Como este tema funciona na sua empresa
IAM (Identity and Access Management) é a fundação de toda estratégia de segurança moderna. Gerencia identidades (quem é você), autenticação (prova de identidade), autorização (o que você pode fazer), provisionamento (criação de conta) e auditoria (rastreamento). Não é projeto isolado, mas framework que permeia toda a organização, do onboarding ao offboarding de colaboradores.
Componentes essenciais de IAM
Repositório central de usuários (identidades corporativas). Exemplos: Active Directory (on-premise), Azure AD/Entra ID (cloud), Okta. Armazena atributos: nome, email, departamento, função, função no projeto. Todos os sistemas consultam diretório: "esse usuário existe? Que atributos tem?"1.
Prova de identidade. Métodos: senha (simples, inseguro), MFA (senha + telefone/app), biometria, certificado digital. MFA é padrão moderno. Single Sign-On (SSO) permite login único válido em múltiplos sistemas.
Autorização e provisionamento
Governança do que cada usuário pode fazer. Baseada em funções (Role-Based Access Control = RBAC): "Analista de Financeiro tem acesso a módulo de Pagamentos". Ou em atributos (Attribute-Based = ABAC): "Acesso a base de dados se departamento = TI AND nível de segurança >= 3". RBAC é simples; ABAC é flexível2.
Processo de criar conta em múltiplos sistemas quando funcionário entra. Manual: gestor solicita, TI cria em cada sistema. Automático: sistema detecta novo funcionário em HR, cria automaticamente em todos os sistemas apropriados. Automático é mais escalável.
Autenticação vs. Autorização
Distinção fundamental frequentemente confundida. Autenticação responde "quem é você?" (login). Autorização responde "o que você pode fazer?" (permissões). Exemplo: Você se autentica em rede corporativa (prova identidade com senha). Sistema autoriza: você tem acesso a compartilhamento X, não tem acesso a Y. Ambas são obrigatórias para segurança efetiva.
Modelo Zero Trust
IAM tradicional: confiar em perímetro (se está dentro da rede corporativa, está seguro). Zero Trust: desconfiar sempre (mesmo dentro, validar). Verificação contínua: quem é você? De onde você está acessando? Que dispositivo você usa? Comportamento é anômalo?3.
Shift para autenticação forte (MFA obrigatório), context-aware authorization (permissão depende de contexto: horário, localização, risco), continuous monitoring (comportamento vigilante). IAM deixa de ser "controle de entrada" para ser "vigilância contínua".
Ciclo de vida de identidade
Identidade tem ciclo: Criar (onboarding) ? Manter (mudanças) ? Revisar (access review) ? Deletar (offboarding). IAM maduro automatiza todo o ciclo. Risco comum: Offboarding falho (funcionário desligado ainda tem acesso). Automatização reduz esse risco significativamente.
Riscos de não ter IAM estruturado
Sem IAM forte, colaborador tem acesso a mais informação que precisa. Mudança de função não remove acesso antigo. Risco: fraude, sabotagem, vazamento.
LGPD, ISO 27001, SOX exigem rastreamento de acesso. Sem IAM, auditoria falha. Multas regulatórias. Risco reputacional.
Métricas de sucesso em IAM
Acompanhar: tempo médio de provisionamento (novo usuário em quantas horas consegue acessar), taxa de contas inativas (quantas contas nunca são usadas?), % de SoD violations, taxa de successful access reviews concluídas, redução de help desk tickets (menos "esqueci senha"). Dashboard deve mostrar tendência: está melhorando?
Sinais de IAM fraco
- Sem diretório centralizado (cada sistema tem seus usuários)
- Senhas são compartilhadas ou anotadas em papel
- Sem MFA em acessos críticos
- Provisionamento é manual (demora dias)
- Offboarding é ad-hoc (sem check list)
- Sem access review (ninguém sabe quem tem acesso a quê)
- Auditoria não consegue rastrear "quem acessou o quê, quando"
Evolução de IAM
Fase 1: Centralização
Implementar diretório único (AD ou cloud). Migrar usuários. Centralizar autenticação.
Fase 2: Automação + Governança
Automatizar provisionamento. Implementar access review. Adicionar MFA. Integrar com compliance.
Perguntas frequentes
O que é IAM e por que é importante para segurança corporativa?
IAM (Identity and Access Management) gerencia quem são usuários, como provam identidade (autenticação), o que podem fazer (autorização), e como isso é rastreado. É fundação de segurança: sem IAM, qualquer um pode acessar qualquer coisa.
Quais são os componentes principais de uma estratégia IAM?
Diretório (banco de identidades), autenticação (prova de identidade), autorização (permissões), provisionamento (criar/deletar contas), auditoria (rastreamento). Todos integrados em um framework coerente.
Qual a diferença entre autenticação e autorização?
Autenticação: "quem é você?" (login com senha/MFA). Autorização: "o que você pode fazer?" (permissões). Ambas são obrigatórias. Autenticação sem autorização = acesso irrestrito (péssimo). Autorização sem autenticação = inútil (qualquer um tem "permissão").
Como IAM impacta compliance e regulamentações?
LGPD exige rastreamento de acesso a dados pessoais. ISO 27001 exige controle de acesso e access reviews. SOX exige auditoria de acesso financeiro. IAM forte é pré-requisito para compliance efetivo.
IAM é necessário em empresas pequenas?
Sim. Mesmo em pequena: senhas são compartilhadas? Offboarding é informal? Sem IAM, risco é alto. Começar simples (SSO em nuvem, Google Workspace, Microsoft 365). Crescer conforme necessidade.
Qual o retorno sobre investimento em IAM?
ROI: redução de tempo administrativo (provisionamento automático), redução de incidentes (acesso restrito reduz insider threat), redução de multas regulatórias (conformidade mais forte). Difícil quantificar, mas valor é real.
Referências
- 1 Gartner Magic Quadrant for Identity and Access Management Cloud — Pesquisa anual de líderes IAM
- 2 NIST SP 800-63B (Digital Identity Guidelines) — Padrão de autenticação e autorização
- 3 NIST Cybersecurity Framework — Identificação e proteção baseada em zero trust
- ISO/IEC 27001:2022 — Cláusula 9 (Controle de acesso)
- Forrester Wave: Identity and Access Management — Pesquisa de mercado