O ano de 2025 tem sido crucial para a segurança de identidades, caracterizado por um aumento rápido no volume, variedade e velocidade de identidades que as organizações precisam gerenciar. A evolução das ferramentas de identidade — desde soluções iniciais de single sign-on até a governança impulsionada pela nuvem e IA — atingiu um ponto crítico devido à complexidade de equilibrar a necessidade de acesso rápido dos funcionários com a manutenção da segurança.
As identidades de máquina já superam as identidades humanas em uma proporção de mais de 80 para um, e com a ascensão dos agentes de IA, essa diferença só tende a aumentar. Cada um desses pontos de acesso, se não for controlado, representa uma potencial porta de entrada para invasores. Muitas vezes, os agentes de IA acessam as informações mais privilegiadas e proprietárias, tornando sua governança uma prioridade máxima.
Um exemplo recente ilustra o problema: um grande banco possuía 30.000 contas de serviço, mas sua equipe não conseguia rastrear a propriedade humana ou a trilha de auditoria de acesso da maioria delas. Essa falta de rastreabilidade é um desafio comum. À medida que o inventário de identidades cresce, as identidades de máquina criam pontos cegos que processos manuais de governança ou auditorias de conformidade padrão não conseguem cobrir.
📉 Por Que o IGA Tradicional Está Falhando na Era da IA
As soluções legadas de Governança e Administração de Identidades (IGA) surgiram em meados dos anos 2000, principalmente para atender a regulamentações como a Lei Sarbanes-Oxley (SOX). Os objetivos eram gerenciar o ciclo de vida das identidades e a conformidade, garantindo que os funcionários tivessem acesso apropriado, revisado, aprovado e, eventualmente, revogado.
O desafio é que essas ferramentas antigas foram criadas para um cenário de sistemas estáticos e on-premises. Elas dependiam de desenvolvimento personalizado, integrações complexas e serviços profissionais que não escalavam. Elas não foram projetadas para os negócios atuais, que priorizam a nuvem, utilizando centenas de aplicativos SaaS, milhares de cargas de trabalho e milhões de direitos de acesso (entitlements) distribuídos por aplicações com proprietários de negócios distintos.
Isso resulta em:
Direitos de acesso excessivos e contas órfãs.
Contas de serviço esquecidas com privilégios poderosos.
Lentidão na concessão de acesso necessário aos funcionários.
Custos de governança crescentes que não aprimoram a postura geral de segurança de identidades.
Em resumo, o que começou como uma simples verificação de conformidade transformou-se em uma significativa oportunidade estratégica para a segurança.
🚀 Três Forças que Redefinem a Governança de Identidades
A evolução da governança de identidades é moldada por três tendências poderosas que estão mudando a forma como as organizações protegem o acesso e gerenciam riscos:
1. A Ascensão das Identidades de Máquina
Contas de serviço, cargas de trabalho, APIs e, agora, agentes de IA estão por toda parte. Dinâmicas, muitas vezes de vida curta e facilmente esquecidas, as identidades de máquina são alvos ideais para invasores. Até mesmo auditores estão atentos a esses riscos, exigindo revisões de acesso para essas contas, embora a maioria das organizações não possua a visibilidade ou as ferramentas para realizar essas revisões e fornecer evidências sólidas.
2. Convergência de IGA, PAM e Segurança de Identidades
Manter as ferramentas de identidade em silos separados não é mais eficaz. Os CISOs exigem um plano de controle unificado que combine o Gerenciamento de Acesso Privilegiado (PAM), IGA e a governança de identidades de máquina. Ao unir essas disciplinas e ferramentas, as equipes de segurança podem obter a visibilidade contínua necessária para tomar decisões de acesso mais consistentes e baseadas em risco em toda a organização.
3. Automação Impulsionada por IA
Atualmente, o IGA é composto por 84% de trabalho manual e 16% de automação. Devido ao aumento das identidades de máquina, essa proporção precisa se inverter nos próximos anos. Começaremos a ver agentes de IA recomendando mudanças nos direitos de acesso antes de executá-las por conta própria, dentro de limites de risco predefinidos. Essa mudança é essencial para acompanhar a velocidade dos negócios e a natureza em transformação das identidades da força de trabalho.
🎯 IGA Moderno: Novas Prioridades para CISOs e CIOs
Na era da IA, os líderes de segurança devem repensar suas prioridades para acompanhar os novos riscos e oportunidades:
Identidades Além dos Humanos: A mudança mais crucial é deixar de pensar em identidade apenas em relação a pessoas. Os riscos mais significativos vêm cada vez mais de identidades de máquina e IA. Para governar esses riscos, é preciso vincular as identidades de máquina aos humanos que as possuem, criam e gerenciam.
Privilégios Estáticos Zero (ZSP): Direitos de acesso estáticos não são mais eficazes. O acesso automatizado, just-in-time, e o princípio do menor privilégio devem se tornar padrões, especialmente para identidades de máquina em escala corporativa.
Detecção e Resposta a Ameaças de Identidade (ITDR): Assim como o EDR transformou a segurança de endpoints, o ITDR surge como o equivalente para identidades. Os Centros de Operações de Segurança (SOCs) devem integrar a inteligência de identidade em seus fluxos de trabalho de detecção e resposta, preenchendo a lacuna histórica entre as equipes de identidade e segurança.
Métricas Focadas em Resultados, Não em Projetos: O tempo de retorno é a métrica que importa. Quão rápido a organização pode integrar seus principais aplicativos? E quão rápido os funcionários obtêm acesso a eles? Com que rapidez as revisões de acesso são concluídas? Quanto é possível reduzir o número de tickets de provisionamento? Sem metas mensuráveis, os programas de IGA tendem a estagnar.
🔮 O Futuro da Governança de Identidades na Era da IA
Nos próximos três a cinco anos, a governança de identidades de máquina se tornará a principal prioridade para os CISOs, superando a governança de identidades humanas. A IA irá acelerar essa mudança ao criar mais identidades de agentes de IA e transformar o gerenciamento de direitos de acesso por meio de automação inteligente.
Organizações que unificarem seus controles de segurança e identidade, automatizarem a governança e se concentrarem em métricas orientadas a resultados estarão em uma posição muito mais forte para atender às crescentes demandas regulatórias e ameaças de segurança. Por outro lado, aquelas que demorarem provavelmente ficarão sobrecarregadas pela complexidade, cegas para novas ameaças e superadas por invasores que já exploram essas lacunas.
A identidade é o novo alicerce da segurança corporativa. As organizações que compreendem isso e se preparam para o futuro da governança estão mais bem posicionadas para definir o futuro da resiliência digital.
