Автоматизація управління, ризиків і відповідності (GRC), Drata анонсує серію C

Ознайомтеся із сесіями за запитом на саміті Low-Code/No-Code Summit, щоб дізнатися, як успішно впроваджувати інновації та досягати ефективності шляхом підвищення кваліфікації та масштабування громадянських розробників. Дивитися зараз.


Як випливає з визначення назви, відповідність – це не просто «приємно мати».

Це обов’язкова умова, і її потрібно визначити якомога раніше.

Але оскільки зусилля з дотримання нормативно-правових актів традиційно здійснюються вручну, організації можуть мати проблеми з часом, ресурсами та коштами для його встановлення, управління та підтримки.

«З морем паперової роботи, повторюваними та трудомісткими завданнями, такими як збір доказів, комплаєнс перетворився на те, чого компанії уникають так довго, як можуть, або те, чим вони нехтують підтримувати з часом», — сказав Адам Марковіц, співзасновник і генеральний директор платформи автоматизації відповідності Драта.

Подія

Саміт інтелектуальної безпеки

8 грудня дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Зареєструйтеся, щоб отримати безкоштовний пропуск сьогодні.

Зареєструватися зараз

Це призвело до великого попиту на програмне забезпечення для управління, ризиків і відповідності (GRC): IDC прогнозує, що світовий ринок GRC зросте з 11,3 мільярда доларів США у 2020 році до майже 15,2 мільярда доларів США у 2025 році.

Щоб задовольнити цей попит, Drata випустила свою пропозицію трохи менше двох років тому, і за цей короткий проміжок часу набула значного розвитку. Як доказ цього, компанія сьогодні оголосила про раунд серії C на 200 мільйонів доларів. Таким чином, оцінка компанії склала 2 мільярди доларів, подвоївши її оцінку в 1 мільярд доларів з раунду серії B 2021 року.

«У той час, коли зростає загроза даним і посилення законодавчих актів, компаніям необхідно продемонструвати реальні докази своїх стандартів безпеки через відповідність, щоб побудувати та підтримувати довіру своїх клієнтів і зацікавлених сторін», — сказав Марковіц.

Розширення правил, вимоги ринку

За даними IDC, ринок GRC продовжуватиме зростати; фірма прогнозує, що категорії безперервності бізнесу та ESG/CSR зростатимуть найшвидше, а потім відповідність та управління ризиками. Категорії, що розвиваються, включають конфіденційність, управління ризиками третіх сторін (TPRM), навколишнє середовище, здоров’я та безпека (EHS).

Серед інших факторів, за словами фірми, прискорення ринку зумовлене зміною правил відповідності, зростанням загроз щодо даних і підвищенням вимог до екологічної та соціальної відповідальності.

Одне опитування IDC показало, що майже дві третини організацій використовують кілька інструментів GRC, а деякі розгортають п’ять і більше. Крім того, більшість компаній планують збільшити свої витрати на GRC протягом наступних трьох років і приблизно половина очікує збільшення використання хмарних інструментів протягом наступних трьох років.

Але в той же час організації з більшою кількістю платформ бачать нижчий рівень інтеграції між ними, за даними IDC.

«Ринок GRC готовий до значного зростання, оскільки компанії шукають способи автоматизувати та керувати складнощами, пов’язаними з розширенням повноважень щодо управління, ризиків і відповідності», — сказала Емі Крейвенс, менеджер із дослідження управління, ризиків і відповідності IDC.

Вона додає, що «розуміння того, як компанії використовують ці рішення та їхні переваги щодо пакетування та розгортання послуг, допоможе постачальникам рішень адаптувати пропозиції відповідно до ринкового попиту».

Візуалізація в реальному часі

Платформа безпеки та автоматизації відповідності Drata відстежує та збирає докази засобів контролю безпеки компанії та допомагає оптимізувати робочі процеси відповідності для забезпечення готовності до аудиту, сказав Марковіц.

Платформа інтегрується з більш ніж 75 програмами та службами, включаючи AWS, Azure, Github і Okta, і забезпечує перехресне відображення елементів керування з різними платформами відповідності. Інформаційні панелі дозволяють організаціям у режимі реального часу візуалізувати стан відповідності вимогам, а сповіщення сповіщають їх про недоліки, щоб вони могли залишатися сумісними, сказав Марковіц.

За 22 місяці невидимої роботи Drata запустила понад 14 інфраструктур, включаючи Загальний регламент захисту даних (GDPR), Каліфорнійський закон про захист прав споживачів (CCPA), Стандарт безпеки даних індустрії платіжних карток (PCI DSS) і NIST 800-153 для підключення WLAN. Минулого року компанія також запустила Центр довіри та управління ризиками.

Скорочення часу до відповідності

Клієнт Drata Lemonade, наприклад, зміг на одну десяту скоротити понад 200 годин, які вони зазвичай витрачали на поїздки з аудитором. Thnks, тим часом, зміг продовжити як SOC 2, так і ISO 27001 одночасно, сказав Марковіц, і страховий технологічний стартап підрахував, що використання Drata допомогло їм заощадити 6 місяців часу в процесі аудиту SOC 2.

Як зазначив Марковіц, використання автоматизації дозволяє Drata забезпечити «відповідність масам».

Раніше організаціям доводилося використовувати кілька платформ, як-от AWS для інфраструктури або Jira для продажу квитків, щоб зробити знімки екрана та показати, що їх налаштовано правильно.

«Це займало від сотень до тисяч інженерних і робочих годин щорічно, щоб наступного разу команді довелося робити все заново», — сказав він.

Натомість «ми допомагаємо компаніям змінити те, як вони бачать дотримання нормативних вимог, і перетворити його на інтегровану частину своєї організації».

Тим не менш, підкреслив Марковіц, успішна програма комплаєнсу процвітає лише тоді, коли організація приймає мислення «насамперед кібербезпека».

«Для кожного в компанії важливо розуміти, визнавати та нести відповідальність за свою програму відповідності», — сказав він.

Це означає взяти на себе лідерство під час досягнення відповідності, врахування цього в бюджеті та надання ресурсів, необхідних для досягнення та підтримки цього. Вони також повинні бути залучені до процесу підготовки аудиту. Встановлення такого типу підзвітності може сприяти прозорості всієї компанії, сказав Марковіц, «що, у свою чергу, ще більше оптимізує шлях дотримання вимог».

Компанії також повинні запровадити ключові базові процеси, які можуть навчати працівників і захищати внутрішні та зовнішні дані. Серед них:

Проведення перевірки досвіду співробітників і навчання безпеки

Компанії повинні проводити офіційну перевірку як співробітників, так і підрядників, а також щорічне навчання з питань безпеки, щоб переконатися, що кожен співробітник має найновішу інформацію про безпеку та способи уникнення поширених векторів атак, таких як фішинг.

«Співробітники є першою лінією захисту компанії, коли йдеться про захист даних від зовнішніх загроз», — сказав Марковіц.

Використання менеджерів паролів і MFA

Використовуючи менеджери паролів і багатофакторну автентифікацію (MFA), співробітники можуть краще створювати, зберігати, обмінюватися та керувати паролями та іншою інформацією автентифікації.

«Гігієна паролів і MFA гарантують, що зловмисники не зможуть отримати доступ до вашої мережі через «вхідні двері», — сказав Марковіц.

Відстеження постачальників і проведення перевірок постачальників

Відстежуйте всі програми сторонніх розробників, підписки SaaS і розширення браузера. Зрозумійте, якими даними їм надають доступ, і, виходячи з критичності постачальника, почніть вимагати документацію про безпеку, включаючи їхній останній звіт SOC 2.

Проведіть зовнішнє тестування на проникнення програми

Щорічні тести на проникнення третіми сторонами є ефективним способом оцінити безпеку системи та визначити конкретні заходи для захисту від реальної атаки в майбутньому.

Тривале прискорення

Сьогоднішній раунд фінансування спільно очолюють GGV Capital та ICONIQ Growth, які відповідно очолили раунди Drata серії A та B. Alkeon Capital також зробив значні інвестиції, як і Salesforce Ventures, Cowboy Ventures, S Ventures (SentinelOne), Silicon Valley CISO

Investments (SVCI) і FOG Ventures (Гільдія операторів).

Drata використовуватиме кошти, щоб продовжувати інвестувати в дослідження та розробки, а також інвестувати в функції для стартапів та аудиторів, сказав Марковіц.

Як він зазначив, «з самого початку ми інвестували значні кошти в продукт і розробку, щоб забезпечити продукт, який міг би служити ринку, і щоб ми могли продовжувати створювати диференційований досвід».

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment