Однозначного ответа к сожалению нет. Многое зависит от хостинг-провайдера.
В PHP, на котором построена система SugarCrm довольно много уязвимостей.
На хостинге система будет стоять на общем сервере, где php работает от имени общего пользователя веб-сервера (не везде, но в большинстве случаев), т.е. все уязвимости всех клиентов становятся общими.
В случае развертывания ее на сервере в своей локальной сети можно организовать VPN, туннели, просто пакетные фильтры либо комбинация из них, вариантов масса, чтоб закрыться от нежелательного доступа извне и дать доступ своим людям.