A segurança no modelo SaaS (Software como Serviço) está em destaque global. Em uma carta aberta que viralizou entre profissionais de cibersegurança, Patrick Opet, CISO do JPMorgan Chase, alerta para um risco crescente: “O modelo moderno de entrega SaaS está silenciosamente abrindo portas para ciberataques e criando uma vulnerabilidade substancial que enfraquece o sistema econômico global.”
A carta, direcionada a fornecedores terceirizados, reacende um debate crítico: como fortalecer a confiança no ecossistema digital?
Os três pilares destacados por Opet:
Segurança em primeiro lugar: A entrega de novos recursos não pode se sobrepor à segurança. Aplicações devem nascer com proteção embutida.
Arquitetura moderna de segurança: Os mecanismos de autenticação e autorização precisam evoluir para acompanhar os riscos atuais.
Colaboração e responsabilidade: A indústria deve trabalhar em conjunto para prevenir o abuso de sistemas interconectados.
A mensagem é clara: a confiança entre empresas e seus provedores SaaS está abalada. E essa lacuna precisa ser resolvida com urgência.
A lacuna de confiança no universo SaaS
O modelo SaaS revolucionou os negócios ao permitir agilidade, escalabilidade e redução de custos. Com ele, qualquer empresa pode focar em seu core business sem se preocupar com a infraestrutura. Porém, essa conveniência exige algo crucial: confiança.
Confiança para que dados sensíveis trafeguem com segurança entre múltiplos serviços. Confiança em provedores terceiros. E confiança em arquiteturas que nem sempre estão preparadas para falhas.
Quando um grande provedor SaaS ou PaaS é atacado, o impacto se espalha por toda sua base de clientes. A interdependência digital é real — e perigosa.
Muitos desses riscos estão ligados ao uso de identidades não-humanas (como tokens OAuth ou chaves de API), que oferecem acesso poderoso, porém raramente contam com medidas de proteção como autenticação multifator, rotação ou monitoramento. Se essas identidades forem comprometidas, o estrago pode ser silencioso e duradouro.
Casos recentes como as falhas envolvendo a Snowflake e a queda global do CrowdStrike mostram o quão frágil pode ser esse ecossistema. Estamos diante de uma realidade em que a resiliência digital precisa caminhar ao lado da segurança.
O modelo SaaS é o futuro. Mas qual é o caminho seguro?
Opet propõe soluções como auto-hospedagem e Bring Your Own Cloud (BYOC). Contudo, para a maioria das empresas, a dependência de serviços SaaS continuará sendo uma necessidade estratégica. O mercado SaaS deve atingir US$ 1,23 trilhão até 2032.
Então, como avançar com segurança? A resposta está em três passos práticos:
1. Escolha seus parceiros com rigor
Empresas devem exigir o mais alto padrão de segurança de seus fornecedores. Perguntas que você deve fazer:
Como a empresa usa IA para proteger seus produtos?
Há opções de privacidade e transparência para o cliente?
Quais mecanismos de segurança são usados por funcionários com acesso a dados sensíveis?
Como identidades automatizadas (como bots e IA) são gerenciadas?
O que acontece em caso de incidente? Há plano de resposta?
Soluções seguras por padrão, transparência de riscos e controle total por parte do cliente devem ser requisitos básicos.
2. Fortaleça sua própria resiliência operacional
Parta do princípio de que um incidente ocorrerá. Esteja preparado para o “pior dia”. Isso inclui:
Planos robustos de continuidade e recuperação de desastres.
Testes de estresse e simulações de incidentes.
Backup e contingência para operar com capacidade digital reduzida.
Frameworks como o Solution Hygiene Framework ajudam a alinhar aprendizado interno, regulamentações e boas práticas de validação de fornecedores.
3. Reduza sua superfície de ataque ao mínimo
Mesmo com toda a cautela, não é possível controlar totalmente os riscos de terceiros. Por isso, adotar um modelo de Zero Standing Privileges (ZSP) é essencial.
Neste modelo, nenhum usuário (humano ou máquina) mantém permissões permanentes. Elas são concedidas de forma dinâmica e temporária (Just-In-Time) com base no contexto e no risco. Assim que a tarefa é concluída, o acesso é revogado.
Dessa forma, mesmo que um invasor obtenha acesso, ele não terá permissões válidas para explorar dados ou sistemas. Além disso, o ZSP elimina movimentos laterais e credenciais embutidas perigosas.
Implementar isso exige governança moderna de identidades — e é aí que entra o próximo ponto.
A importância da Governança Moderna de Identidades (IGA)
A gestão tradicional de identidades não acompanha o ritmo da nuvem. Já o IGA moderno utiliza IA e automação para:
Acelerar a integração de novos aplicativos.
Eliminar processos manuais.
Padronizar permissões e papéis em larga escala.
Integrar-se com soluções IAM e PAM para controle total.
Isso é essencial para o modelo Zero Trust e para proteger identidades automatizadas, que já superam as humanas em mais de 80 para 1.
Além disso, a automação do IGA reduz atrasos, melhora a conformidade com leis e regulamentações, e protege sua equipe da sobrecarga operacional.
Uma chamada poderosa que precisa ser atendida
A carta de Opet marca um momento crucial. É um convite para toda a indústria rever suas práticas e avançar rumo a um ecossistema digital antifrágil.
Na Solvedesk, acreditamos que a confiança começa com a transparência, segurança e controle total do ambiente digital. Nosso compromisso é ajudar sua empresa a operar com confiança no universo SaaS, com soluções robustas e seguras para gestão de acessos, identidades e suporte técnico.
Quer reforçar a segurança digital da sua empresa com a Solvedesk?
Fale com nossos especialistas e descubra como nossos serviços de suporte e gestão de acessos podem proteger o que há de mais valioso: a confiança dos seus clientes.
👉 Fale com a Solvedesk agora mesmo
