A aceleração do mercado de Software as a Service transformou-o em um recurso vital à continuidade dos negócios, mas também expôs diversos riscos vindos dessa tecnologia. De acordo com o estudo “The SaaS Security Survey Report 2024”, organizado pela Cloud Security Alliance (CSA), 55% das companhias reportaram algum incidente envolvendo os softwares como serviço nos últimos dois anos.
Na visão de Fabiana Tanaka, CISO na Leroy Merlin, em estruturas como essa, a exposição de recursos diversos à rede pública tem mais chances de acontecer. No entanto, manter um grande volume de dados trafegando com pouco controle da Cibersegurança atrai as atenções do crime cibernético, interessado em conseguir lucros ilegais com menos dificuldades.
“O crescimento de aplicações e atividades mobile também aumentou o número de usuários, cadastros e registros sensíveis em plataformas web que circulam intensamente. Nesses espaços, os ciberatacantes encontram os conteúdos mais valiosos, facilitando a retirada massiva de dados por meios sofisticados”, explica Fabiana, em entrevista à Security Report.
Esse contexto atrai constante monitoramento sobre os sistemas SaaS em busca de vulnerabilidades para serem vendidas ou expostas. A executiva comenta que o grande perigo continua sendo os ataques de ransomware, por ser o principal ofensor da atualidade, seguido pelos vazamentos causados por insiders aliciados pelo cibercrime.
Segundo ela, essas ameaças são preocupantes por comprometerem dados sensíveis e terem potencial de paralisar operações críticas do negócio. Essas demandas têm levado as companhias a robustecerem as proteções, trabalhar com recuperação de desastres e a preparar constantemente os funcionários sobre os riscos do phishing.
“Os riscos oferecidos pelo ambiente de SaaS demandam mais trabalho de conscientização, multiplicando conhecimento sobre o cibercrime. Não apenas sobre ameaças vindas de fora para dentro da infraestrutura, mas também sobre os danos causados por oportunistas internos, desenvolvendo uma cultura corporativa mais protegida”, arrematou Tanaka.
Desenvolvimento seguro e Visibilidade
Ainda entre os números da CSA, mais da metade (58%) dos entrevistados estimam que suas soluções de SaaS Security apenas protegem 50% ou menos de suas aplicações em nuvem. Essa falta de visibilidade resultou em 12% das empresas consultadas não conseguindo responder definitivamente se foram atacados ou não.
Tanaka afirma que a grande complexidade nessa proteção envolve falta de mapeamento dos sistemas e processos críticos ao negócio. Essa carência impossibilita priorizações precisas de Segurança, visando otimizar os recursos escassos da SI. A partir disso, aplicar soluções e metodologias básicas se tornaria mais eficiente.
A CISO ainda reforça ser vital considerar módulos de Segurança e privacidade para criar aplicações mais robustas desde o início do pipeline. Portanto, as empresas devem capacitar seus desenvolvedores em codificação segura e práticas de DevSecOps de forma a envolver toda a linha de produção. Automatizar a detecção de vulnerabilidades em códigos também é importante.
“Hoje o SaaS se tornou uma das prioridades dos negócios. Com essa estrutura, é possível oferecer um novo nível de operação de recursos digitais, com performance ao usuário e maior controle por parte da Segurança. Além da visibilidade dos dados arquivados, mantê-los íntegros também se tornou fundamental, e isso se consegue com agilidade e amplitude nas configurações de defesa”, encerrou ela.
