Como este tema funciona na sua empresa
Pequenas empresas frequentemente gerenciam acessos manualmente: planilha Excel, solicitações por email, resetar senhas quando alguém sai. O risco é que acesso nunca é completamente revogado e respostas são lentas. Documentação é informal ou inexistente.
Médias empresas têm processos formalizados mas pulverizados: área de RH notifica TI, TI provisiona em sistemas individuais (AD, email, VPN, aplicações). Não há orquestração central. Offboarding é inconsistente — alguns acessos ficam ativos por meses após saída.
Grandes empresas automatizam com Identity Management (IDM): quando RH registra contrato, sistema provisiona automaticamente. Quando desliga, revoga tudo. Auditoria é automática. Risco é latência entre RH e TI — acesso aprovado antes de sistema estar pronto.
Onboarding e Offboarding de acessos são processos que definem quem tem acesso a quais recursos (sistemas, dados, infraestrutura) quando entra e quando sai da empresa. Onboarding provisiona acesso; offboarding revoga. Má execução deixa acessos residuais, risco de segurança crítico[1].
O ciclo de vida de acessos: onboarding, manutenção, offboarding
O ciclo começa antes do primeiro dia do colaborador. RH envia à TI: nome, documento, função, data de entrada, gestor. TI precisaresponder com uma lista de sistemas que essa função precisa (email, VPN, ERP, BI, etc.). Isso parece simples, mas é frequentemente caótico porque:
Primeiro, áreas diferentes usam nomes diferentes para a mesma pessoa (João Silva vs. J. Silva vs. SILVA). Segundo, a função "analista" em Marketing é diferente de "analista" em Operações — exigem acessos diferentes. Terceiro, novos sistemas surgem constantemente — a lista está sempre desatualizada.
Durante a permanência, acesso muda: promoção, mudança de departamento, projetos especiais. Cada mudança deveria gerar ajustes automáticos. Na realidade, esses ajustes são lentos ou esquecidos — pessoas mantêm acesso de funções antigas indefinidamente.
Offboarding é o maior risco. Quando alguém sai, TI precisa revogar acesso a TODOS os sistemas. Mas quantos sistemas? Se a empresa usa 50+ sistemas (CRM, ERP, BI, plataformas cloud, etc.), revogação incompleta deixa dados expostos. O ex-funcionário pode ainda acessar arquivos no SharePoint, ver dados em BI, ou entrar no VPN.
Processo manual: checklist em papel, tarefas distribuídas por email. Demora 3-5 dias úteis. Risco: acesso ativo por semanas ou meses após saída. Solução: planilha compartilhada com status, responsáveis por sistema, e prazos.
Processo formalizado mas não automatizado. Active Directory (AD) é central, mas aplicações externas (Salesforce, Jira, Google Workspace) exigem revogação manual. SLA típico: 1-3 dias úteis. Risco: sistemas em nuvem frequentemente esquecidos.
IAM (Identity & Access Management) é plataforma central. Quando RH marca pessoa como "desligada", sistema revoga tudo automaticamente em 10 minutos. Auditoria trimestral confirma que nenhum acesso residual existe. SLA: mesma hora ou próximas 24h.
Desafios práticos na implementação
O primeiro desafio é inventariar. Quais são TODOS os sistemas em que pessoas precisam de acesso? Empresa típica de 100 pessoas usa: email (Microsoft, Google), VPN, Active Directory, ERP, CRM, BI, wiki/documentação, repositório de código, ferramentas de comunicação (Slack, Teams), plataformas de RH (folha de pagamento, benefícios), e dezenas de SaaS menores (zoom, asana, figma). Isso facilmente ultrapassa 30-50 sistemas.
O segundo desafio é definir quem tem direito a quê. Desenvolvedor sênior precisa de acesso ao repositório de código, mas precisa também de acesso ao BI de produção? Precisa de acesso ao banco de dados de produção? Essas decisões exigem documentação clara de papéis e responsabilidades. Na prática, decisões são tomadas caso-a-caso e nem sempre documentadas.
O terceiro desafio é executar revogação completa e rápida. Se TI demora 3 dias para revogar acesso, e a pessoa sai na sexta, ela ainda tem acesso até quarta. Se o processo é manual (email para cada equipe de sistema), falhas são comuns: equipe de BI não recebe email, não vê solicitação, não revoga acesso.
Estratégias para automatizar onboarding e offboarding
A estratégia começa com um catálogo de acessos. Para cada função (Designer, Desenvolvedor, Gerente Sênior, etc.), defina lista fixar de sistemas que precisa. Use templates. Quando novo colaborador entra, TI aplica template de sua função — 80% pronto. Customizações são exceção, não regra.
Integre RH com TI. Quando RH atualiza HRIS (Human Resources Information System) — data de entrada, função, saída — sinais disparam para sistemas TI. Ferramentas como Okta, Azure AD Connect, ou Jira do próprio IAM podem fazer isso.
Implemente revisões periódicas. A cada 90 dias, sistema gera relatório: "João Silva tem acesso a 23 sistemas. Função atual é Analista Sênior. Acessos correspondem?" Gestor revisa e confirma ou ajusta. Isso apanha drift (acessos que não fazem mais sentido).
Para offboarding, crie rotina automática. Quando RH marca pessoa como "demitida", offboarding workflow inicia automaticamente: (1) invalida senha, (2) revoga VPN, (3) revoga licenças SaaS, (4) desabilita email, (5) faz backup home folder, (6) remove de grupos AD.
Sinais de que seu processo de onboarding/offboarding precisa melhorar
Se você se reconhece em três ou mais cenários abaixo, há risco significativo de acessos residuais ou falta de controle.
- Você não sabe ao certo quantos sistemas sua empresa usa.
- Onboarding leva mais de 3 dias úteis ou exige retrabalho por esquecimentos.
- Offboarding é manual — enviam email para cada time e esperam confirmação.
- Você não faz auditoria periódica de quem tem acesso a quê.
- Ex-funcionários frequentemente descobrem que ainda tinham acesso semanas depois.
- Cada sistema tem processo diferente — não há orquestração central.
- RH e TI não compartilham dados em tempo real.
Caminhos para melhorar onboarding e offboarding
A melhoria pode ser evolutiva (processos melhor documentados e sincronizados) ou revolucionária (implementar IAM). O caminho depende de urgência e maturidade atual.
Viável se você já tem AD ou sistema de identidade básico e quer sistematizar sem grande investimento.
- Perfil necessário: Gestor de TI, Administrador de AD, e representante de RH com dedicação
- Tempo estimado: 4-8 semanas para documentação, templates, e integração básica com RH
- Faz sentido quando: Você tem menos de 100 pessoas ou processo atual é caótico mas infraestrutura é razoável
- Risco principal: Integração RH-TI é sempre complexa; dados fora de sinc causam retrabalho
Indicado para empresas que querem automação completa e auditoria centralizada.
- Tipo de fornecedor: Consultoria de IAM, Implementador de Okta/Azure AD, Fornecedor de Serviços Gerenciados
- Vantagem: Automação end-to-end, auditoria contínua, conformidade facilitada
- Faz sentido quando: Você tem 200+ pessoas ou requisitos de conformidade (ISO, SOX, LGPD)
- Resultado típico: Implementação em 3-6 meses, depois onboarding em 24h, offboarding em 10 min
Precisa de apoio para estruturar onboarding e offboarding de acessos?
Se implementar processo robusto de onboarding/offboarding é prioridade, o oHub conecta você gratuitamente a consultores de segurança e especialistas em gestão de identidade. Em menos de 3 minutos, descreva seu cenário atual, e receba propostas de especialistas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é o risco de ter acessos residuais?
Acessos residuais permitem que ex-funcionários consultores, parceiros, ou hackers que comprometaram credenciais acessem sistemas sensíveis. Risco de vazamento de dados, modificação maliciosa de registros, ou acesso a dados confidenciais de clientes.
Quanto tempo deve levar o onboarding?
Onboarding deve ser completo em 1 dia útil. Se leva 3-5 dias, há ineficiência. Se leva 1 hora, você provavelmente tem automação (IAM). Novo funcionário deve ter todos os acessos antes do primeiro dia ou primeiras horas.
Qual é a melhor prática para offboarding?
Offboarding automático e instantâneo (quando RH marca demissão, acesso cai em minutos) é ideal. Manual é aceitável se SLA for 4 horas máximo. Mais do que isso, você tem risco.
Como saber se tenho acessos residuais?
Auditoria trimestral: extraia lista de todos com acesso a cada sistema, compare com lista atual de colaboradores. Nomes que saíram mas ainda têm acesso são acessos residuais. Ferramentas IAM fazem isso automaticamente.