Como este tema funciona na sua empresa
IGA (Identity Governance and Administration) é a camada de governança que vai além do IAM tradicional. Se IAM responde "quem é você e o que você pode fazer", IGA responde "por que você tem esse acesso e deve continuar tendo". IGA adiciona auditoria contínua, gestão de risco, atestação de acessos e remediação automática de desvios. É obrigatório para LGPD e ISO 27001.
IAM vs. IGA: diferenças fundamentais
IAM (Identity and Access Management) gerencia identidades e direitos de acesso: autenticação (quem é você), autorização (o que você pode fazer), provisionamento (criação de conta). Assume que acessos, uma vez concedidos corretamente, permancem válidos. Foco: eficiência de acesso1.
IGA (Identity Governance and Administration) assume que acessos variam no tempo: funcionário muda de departamento, projeto termina, responsabilidade diminui. IGA auditoria continuamente: esse acesso ainda é válido? Tem justificativa de negócio? Há conflito de função (mesma pessoa com acessos incompatíveis)?
Pilares de IGA
Quem tem acesso a quê? Relatório centralizado mostrando: cada usuário, seus acessos (sistemas, aplicações, dados), justificativa de negócio. Muitas empresas descobrem, ao implementar IGA, que há acessos "fantasma" (usuários com direitos que ninguém sabe por quê)2.
Acessos estão alinhados com políticas e regulação? Matriz de segregação de funções (SoD) define quais acessos são incompatíveis (ex: aprovador e pagador mesmo sistema não podem ser mesma pessoa). IGA detecta violações automaticamente.
Access review e atestação
Periodicamente (trimestral, semestral), business owner revisa acessos de seu time: "Você tem acesso a SAP Finance. Por quê? Deve continuar?". Respostas: continua, remove, escala para gestão. IGA automatiza convite e rastreamento de aprovações3.
Se access review detecta acesso sem justificativa ou violação de SoD, IGA pode escalar automaticamente ou até remover acesso (dependendo da política). Resultado: menos acessos "adormecidos", conformidade contínua.
Segregação de Funções (SoD)
Análise contínua de conflitos: mesma pessoa não pode ter acessos incompatíveis. Exemplo clássico: pagador e aprovador de pagamento. IGA detecta e alerta. Integração com sistemas de risco permite scoring automático de risco (SoD violation = aumenta risco).
Integração com compliance e auditoria
IGA gera trilha completa de decisões: quem aprovou cada acesso, quando, qual foi a justificativa. Regulador pede prova: "Como sabem que esse usuário ainda precisa de acesso?" Resposta: relatório de IGA mostrando última aprovação. Auditoria externa é mais satisfeita com IGA implementado.
Sinais de déficit de IGA
- Empresa tem IAM mas não sabe quem tem acesso a quê
- Access review raro ou nunca feito
- Usuários ainda têm acesso após desligamento ou mudança de função
- Sem documentação de justificativa de acesso
- SoD violations detectadas em auditoria
- Auditoria não consegue rastrear quem aprovou qual acesso
- Conformidade com LGPD/ISO questionada por falta de governança
Implementação de IGA
Curto prazo
Documentar acessos existentes. Fazer access review manual inicial. Identificar SoD violations. Começar a rastrear justificativas.
Médio prazo
Implementar plataforma de IGA. Automatizar access review. Implementar detecção de SoD. Integrar com compliance e auditoria. Relatórios regulares para liderança.
Perguntas frequentes
Qual a diferença entre IAM e IGA?
IAM: gerencia autenticação e autorização (quem é você, o que você pode fazer). IGA: adiciona governança (por que você tem esse acesso, deve continuar tendo?), auditoria contínua, atestação e remediação.
Por que governança de identidades é crítica?
Acessos variam: funcionário muda de departamento, projeto termina, responsabilidade muda. Sem IGA, acessos antigos permanecem. Risco: insider threats, violação de compliance, SoD violations. IGA mantém conformidade contínua.
Como implementar IGA em organizações complexas?
Começar documentando acessos existentes. Access review manual inicial. Plataforma de IGA automatiza. Implementar políticas de SoD. Integrar com compliance. Iteração contínua.
IGA reduz risco de insider threats?
Sim. IGA detecta comportamentos anômalos (usuário com acessos incompatíveis), remove acessos desnecessários (reduz superfície de ataque), mantém auditoria (facilita investigação). Não elimina ameaça, mas reduz significativamente.
IGA é obrigatório para compliance (LGPD, ISO 27001)?
LGPD não menciona explicitamente IGA, mas exige comprovação de acesso apropriado. ISO 27001 exige revisão periódica de acessos. IGA é implementação mais robusta desses requisitos.
Qual é o custo de implementação de IGA?
Varia: ferramenta de IGA (R$ 50K-500K/ano), pessoal (1-2 dedicados), integração com sistemas existentes. ROI: redução de tempo de audit, diminuição de findings, automação de remediação.
Referências
- 1 Gartner Magic Quadrant for Identity Governance and Administration — Evolução de IAM para IGA
- 2 NIST SP 800-53 — Access Control — Recommended Control Enhancements para governança contínua
- 3 ISO/IEC 27001:2022 — A.6 — Gestão de acesso baseada em identidade com revisão periódica
- LGPD Art. 32 — Segurança da informação pessoal e comprovação de acesso apropriado
- Forrester Wave: Identity Governance and Administration