O SaaS (Software-as-a-Service) é um modelo de entrega baseado na cloud, no qual os Fornecedores de Serviços de Cloud (CSP – Cloud Service Providers) alojam, gerem e entregam aplicações de software aos seus clientes, permitindo que os utilizadores acedam às mesmas através da Internet.

 

O SaaS tem vindo a ganhar uma importância crescente nos últimos anos, graças a uma ampla gama de serviços que estão rapidamente a substituir as soluções tradicionais COTS (Commercial Off-The-Shelf). O SaaS proporciona valor adicional ao fornecer recursos mais rápidos, rentáveis e eficientes, permitindo que os consumidores se concentrem no seu negócio primordial em vez de se preocuparem com a gestão de plataformas e com investimentos em infraestrutura.


Mas embora o SaaS proporcione muitos benefícios, a sua adoção generalizada também pode trazer desafios de segurança que muitas organizações não conseguem resolver. Na realidade, acredita-se que 96,7% das organizações utilizou, no ano passado, pelo menos uma aplicação que teve um incidente de segurança. Além disso, de acordo com o Relatório Anual de Segurança SaaS 2025, 70% das empresas está a priorizar a segurança SaaS, tendo equipas dedicadas a garantir a segurança das aplicações.


Com isto em mente, vamos examinar algumas das ameaças SaaS mais críticas para as empresas.

 

 

1) Roubo de dados

A cloud redefiniu os limites tradicionais dentro dos quais onde os dados podem transitar. No passado, as organizações implementaram medidas de proteção de dados para mantê-los dentro dos seus limites físicos e lógicos. Agora, esta abordagem mudou fundamentalmente com o advento das tecnologias de cloud.


Quando os dados entram na cloud, viajam para além do perímetro da organização, e podem existir cópias dos mesmos em diferentes regiões do mundo. Isto é ainda mais complicado com as soluções SaaS, que muitas vezes dependem de outros fornecedores de PaaS (Platform-as-a-Service) e IaaS (Infrastructure-as-a-Service), resultando numa visibilidade reduzida sobre onde os dados residem e quais os controlos implementados para os proteger.


Nestas condições, a ameaça de uma violação de dados pode surgir a partir de um acesso não autorizado por parte de um Fornecedor de Serviços de Cloud, seja o fornecedor de SaaS principal ou outra entidade da cadeia de abastecimento. A violação de dados pode ser intencional, realizada, por exemplo, por um funcionário mal-intencionado ou por um atacante externo que explore vulnerabilidades, ou pode ocorrer acidentalmente devido a erros humanos.


Os fornecedores de SaaS são alvos especialmente atrativos para os atacantes, uma vez que alojam dados de várias organizações. Isto ficou particularmente evidente em 2020, quando o Zoom foi alvo de um ciberataque após o seu aumento de utilização durante a pandemia da COVID-19. O ataque levou a uma violação de dados que afetou aproximadamente 500.000 utilizadores, expondo endereços de e-mail, palavras-passe e links para reuniões pessoais.


Felizmente, existem medidas de segurança proativas que as empresas podem adotar para mitigar eficazmente esta ameaça, tais como:

  • Implementação de uma encriptação robusta de dados;
  • Aplicação de um forte controlo de acessos;
  • Monitorização da exposição de dados através de uma solução de Prevenção de Perda de Dados (DLP – Data Loss Prevention).

 

 

2) Multitenancy

Os fornecedores de SaaS oferecem serviços a múltiplas organizações simultaneamente, recorrendo a um modelo de infraestrutura partilhada para alojar os dados dos clientes e gerir as operações relacionadas. Num ambiente de multitenancy (ou multilocação), uma única instância de software, um componente de infraestrutura (como uma base de dados, um middleware...) ou um recurso físico (incluindo a Unidade Central de Processamento – CPU – ou a memória...) é utilizado por vários clientes ao mesmo tempo.

 

Embora isto forneça inúmeros benefícios tanto para os fornecedores como para os clientes, ao reduzir os custos de serviço, também introduz novas ameaças de segurança, uma vez que o ambiente multitenancy pode gerar uma miríade de vulnerabilidades que os atores maliciosos podem explorar.


Num ambiente multitenancy, um ator malicioso pode aceder aos dados de outro “inquilino” se não forem implementadas medidas de isolamento adequadas. Além disso, um inquilino pode esgotar intencionalmente ou inadvertidamente os recursos partilhados (como a CPU ou a memória), afetando a disponibilidade do serviço para todos os outros inquilinos.


Seria irrealista esperar que os fornecedores de SaaS alterassem a sua arquitetura multitenancy para satisfazer as necessidades individuais de cada cliente, mantendo o mesmo modelo de preços. É, portanto, importante que as organizações adotem práticas de segurança robustas para mitigar os riscos no ambiente multitenancy, tais como:

  • Forte encriptação de dados, juntamente com a gestão independente das chaves de encriptação;
  • Acordos contratuais para assegurar que o fornecedor de SaaS garante a disponibilidade dos recursos partilhados.

 

 

3) Problemas de disponibilidade

Embora as tradicionais ameaças de disponibilidade relevantes para ambientes locais ainda se apliquem na cloud, existem desafios adicionais específicos da cloud que as organizações devem considerar e resolver.


Um desafio significativo é o vendor lock-in, que ocorre quando um cliente fica fortemente dependente de um fornecedor de serviços específico, dificultando a transição para outras plataformas SaaS ou mesmo para uma solução alojada internamente. Este problema pode surgir devido à natureza proprietária da solução e pode resultar numa redução da agilidade e da capacidade de resposta às necessidades de negócio em mudança.


Outra ameaça crucial tem a ver com a portabilidade de dados, já que se torna difícil para as organizações mover dados entre diferentes fornecedores de serviços. Isto pode dever-se a formatos de dados variados ou a restrições impostas pelo fornecedor.


Como mencionado anteriormente, os fornecedores de SaaS muitas vezes dependem de fornecedores de IaaS ou PaaS, criando uma cadeia de dependências. Se um desses serviços subjacentes sofrer uma falha, pode levar a uma interrupção em toda a oferta de SaaS.


Para contornar nestas ameaças de disponibilidade, as organizações devem:

  • Realizar uma minuciosa diligência devida antes de migrarem para uma solução SaaS;
  • Garantir que os Acordos de Nível de Serviço (SLA – Service Level Agreements) estão alinhados com as suas necessidades de negócio;
  • Desenvolver processos para migrar para uma solução diferente quando as circunstâncias mudarem.

 

 

4) Configurações inadequadas

As configurações inadequadas podem ocorrer devido a uma falha na adoção de boas práticas na configuração de recursos, levando a possíveis vulnerabilidades de segurança. Podem envolver um controlo de acessos inadequado, permissões excessivas, dados não encriptados ou a utilização de protocolos inseguros, todos os quais podem introduzir riscos de segurança.


As configurações inadequadas são uma das principais causas de incidentes de segurança na cloud. Um exemplo disso é o serviço AWS S3, onde os clientes por vezes não conseguem desativar o acesso público, expondo inadvertidamente dados confidenciais. Esta configuração inadequada afetou muitas empresas e organizações, incluindo a Verizon, que sofreu uma violação de dados que expôs informações pessoais de milhões de clientes.


Dada a prevalência das ameaças de configurações inadequadas e os riscos que introduzem, é crucial que os clientes compreendam os seus papéis na segurança dos ambientes de cloud. No modelo SaaS, as responsabilidades de segurança são dividas segundo o Modelo de Responsabilidade Partilhada. Enquanto os fornecedores de SaaS são responsáveis pela segurança das aplicações e da infraestrutura subjacente, os clientes são responsáveis por implementar configurações seguras para proteger os seus dados à medida que estes se movem através das aplicações SaaS.

 

 

5) Shadow SaaS

O Shadow SaaS refere-se a soluções SaaS que os funcionários adotam dentro de uma organização sem o conhecimento do departamento de IT. Impulsionados pela necessidade de melhorar a produtividade ou atender às suas necessidades específicas, os funcionários podem recorrer a determinadas aplicações baseadas na cloud.


Soluções comuns num ambiente de Shadow SaaS incluem o Canva, WeTransfer, ChatGPT e Google Forms. Embora estas soluções possam revelar-se úteis, introduzem potenciais riscos de segurança e conformidade quando utilizadas sem a supervisão do departamento de IT, podendo expor dados confidenciais e contornar os protocolos de segurança estabelecidos.


Para abordar os riscos associados ao Shadow SaaS, as organizações devem focar-se em:

  • Estabelecer e aplicar políticas claras de utilização aceitável;
  • Sensibilizar os funcionários para os riscos que tais práticas podem representar;
  • Implementar ferramentas de Prevenção de Perda de Dados (DLP) e Cloud Access Security Broker (CASB) para ajudar a monitorizar e detetar a utilização não autorizada de aplicações.

 

 

Soluções para aumentar a resiliência cibernética

Para fortalecer a resiliência cibernética num ambiente de cloud, existem vários serviços personalizados para ajudar as organizações a protegerem as suas aplicações e infraestrutura na cloud, nomeadamente:

  • Serviços de Consultoria
    Especialistas em cibersegurança de um fornecedor de serviços como a Alter Solutions estão capacitados para avaliar e melhorar o posicionamento de segurança das organizações, tanto dentro como fora da cloud. Seguindo uma abordagem baseada em riscos, estes profissionais fornecem uma orientação bem fundamentada sobre os controlos eficazes a implementar, protegendo os dados contra ameaças prevalentes e garantindo que as empresas permanecem em conformidade com as obrigações regulamentares – um desafio particularmente crítico na cloud;

  • Serviços de Auditoria
    Variam desde auditorias de conformidade até testes de penetração técnicos e exercícios de red teaming, proporcionando uma visão abrangente da eficácia dos controlos de segurança, além de fornecer uma avaliação independente do nível de segurança do Fornecedor de Serviços de Cloud em causa.

  • Serviços de Deteção e Resposta a Incidentes
    Este tipo de estratégia pode prevenir ou mitigar eficazmente as ameaças específicas do SaaS discutidas anteriormente. Os serviços geridos são especificamente concebidos para abordar estes desafios, oferecendo capacidades de monitorização e deteção 24/7 através de um Centro de Operações de Segurança (SOC). Ao tirar partido das melhores e mais recentes tecnologias de deteção, garantimos que as empresas estejam um passo à frente dos atacantes que fazem mira aos ambientes de cloud. Além disso, com capacidades proativas de deteção e resposta a ameaças, a nossa equipa de Resposta a Incidentes está pronta para ajudar a conter e mitigar incidentes de segurança antes que escalem.

 

 

Conclusão

Embora as soluções SaaS proporcionem benefícios significativos para as organizações, também introduzem um novo conjunto de desafios que ameaçam a segurança dos dados. No entanto, ao compreender estas ameaças e ao fazer-lhes frente através de uma estratégia de segurança robusta, as organizações podem aumentar significativamente a sua resiliência na cloud.
Partilha este artigo