemia [also] cambió el panorama del riesgo cibernético para nuestros clientes, especialmente en el sector de infraestructura crítica. Las empresas se estaban volviendo remotas, permitiendo el acceso remoto para empleados y sistemas e introduciendo una gama de nuevas tecnologías y herramientas de colaboración que estaban introduciendo vectores de ataque adicionales”.
La industria de la seguridad cibernética, que una vez fue la favorita del capital de riesgo, se ha visto afectada recientemente por despidos a medida que los factores macroeconómicos cobran su precio. Pero Kannry dice que Axio no ha tenido ningún problema para conseguir clientes, con una base de clientes que ahora asciende a más de 350 empresas, incluidas empresas de servicios públicos, proveedores de petróleo y gas y asociaciones comerciales de redes de energía.
Si bien se negó a revelar las finanzas, Kannry dijo que estaba “muy contento” con el tamaño de la ronda y los términos del acuerdo, que espera que permitan a Axio duplicar el tamaño de su equipo de 35 personas para fin de año. “Tenemos una hoja de ruta de productos agresiva para 2023”, dijo. “[We’ll] utilizará los fondos en parte para acelerar las inversiones en nuestros equipos de inteligencia artificial, aprendizaje automático y ciencia de datos para agregar capacidades de automatización más profundas”.
Source link