Como este tema funciona na sua empresa
Ciclo de vida: contratação via RH, acesso via email/sistema (manual). Desafio: sem processo formal, desligamento deixa acessos ativos. Solução: checklist para TI (desativar email, removerfísico, cancelar cartão). Custo: zero. Risco: dados de ex-colaborador acessíveis por meses.
Ciclo formalizado: RH informa TI via ticket de contratação/desligamento. TI cria/revoga acesso em AD, email, sistemas-chave. Desafio: múltiplos sistemas, revogação atrasada. Solução: integração RH-TI com SLA (72 horas provisioning, 24h desligamento). Custo: 5-15k USD automação + processos.
Ciclo automatizado: contratação em HR dispara provisionamento de identidade em tempo real. Transferência de departamento atualiza grupos de acesso automaticamente. Desligamento revoga acesso em TODAS as aplicações em 30 min. Desafio: integração com 50+ sistemas. Solução: plataforma IAM (Identity and Access Management) central.
Ciclo de vida de identidade é conjunto de processos que gerenciam identidades de pessoas desde criação (admissão) até remoção (desligamento), passando por mudanças (transferência, promoção). Inclui provisionamento (criar acesso), desprovisionamento (revogar), e governança (quem tem acesso a quê)[1].
Por que ciclo de vida de identidade importa para segurança
Sem ciclo formalizado, excolaboradores mantêm acesso por meses após saída — risco massivo. Mudanças de departamento não atualizam grupos de acesso — pessoa tem permissões de ex-cargo. Resultado: violação de segregação de funções, impossibilidade de auditoria. Ciclo bem gerenciado reduz risco de insider threat, garante conformidade (SOX, ISO 27001), facilita auditoria. Além disso, acelera onboarding: colaborador novo consegue acesso no primeiro dia.
Processo manual: RH comunica TI quando novo colaborador entra. TI cria email, acesso a drive compartilhado, crachá. Tempo: 3-5 dias. Desligamento: RH envia lista; TI revoga manualmente. Risco: atrasos, acesso residual. Auditoria: lista manual de quem tem acesso a quê, atualizada semestralmente.
Processo semi-automático: RH cria colaborador em HR system; trigger automático avisa TI. TI provisiona em AD, email, ERP, CRM (5-10 sistemas). Tempo: 24-48h. Desligamento: RH marca saída em HR; sistema revoga acesso em 48h em sistemas críticos (email, AD), outros em 5 dias. SLA: 72h provisioning, 24h desligamento para sistemas críticos. Auditoria: relatório trimestral de acessos.
Automação total via plataforma IAM (Okta, Azure AD, SailPoint): RH cria colaborador em HR system (SuccessFactors, Workday); API dispara provisionamento automático em 50+ sistemas simultaneamente. Atributos: departamento, cargo, manager — determinam grupos e permissões. Desligamento: 30 min para revogação em todas as aplicações. Transferência: grupos são atualizados automaticamente. Auditoria: logs em tempo real, relatórios de conformidade automáticos. Conformidade: SOX, ISO 27001, GDPR.
Fases do ciclo de vida de identidade
Admissão (Joiners): RH contrata, TI cria identidade em diretório (AD), provisiona acessos conforme cargo/departamento. Tempo: 1-5 dias. Movimento (Movers): colaborador muda cargo/departamento; grupos de acesso são atualizados. Tempo: 24-48h. Saída (Leavers): colaborador sai; acesso é revogado em TODAS as aplicações, dados são arquivados/deletados conforme política. Tempo: 24h-7 dias conforme criticidade.
Desafios na implementação de ciclo de vida
Integração: sistemas usam diferentes protocolos (LDAP, SAML, APIs proprietárias) — integração complexa. Dados inconsistentes: HR tem versão X de departamento, AD tem versão Y — sincronização é desafio. Atrasosoperacionais: TI não processa ticket de RH a tempo. Falta de dados: se RH não comunica com TI, ciclo quebra. Conformidade: LGPD exige direito ao esquecimento — dados de ex-colaborador devem ser apagados em 30 dias, mas lei fiscal exige guardar 5 anos — balanceamento é necessário.
Governança de acesso: entitlement management
Ideal: revisar periodicamente quem tem acesso a quê. Pergunta crítica: "João foi promovido há 2 anos; ainda tem acesso de ex-cargo?" Segregação de funções: tesoureiro não pode aprovar e executar pagamento. Revisor deve validar que permissões fazem sentido conforme cargo atual. Auditoria deve demonstrar isto.
Sinais de que sua empresa precisa formalizar ciclo de vida
Se você se reconhece em três ou mais cenários abaixo, formalize o ciclo.
- Novos colaboradores esperam 5+ dias por acesso; produtividade sufoca no primeiro dia
- Excolaboradores têm acesso meses após saída
- Não há documentação de quem tem acesso a quais sistemas
- Auditoria pediu segregação de funções; não consegue demonstrar
- Transferência de colaborador não atualiza grupos de acesso automaticamente
- TI gasta 20+ horas/mês em manual provisioning/desprovisioning
Caminhos para formalizar ciclo de vida de identidade
Implementação varia conforme número de sistemas e nível de integração.
Viável se integração é simples (10 sistemas ou menos) e arquitetura é padrão.
- Perfil necessário: arquiteto de identidade, engenheiro de TI, especialista em processos
- Tempo estimado: 3-6 meses (design, integração, testes, treinamento)
- Faz sentido quando: infraestrutura AD/LDAP é padrão, sistemas são bem documentados
- Risco principal: manutenção complexa; mudanças nos sistemas quebram integrações
Recomendado para múltiplos sistemas ou conformidade regulatória.
- Tipo de fornecedor: consultoria IAM, provedor de plataforma IAM (Okta, SailPoint, Azure), implementador de integração
- Vantagem: experiência acumulada, plataforma robusta, suporte contínuo, conformidade garantida
- Faz sentido quando: 20+ sistemas, conformidade regulatória, falta expertise interna
- Resultado típico: design em 4-8 semanas, implementação em 12-16 semanas
Precisa formalizar ciclo de vida de identidade?
Se provisionamento/desprovisionamento é manual e você busca automação escalável, o oHub conecta você gratuitamente a especialistas em IAM e ciclo de vida de identidade. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quim avançar.
Perguntas frequentes
O que é ciclo de vida de identidade?
Processo que gerencia identidades desde admissão até desligamento, passando por transferências. Inclui: provisionamento (criar acesso), mudança (atualizar grupos), desprovisionamento (revogar). Objetivo: acesso correto no tempo certo, conformidade, segurança.
Quanto tempo deve levar para provisionar novo colaborador?
Ideal: 24-48h (acesso no primeiro dia útil). Prazo máximo: 3-5 dias. Mais longo: produtividade sofre, experiência de onboarding é ruim. SLA recomendado: 48h para sistemas críticos, 5 dias para outros.
Como garantir que acessos são revogados ao desligar?
Automatização é essencial. RH marca saída em HR; sistema dispara revogação automática em todas as aplicações (e-mail, AD, ERP, etc.) em 24h. Sem automação: revogação manual é esquecida, acessos residuais persistem.
Qual é o risco se ciclo de vida não é formalizado?
Acessos residuais (ex-colaborador ainda tem acesso). Violação de segregação de funções (pessoa tem permissões de múltiplos cargos). Impossibilidade de auditoria (não se sabe quem tem acesso a quê). Risco de insider threat.
Como lidar com dados de ex-colaboradores?
LGPD: direito ao esquecimento — dados devem ser apagados em 30 dias. Lei fiscal: documentos devem ser guardados 5 anos. Solução: apagar dados pessoais (email, documentos), manter registros anônimos para conformidade fiscal.
Qual é a melhor plataforma IAM para ciclo de vida?
Okta: melhor para SaaS. Azure AD: melhor para Microsoft Stack. SailPoint: enterprise robusto. Ping Identity: alternativa. Choice depende de stack existente e requisitos de integração.