Por que os gerentes de risco precisam abordar a segurança do SaaS.

Fonte: Revista Risk Management - RIMS

Por Chithra Rajagopalan  | 15 de abril de 2025

https://www.rmmagazine.com/articles/article/2025/04/15/why-risk-managers-need-to-address-saas-security

À medida que as organizações adotam cada vez mais aplicativos de software como serviço (SaaS) baseados em nuvem que armazenam e gerenciam dados corporativos confidenciais e proprietários, os riscos de segurança cibernética rapidamente se tornaram uma preocupação financeira direta. Os riscos em torno do SaaS nunca foram tão altos — atualmente, os gastos com ferramentas SaaS como Workday, Google Workspace e ServiceNow chegam a centenas de bilhões, ou aproximadamente US$ 8.700 por funcionário.

Apesar do crescente investimento em SaaS, o investimento em segurança tem sido lento. Um equívoco comum é que os fornecedores de SaaS são responsáveis ​​por proteger esses aplicativos. Na realidade, é uma responsabilidade compartilhada — a empresa deve garantir a configuração, a integração, a detecção de ameaças e o uso adequados desses aplicativos e dos dados confidenciais armazenados neles. O problema é que cada aplicativo é único, criando uma enorme superfície de ataque que as equipes de segurança devem fortalecer.

Os invasores estão cientes dessa vulnerabilidade e estão mirando SaaS com frequência cada vez maior — as violações mensais de SaaS aumentaram 300% em relação ao ano anterior. Embora alguns desses ataques cheguem às manchetes, muitos ocorrem sem que ninguém perceba. Alocar orçamento e recursos para proteger essas aplicações está se tornando tão necessário hoje quanto a segurança de endpoints era há uma década.

Esses riscos criam uma oportunidade para que os gerentes de risco atuem como facilitadores importantes para ajudar a garantir que os CFOs, as equipes financeiras e as contrapartes de segurança entendam e abordem proativamente os riscos do SaaS antes que eles resultem em danos dispendiosos. 

Os crescentes riscos financeiros das violações de SaaS

Aplicações baseadas em nuvem, como SaaS e plataformas como serviço (PaaS), como a Databricks, lidam com dados sensíveis e desempenham um papel em operações críticas. Isso significa que violações dessas aplicações resultam não apenas em perda de dados, mas também em impactos financeiros substanciais devido a:

  • Danos à reputação e perda de negócios futuros
  • Declínio no valor de mercado
  • Responsabilidades legais e ações coletivas
  • Taxas por quebra de contrato
  • Multas regulatórias e violações de conformidade
  • Compensação ao cliente
  • Aumento dos prêmios de seguro cibernético

Por exemplo, a Change Healthcare sofreu uma violação porque um sistema crítico não possuía autenticação multifator (MFA). Como resultado do ataque cibernético, dados de saúde sensíveis de mais de um terço dos americanos podem ter sido vendidos na dark web. A violação também interrompeu os serviços de saúde em instalações em todo o país, incluindo as operações de pagamento, o que obrigou muitos pacientes a pagar do próprio bolso por serviços médicos essenciais. Até o momento, a violação custou à Change Healthcare pelo menos US$ 2,3 bilhões.

Após a resolução de uma violação desse tipo, geralmente ainda há uma longa sequência de consequências financeiras. Um impacto crescente advém dos reguladores que colocam as empresas sob maior escrutínio em relação às práticas de segurança, expandindo seu escopo de auditoria e definindo penalidades mais elevadas. Por exemplo, a OneMain Financial recebeu mais de US$ 4 milhões em multas regulatórias, além do custo da violação, devido a falhas de segurança vinculadas a múltiplos incidentes de segurança cibernética.

Ações coletivas também estão se tornando mais frequentes. As organizações não estão apenas pagando pela mitigação de violações, mas também se defendendo judicialmente contra pedidos de indenização que prejudicam ainda mais a saúde financeira. A IBM relata que os custos relacionados à perda de negócios atingiram US$ 2,8 milhões — o maior nível em seis anos.

Os gestores de risco devem trabalhar em estreita colaboração com os líderes financeiros para alinhar os investimentos em segurança com as prioridades de risco do negócio. Os CFOs, por sua vez, devem trabalhar com seus colegas de segurança para garantir que estejam alocando recursos adequados para preencher essa lacuna, o que é especialmente urgente, visto que violações de dados armazenados em nuvens públicas como o Microsoft Azure são as mais caras, com uma média de US$ 5,17 milhões, segundo a IBM.

Oito considerações importantes para líderes de risco e finanças

Se a segurança de SaaS ainda não está no seu radar, deveria estar. Abaixo, oito considerações que gerentes de risco e CFOs devem discutir com seus CISOs ou equipe de segurança de TI para garantir que os recursos que atendem às necessidades do negócio também ofereçam suporte à infraestrutura de segurança da empresa:

  1. Inventário de aplicativos SaaS : cada parte interessada conhece a fonte definitiva de dados para todos os aplicativos que a organização usa?
  2. Privilégios do usuário : como determinamos e gerenciamos quais usuários devem ter permissões elevadas para acessar ou compartilhar dados confidenciais?
  3. Uso de autenticação : todos os usuários e aplicativos seguem diretrizes e controles de segurança, como autenticação multifator, para ajudar a proteger dados e fortalecer a autenticação?
  4. Gerenciamento de mudanças: Quais são nossas políticas para verificar continuamente usuários, configurações e permissões para evitar alterações não autorizadas na configuração de um sistema, aplicativo ou infraestrutura?
  5. Gerenciamento de integração : podemos controlar integrações entre aplicativos, especialmente com a implantação de IA generativa?
  6. Detecção e resposta a violações : nossas soluções de segurança e fluxos de trabalho conseguem acompanhar a velocidade dos ataques SaaS?
  7. Monitoramento de conformidade: nossas estruturas de conformidade são mapeadas para aplicativos SaaS críticos?
  8. Aquisição de SaaS : Qual é o nosso processo de integração de SaaS e como garantimos que todos os aplicativos estejam em conformidade com as políticas de TI?

Com o aumento contínuo da adoção de SaaS, sua segurança é crucial. Adotar uma abordagem abrangente de segurança em SaaS não precisa ser desafiador, e as equipes que priorizarem esse investimento protegerão melhor sua organização contra custos futuros. Ao enquadrar a segurança de SaaS como um risco financeiro, e não apenas uma questão de TI, gerentes de risco e líderes financeiros podem impulsionar a adesão da diretoria a medidas de segurança mais robustas e mitigar os riscos associados a aplicativos SaaS.

Chithra Rajagopalan é chefe financeira da Obsidian Security.

https://www.rmmagazine.com/articles/article/2025/04/15/why-risk-managers-need-to-address-saas-security

_____________________________________________


XVI Seminário de Gestão de Riscos e Seguros – EXPO ABGR 2025- Inscrições Abertas! 

https://eventos.congresse.me/xvisgrs_expoabgr2025


Participe do evento com as maiores referências do mercado, explorando tendências e soluções.

 

 Painéis com especialistas

 Networking com grandes companhias

 Conteúdos alinhados ao cenário atual

 

O XVI Seminário de Gestão de Riscos e Seguros – EXPO ABGR 2025 abordará "O Gerenciamento de Riscos nas Organizações e o Marco Legal do Mercado de Seguros", trazendo insights valiosos para o mercado, dentre outros temas.

 



A ABGR apoia a EXPO Incêndio- De 27 a 29 de agosto de 2025. Participe!

 



Os associados ABGR têm 20% de desconto em todos os cursos da Conhecer Seguros.

São diversos treinamentos sobre Seguros, Gestão e Finanças, com professores especialistas. Acesse o site e aproveite mais esse benefício: https://conhecerseguros.com.br/.../SiteCurso/CarregaCursos

 

 


Parceria ABGR e ENS - Escola de Negócios e Seguros - Desconto aos Associados!

Mais informações em: www.abgr.com.br- comunicados



Curso Preparatório e Certificação Profissional Internacional em Gestão de Riscos

Associados ABGR têm desconto para inscrições antecipadas. Solicite mais informações através do e-mail: abgr@abgr.com.br



Acesse as edições mais recentes das publicações do Mercado de Seguros: 

Revista Apólice:  https://revistaapolice.com.br/2025/03/apolice-306-a-ocupacao-do-lugar-de-direito/

Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-edicao-273/

Revista Insurance Corp:  https://insurancecorp.com.br/pt/content/pdf/ic_ed58_2025.pdf

Revista Seguro Total:  https://revistasegurototal.com.br/2025/02/17/revista-seguro-total-edicao-248-especial-24o-trofeu-gaivota-de-ouro/

Revista Segurador Brasil:  https://revistaseguradorbrasil.com.br/edicao-190/

Revista de Seguros:  https://issuu.com/confederacaocnseg/docs/revista_de_seguros_n_932

Conjuntura CNseg:  https://cnseg.org.br/publicacoes/conjuntura-c-nseg-n-117

Revista Insurtalks:   https://www.insurtalks.com.br/revista/revista-insurtalks-13

Revista Brasil Energia:  https://brasilenergia.com.br/flip/1081

Risco Seguro Brasil: https://riscosegurobrasil.beehiiv.com/

Portal CQCS: https://cqcs.com.br/

Fonte: