Axio, una piattaforma per la valutazione del rischio di cybersicurezza, ha annunciato oggi la chiusura di un round di Serie B da 23 milioni di dollari guidato da ISTARI di Temasek, con la partecipazione degli investitori NFP Ventures, IA Capital Group e dell’ex CEO di BP Bob Dudley. Scott Kannry, CEO di Axio, ha dichiarato a TechCrunch che i proventi – che portano il capitale totale raccolto da Axio, con sede a New York, a 30 milioni di dollari – saranno destinati allo sviluppo del prodotto e del team di ingegneri, al supporto delle funzioni go-to-market e all’espansione in “aree geografiche chiave”.

Axio è stata co-fondata nel 2016 da Kannry e Dave White, che dicono di essere stati ispirati dalle difficoltà che le aziende spesso incontrano nel prendere decisioni sugli investimenti in cybersecurity. Kannry ha guidato il team di cyber insurance per diversi anni presso Aon, mentre Dave proviene dalla Carnegie Mellon e ha trascorso la maggior parte della sua carriera ad architettare framework di cybersecurity, tra cui un modello – C2M2 (Cybersecurity Capability Maturity Model) – adottato dal Dipartimento dell’Energia degli Stati Uniti.

“Abbiamo visto come gli amministratori delegati e i consigli di amministrazione avessero difficoltà anche solo ad affrontare le discussioni sul rischio informatico. All’epoca, l’opinione comune era che il cyber fosse fondamentalmente un problema tecnico, risolvibile attraverso investimenti nell’IT da parte delle persone che gestiscono l’IT”, ha dichiarato Kannry in un’intervista via e-mail a TechCrunch. “Ora, vista l’ondata di violazioni di alto profilo che hanno colpito praticamente ogni settore, industria e dimensione di organizzazione, i consigli di amministrazione e gli amministratori delegati riconoscono che la sicurezza informatica è fondamentalmente un problema di business, che richiede letteralmente una discussione in termini finanziari”.

Axio si propone di aiutare le aziende a rispondere a domande quali l’opportunità di investire in controlli informatici (ad esempio, la sicurezza degli endpoint) rispetto all’assicurazione informatica e l’entità del budget necessario a un team di sicurezza per ridurre la probabilità di una perdita, ha dichiarato Kannry. Il prodotto produce report che quantificano il rischio informatico in termini finanziari senza ricorrere a punteggi e gergo tecnico, consentendo ai dipartimenti di inserire informazioni per generare metriche che mostrano come un’azienda stia migliorando o meno nel tempo.

Startup come BitSight offrono prodotti simili che valutano la probabilità che un’organizzazione venga violata. Ma Kannry afferma che Axio si differenzia per l’attenzione alla modellazione dell’impatto degli scenari informatici. In altre parole, nella valutazione del rischio Axio si preoccupa meno delle probabilità e più degli effetti più gravi.

Axio ha recentemente introdotto scenari dinamici che consentono alle aziende di modellare scenari “what if” per aiutarle a capire come dare priorità ai controlli di sicurezza. Ha inoltre siglato partnership strategiche con diversi grandi assicuratori informatici, che secondo Kannry sfruttano la piattaforma di Axio come parte dei loro processi di sottoscrizione di assicurazioni cyber.

Crediti immagine: Axio

“La nostra piattaforma consente ai responsabili della sicurezza di stabilire una base di riferimento per i controlli di sicurezza esistenti, di quantificare la propria esposizione informatica in dollari e di sottoporre a stress test la propria copertura assicurativa per capire se sono sufficientemente coperti. [It moves] Oltre agli approcci tradizionali e basati sulla conformità alla cybersecurity, la nostra piattaforma consente ai responsabili della sicurezza di quantificare l’esposizione informatica in dollari e di verificare se la copertura assicurativa è sufficiente. [look] che considerano la cybersecurity in modo olistico e nel contesto della spesa”, ha dichiarato Kannry. “Negli ultimi due anni, abbiamo assistito a un aumento significativo dei leader della sicurezza che sfruttano la nostra piattaforma per valutare e quantificare il rischio informatico. Molti dei nostri clienti principali nel settore dell’energia e delle infrastrutture critiche, nonostante spendano in alcuni casi milioni di dollari all’anno in controlli di sicurezza informatica, hanno iniziato a valutare criticamente i loro programmi informatici sulla scia di attacchi di alto profilo come SolarWinds e l’arresto di Colonial Pipeline dovuto a un ransomware. Allo stesso tempo, gli assicuratori e i riassicuratori del settore cyber ci hanno chiesto di fornire una visibilità del rischio più profonda e quantificata per supportare i loro team di sottoscrizione”.

È certamente vero che le aziende, in particolare quelle pubbliche, sono sotto pressione per una migliore gestione del rischio informatico. All’inizio di quest’anno, la Securities and Exchange Commission degli Stati Uniti ha proposto nuove regole di rendicontazione che riguardano le posizioni e le politiche di cybersecurity per tutte le società quotate in borsa. Anche se non sono stati adottati formalmente, i requisiti suggeriti includono aggiornamenti periodici sugli incidenti di cybersecurity precedentemente rivelati e la divulgazione del ruolo del management nella mitigazione del rischio e nell’implementazione delle procedure di cybersecurity.

Nel frattempo, alcune forme di attacco informatico stanno diventando comuni. Secondo secondo il rapporto 2022 della società di cybersicurezza Sophos, lo scorso anno il 66% delle organizzazioni è stato colpito da attacchi ransomware, rispetto al 37% del 2020.

Sollecitato da queste pressioni, Gartner prevede che il 40% di tutti i consigli di amministrazione pubblici avranno comitati dedicati alla cybersecurity entro il 2025.

“Nonostante l’aumento significativo della spesa per la cybersecurity negli ultimi anni, le minacce informatiche continuano a rappresentare una sfida significativa per le aziende di tutti i settori, in particolare per gli operatori di infrastrutture critiche, che sono storicamente al centro della nostra clientela”, ha aggiunto Kannry. L’aumento degli attacchi informatici sponsorizzati dagli Stati, l’instabilità geopolitica e il “ransomware-as-a-service” hanno dimostrato la suscettibilità del settore delle infrastrutture critiche agli attacchi… La pandemia [also] ha cambiato il panorama del rischio informatico per i nostri clienti, soprattutto nel settore delle infrastrutture critiche. Le aziende stavano diventando remote, consentendo l’accesso remoto ai dipendenti e ai sistemi e introducendo una serie di nuove tecnologie e strumenti di collaborazione che introducevano ulteriori vettori di attacco”.

L’industria della cybersicurezza, un tempo il preferito dei VC, è stata recentemente colpita da licenziamenti a causa di fattori macroeconomici. Ma Kannry afferma che Axio non ha avuto alcun problema ad assicurarsi i clienti, con una base di clienti che ora ammonta a oltre 350 aziende, tra cui utility, fornitori di petrolio e gas e associazioni di categoria delle reti energetiche.

Pur non volendo rivelare i dati finanziari, Kannry ha dichiarato di essere “molto soddisfatto” delle dimensioni del round e dei termini dell’accordo, che secondo lui consentiranno ad Axio di raddoppiare le dimensioni del suo team di 35 persone entro la fine dell’anno. “Abbiamo una roadmap di prodotti aggressiva fino al 2023”, ha dichiarato. “[We’ll] utilizzeremo i fondi in parte per accelerare gli investimenti nei nostri team di AI, machine learning e data science per aggiungere capacità di automazione più profonde”.

Source link