oHub Base TI / Desafios / Rotina / Preciso revisar acessos e permissões

Preciso revisar acessos e permissões

Auditoria periódica de quem tem acesso a quê — princípio do menor privilégio, contas órfãs, separação de funções, revogação no desligamento.

Resposta rápida

Revisar acessos e permissões é a auditoria periódica que descobre quem tem acesso a quê — e quem não deveria mais ter. O ritual padrão é trimestral em sistemas comuns e mensal em sistemas críticos. O processo: listar todas as identidades ativas em cada sistema, cruzar com a lista de quem deveria estar ativo (vindo do RH), identificar contas órfãs (usuário não existe mais ou mudou de função), aplicar o princípio do menor privilégio (cada acesso só ao que é necessário para a função atual), validar separação de funções (a mesma pessoa não aprova e executa o que ela aprova), e fechar o ciclo no desligamento (revogação no mesmo dia). Sem essa revisão, acesso vira sedimento — ninguém sabe mais quem pode o quê, e o incidente de segurança encontra essa porta aberta.

Pequena até 50 colaboradores

Na empresa pequena, o universo de acesso cabe em uma planilha — Google Workspace ou Microsoft 365, sistema de gestão (ERP), banco, e meia dúzia de SaaS. A revisão trimestral é viável e dura cerca de uma hora: o ponto focal de TI passa a lista com o RH ou o sócio. O risco aqui é a centralização excessiva — usuário admin compartilhado, senha do banco que três pessoas conhecem, painel do site que o ex-funcionário ainda acessa. Disciplina mínima: cada pessoa com login próprio mesmo em sistemas que aceitariam admin único, MFA em tudo que oferece, e revogação no momento do desligamento (não "na próxima semana quando lembrar"). Conta de fundador ou sócio entra na revisão também — privilégio sem revisão é privilégio inseguro, independente do cargo.

Média 51–500 colaboradores

Na empresa média, o universo expande para dezenas de sistemas e centenas de identidades. A revisão manual passa a doer — começa a fazer sentido investir em IAM básico, no mínimo SSO (single sign-on) com provedor de identidade (Azure AD/Entra ID, Google Workspace, Okta na entrada). A revisão trimestral organiza-se por sistema crítico, com gestor da área validando quem ainda deve ter acesso (review attestation). O risco característico é o crescimento sem governança: cada área adota seu SaaS, cada SaaS tem seu painel de usuário, ninguém tem inventário completo. Centralizar via SSO é o que cria a base para revisar. Separação de funções (SoD) começa a importar — sistemas financeiros precisam separar quem solicita pagamento de quem aprova.

Grande +500 colaboradores

Na empresa grande, gestão de acesso é função formalizada com IGA (Identity Governance and Administration) dedicado, em geral SailPoint, Saviynt, Microsoft Entra com governance, ou stack próprio. Revisão de acesso (access review) é processo automatizado: a ferramenta dispara campanhas periódicas, gestores recebem fila para certificar acessos da equipe, exceções são tratadas. Risco aqui é o "rubber stamping" — gestor aprovando tudo sem ler, perdendo a função da revisão. Métrica importa: percentual de acessos revogados na campanha, tempo médio de resposta, padrão por gestor. SoD vira função formal com matriz de incompatibilidade. Compliance (SOX, LGPD, ISO 27001) costuma exigir evidência da revisão — sem o trail, falha em auditoria externa.

Você está vivendo isso se…
  • Não há lista única de quem tem acesso a quais sistemas
  • Acesso de ex-funcionário continuou ativo por dias ou semanas
  • Privilégios se acumulam: troca de área e mantém o acesso antigo
  • Admin de sistema crítico é conta compartilhada
  • A mesma pessoa aprova e executa pagamento, ordem ou contrato
  • Auditoria interna ou externa apontou irregularidade em acesso

O princípio do menor privilégio

Menor privilégio significa que cada identidade tem apenas o acesso estritamente necessário para a função atual — nada mais, nada menos. Soa óbvio, mas é frequentemente violado por inércia: usuário troca de área e mantém o acesso anterior, projeto termina e o acesso temporário fica, alguém pede acesso "para resolver rápido" e nunca tira. Em alguns meses, a maioria das identidades acumula privilégios desconectados da função real. É nesse ponto que o incidente de segurança encontra terreno fértil.

Aplicar menor privilégio não é dificultar o trabalho — é fazer acesso refletir função. Processos bem desenhados: acesso por papel (não por pessoa), atribuição de papel definida pelo RH ou pela liderança, revisão periódica do mapeamento.

Quatro tipos de acesso para auditar

Identidade de usuário humano: contas nominais ligadas a colaboradores ou prestadores. Auditar contra a base do RH.

Identidade de serviço: contas técnicas usadas por sistemas para se conectar a outros sistemas. Risco: senha trivial, sem rotação, sem dono.

Acesso privilegiado: admin, root, sudo, super-usuário. Risco máximo se vazar; precisa de tratamento especial (PAM, vault, rotação, log de uso).

Acesso compartilhado: conta única usada por várias pessoas. Risco de não conseguir auditar quem fez o quê. Tratamento ideal: eliminar; quando inevitável, vault com check-out controlado.

Roteiro da revisão trimestral de acessos
  1. Liste os sistemas alvo. Críticos primeiro (ERP, financeiro, RH, banco, infraestrutura, e-mail, sistemas de cliente). Cobertura completa raramente é viável de uma vez; rotacione.
  2. Extraia as identidades ativas. De cada sistema, exporte a lista atual. Padronize a estrutura para conseguir cruzar.
  3. Cruze com a base do RH. Identidades de pessoas que não estão mais ativas viram lista de revogação imediata. Identidades de pessoas que mudaram de área viram lista de revisão.
  4. Envie para o gestor revisar. Cada gestor recebe a lista da equipe com pergunta direta: "essa pessoa ainda precisa desse acesso?". Prazo curto para resposta (cinco a dez dias úteis).
  5. Aplique o resultado. Revogue o que foi marcado como desnecessário. Documente exceções (quando algo permanece por razão específica).
  6. Audite contas privilegiadas separadamente. Quem tem admin? Por quê? O acesso é usado regularmente ou foi esquecido?
  7. Registre evidência. Lista revisada, resposta do gestor, ações executadas, data. Sem evidência, a auditoria não acontece para efeito de compliance.
Erro frequente: revisar acesso e não revogar — gestor responde "manter tudo" sem ler. Métrica importante: percentual de acessos revogados na campanha. Se for próximo de zero, a revisão virou teatro e merece auditoria do próprio processo.

Fechando o ciclo no desligamento

A revisão periódica funciona como rede; o ciclo de desligamento funciona como porta. Ambos são necessários. Quando o desligamento não revoga no mesmo dia, a revisão periódica encontra contas órfãs três meses depois — tempo de sobra para incidente.

Processo de desligamento bem desenhado: RH dispara workflow no dia da saída, TI recebe lista automatizada de sistemas a revogar, revogação em até 24 horas com prioridade imediata para sistemas críticos e e-mail. Dispositivos recolhidos, senhas de contas compartilhadas (quando ainda existem) rotacionadas, acesso físico revogado. Em desligamento sensível (líder com acesso amplo, conflito anterior), revogação no momento da comunicação, antes da pessoa sair da sala.

Separação de funções

Separação de funções (SoD, Segregation of Duties) é o controle que impede que a mesma pessoa execute funções incompatíveis. Quem solicita pagamento não aprova; quem aprova não executa; quem executa não concilia. Quem desenvolve não tem acesso a produção sozinho; quem aprova mudança não a executa em produção. Sem SoD, fraude e erro se escondem na sequência fechada.

Em sistemas críticos (financeiro, banco, fiscal), SoD é exigência regulatória ou contábil. Em sistemas operacionais, é boa prática para evitar incidente. Matriz de incompatibilidade documenta quais combinações de papel são proibidas. Quando o sistema permite atribuir combinação proibida, alerta automático para revisar.

Armadilhas comuns na revisão de acessos

Inventário incompleto. Quando o catálogo de sistemas a auditar não cobre os SaaS adotados por área sem TI saber, a revisão acontece em metade do universo e a outra metade vira sombra.

Privilégio que vira hábito. Acesso temporário concedido "só para resolver" e nunca revogado é como vetor número um de incidente interno. Acesso temporário precisa de data de expiração automática.

Conta de serviço sem dono. Senhas técnicas criadas há anos, ninguém sabe usadas para quê, nunca rotacionadas. Quando vazam, derrubam ou expõem sistema crítico.

Revisão como evento anual. Acesso muda diariamente; revisão anual cobre meses de movimentação acumulada. Cadência trimestral é o mínimo razoável; mensal para sistemas críticos.

Antes de fechar a revisão trimestral, confira:
  • Inventário de sistemas auditados está atualizado
  • Identidades cruzadas com base atual do RH
  • Contas órfãs foram revogadas e documentadas
  • Gestores responderam às campanhas de revisão
  • Acessos marcados como desnecessários foram efetivamente revogados
  • Contas privilegiadas foram auditadas separadamente
  • Acessos temporários têm data de expiração configurada
  • Matriz de separação de funções foi verificada em sistemas críticos
  • Evidência da revisão está arquivada para auditoria

O que é o princípio do menor privilégio?

Cada identidade tem apenas o acesso estritamente necessário para a função atual — nada mais, nada menos. Soa óbvio, mas é frequentemente violado por inércia: usuário troca de área e mantém o acesso anterior, projeto termina e o acesso temporário fica, alguém pede acesso "para resolver rápido" e nunca tira. Em meses, a maioria das identidades acumula privilégios desconectados da função real. Aplicar menor privilégio é fazer acesso refletir função, não dificultar o trabalho.

Com que frequência revisar acessos?

Trimestralmente em sistemas comuns e mensalmente em sistemas críticos (financeiro, RH, banco, infraestrutura privilegiada). Revisão anual cobre meses de movimentação acumulada e perde a função. Para acesso privilegiado, revisão pode ser mensal ou contínua com alerta automatizado quando privilégio incomum é atribuído. O ciclo de desligamento é separado: revogação no mesmo dia da saída, complementando a revisão periódica.

O que são contas órfãs?

Identidades ativas em um sistema cujo dono não existe mais ou não tem mais razão de acesso: ex-funcionário, prestador desligado, projeto encerrado, conta de serviço sem responsável. São o vetor mais comum de incidente interno: quando vazam credenciais ou alguém aproveita o acesso esquecido, o incidente acontece sem ninguém perceber porque a conta não tem dono ativo monitorando. Auditoria periódica cruzando com base do RH é o que detecta.

O que é separação de funções (SoD) em TI?

É o controle que impede a mesma pessoa de executar funções incompatíveis. Quem solicita pagamento não aprova; quem aprova não executa; quem executa não concilia. Quem desenvolve não tem acesso a produção sozinho; quem aprova mudança não a executa em produção. Em sistemas críticos (financeiro, banco, fiscal), é exigência regulatória ou contábil. Matriz de incompatibilidade documenta as combinações proibidas; alerta automático sinaliza quando uma combinação proibida é atribuída.

Como revogar acesso no desligamento?

Processo bem desenhado: RH dispara workflow no dia da saída, TI recebe lista automatizada de sistemas a revogar, revogação em até 24 horas com prioridade imediata para sistemas críticos e e-mail. Dispositivos recolhidos, senhas de contas compartilhadas rotacionadas, acesso físico revogado. Em desligamento sensível (líder com acesso amplo, conflito anterior), revogação no momento da comunicação, antes da pessoa sair da sala. Cada dia de atraso é vetor de risco.
Aprofundar
Ver todos os artigos sobre Gestão de Acessos e Identidade (Cibersegurança e Proteção de Dados)