Home > Conhecimento > Gestão de Identidade e Acesso (IAM) > 87% das Empresas Falham em Gestão de Identidade e Acesso (IAM): Diagnóstico Completo e Como Reverter em 2026
A Gestão de Identidade e Acesso (IAM) tornou-se o epicentro da segurança corporativa. Segundo o Verizon Data Breach Investigations Report (DBIR) 2024, mais de 80% das violações analisadas envolveram credenciais comprometidas, uso indevido de privilégios ou exploração de falhas de autenticação. No Brasil, onde a transformação digital avançou rapidamente após a pandemia, a expansão de ambientes híbridos e a adoção massiva de SaaS ampliaram drasticamente a superfície de ataque.
O IBM X-Force Threat Intelligence Index 2024 aponta que o comprometimento de contas válidas permanece entre os vetores iniciais mais frequentes em ataques de ransomware. Já o relatório Cost of a Data Breach 2024, do Ponemon Institute em parceria com a IBM, indica que o custo médio global de uma violação atingiu US$ 4,45 milhões, com elevação significativa quando credenciais roubadas são o vetor inicial. No contexto brasileiro, a ANPD vem ampliando fiscalizações e aplicando sanções administrativas baseadas na LGPD, reforçando que controle de acesso é obrigação legal, não apenas boa prática.
Este artigo apresenta um diagnóstico aprofundado de maturidade em IAM, alinhado aos frameworks NIST CSF 2.0, ISO 27001:2022, MITRE ATT&CK v14 e CIS Controls v8, com foco específico na realidade das empresas brasileiras.
O Cenário Brasileiro de Ameaças Baseadas em Identidade
A digitalização acelerada no Brasil gerou ganhos operacionais expressivos, mas também expôs fragilidades estruturais. Organizações expandiram VPNs, adotaram múltiplos provedores de nuvem e integraram ERPs e CRMs com autenticação federada, muitas vezes sem revisão adequada de políticas de privilégio mínimo. Esse cenário favorece técnicas mapeadas no MITRE ATT&CK v14 como T1078 (Valid Accounts) e T1556 (Modify Authentication Process), amplamente exploradas por grupos de ransomware.
O DBIR 2024 reforça que o uso de credenciais válidas continua sendo um dos métodos mais eficazes para movimentação lateral. No Brasil, casos públicos envolvendo grandes varejistas, operadoras de saúde e instituições financeiras evidenciaram exploração de contas administrativas não monitoradas. Embora nem todos os detalhes técnicos sejam divulgados, análises forenses frequentemente identificam ausência de MFA robusto e falhas em revisão periódica de acessos.
Dado relevante: O IBM X-Force 2024 indica que ataques com credenciais válidas exigem menos tempo para atingir ativos críticos do que ataques baseados exclusivamente em exploração técnica, reduzindo o tempo médio de comprometimento.
Além disso, a LGPD exige, em seu Art. 46, que agentes de tratamento adotem medidas técnicas e administrativas aptas a proteger dados pessoais. A ausência de controle de identidade pode caracterizar negligência, ampliando risco regulatório e reputacional.
Por Que 87% das Empresas Falham em IAM?
O percentual citado deriva de consolidação de estudos de mercado conduzidos por consultorias como Gartner e levantamentos de maturidade conduzidos por provedores de serviços de segurança. A falha não está apenas na ausência de ferramentas, mas na implementação fragmentada. Muitas empresas possuem Active Directory, Azure AD ou outro IdP, porém carecem de governança formal de ciclo de vida de identidades.
A primeira falha estrutural é a inexistência de inventário consolidado de identidades humanas e não humanas. Contas de serviço, APIs, integrações com RPA e bots frequentemente operam com privilégios elevados e sem rotação periódica de credenciais. O CIS Controls v8 enfatiza a necessidade de inventariar e gerenciar contas de serviço como prioridade crítica.
A segunda falha é cultural. Processos de onboarding e offboarding não são integrados ao RH e TI de forma automatizada. Atrasos na revogação de acessos após desligamento criam riscos concretos. Em avaliações conduzidas pela Decripte, é comum identificar contas ativas semanas após a saída do colaborador.
Nota importante: IAM não é apenas tecnologia; é governança, processo e auditoria contínua.
Frameworks Essenciais para Avaliação de Maturidade
A avaliação consistente de IAM deve integrar múltiplos referenciais. O NIST CSF 2.0, lançado em 2024, amplia a ênfase em Governança (GV), incluindo responsabilidades claras sobre controle de acesso. A ISO 27001:2022, no Anexo A, seção 5 e 8, estabelece controles específicos de gestão de identidades e autenticação segura.
O CIS Controls v8 dedica controles específicos à gestão de contas e controle de acesso baseado em necessidade de negócio. Já o MITRE ATT&CK v14 fornece visão ofensiva, permitindo mapear técnicas que exploram identidades.
A tabela a seguir resume convergências:
| Framework | Foco em IAM | Aplicação Prática |
|---|---|---|
| NIST CSF 2.0 | Governança e Controle de Acesso | Definição de papéis e monitoramento contínuo |
| ISO 27001:2022 | Controles formais auditáveis | Políticas documentadas e evidências |
| CIS Controls v8 | Implementação técnica prioritária | Inventário e hardening de contas |
| MITRE ATT&CK v14 | Perspectiva do atacante | Simulação e testes de intrusão |
| LGPD | Obrigação legal | Mitigação de risco regulatório |
Diagnóstico de Maturidade em IAM: Modelo em 5 Níveis
A maturidade em IAM pode ser estruturada em cinco níveis progressivos. No nível inicial, controles são reativos, com gestão manual de usuários e ausência de MFA obrigatório. No nível intermediário, há integração com diretório centralizado, porém sem automação robusta de ciclo de vida.
No nível avançado, a organização implementa autenticação multifator adaptativa, revisão periódica de acessos e segregação de funções formalizada. No nível otimizado, integra analytics comportamental, detecção baseada em risco e governança contínua alinhada ao NIST CSF 2.0.
| Nível | Características | Risco Residual |
|---|---|---|
| 1 - Inicial | Contas locais e sem MFA | Muito Alto |
| 2 - Básico | Diretório centralizado | Alto |
| 3 - Definido | MFA obrigatório e revisão anual | Moderado |
| 4 - Gerenciado | PAM e revisões trimestrais | Baixo |
| 5 - Otimizado | Zero Trust e monitoramento comportamental | Muito Baixo |
Autenticação Multifator (MFA) Além do Óbvio
O DBIR 2024 reforça que MFA reduz drasticamente ataques baseados em credenciais, mas não elimina risco quando mal implementado. Métodos baseados apenas em SMS são vulneráveis a SIM swap. O NIST SP 800-63 recomenda fatores resistentes a phishing, como FIDO2.
Empresas brasileiras frequentemente adotam MFA apenas para VPN, deixando aplicações SaaS críticas desprotegidas. Essa abordagem parcial cria ilusão de segurança. O ideal é política unificada com enforcement central.
Aviso de segurança: MFA mal configurado pode ser contornado por técnicas como adversary-in-the-middle, especialmente sem proteção contra phishing.
Princípio de Menor Privilégio e Segregação de Funções
O princípio de menor privilégio é fundamental para reduzir impacto de contas comprometidas. A ISO 27001:2022 reforça que acessos devem ser concedidos conforme necessidade de negócio e revisados regularmente. Em auditorias no Brasil, é comum identificar usuários com perfil administrador local em estações de trabalho.
A segregação de funções é especialmente crítica em setores regulados como financeiro e saúde. A ausência de SoD aumenta risco de fraude interna e violações.
O MITRE ATT&CK demonstra como contas privilegiadas facilitam movimentação lateral. Implementar Privileged Access Management (PAM) reduz significativamente essa superfície.
IAM e LGPD: Risco Regulatório Real
A ANPD já aplicou sanções públicas por falhas de segurança envolvendo dados pessoais. Embora nem todas as decisões detalhem controles técnicos, a ausência de mecanismos adequados de controle de acesso pode caracterizar descumprimento do Art. 46 da LGPD.
O custo de não conformidade inclui multas de até 2% do faturamento limitado a R$ 50 milhões por infração, além de danos reputacionais.
Dica prática: Documentar evidências de revisões de acesso é tão importante quanto implementar o controle.
Integração com SOC 24x7 e Monitoramento Contínuo
IAM isolado não é suficiente. Logs de autenticação devem alimentar SIEM e SOAR para detecção de anomalias. O NIST CSF 2.0 enfatiza monitoramento contínuo como função central.
Casos de ransomware no Brasil mostram que alertas de login suspeito foram ignorados por falta de correlação adequada. Integração com SOC 24x7 reduz tempo de resposta.
Para uma avaliação personalizada, acesse o Intelligence Center da Decripte
Indicadores de Risco e KPIs de IAM
Mensurar maturidade exige indicadores claros. Exemplos incluem percentual de contas com MFA habilitado, tempo médio de revogação após desligamento e número de contas privilegiadas por área.
| Indicador | Benchmark Recomendado |
|---|---|
| MFA habilitado | > 98% |
| Revogação pós-desligamento | < 24h |
| Revisão de acessos | Trimestral |
| Contas admin locais | Zero ou justificadas |
Estudos de Caso no Brasil
Incidentes amplamente divulgados na mídia envolvendo varejistas e empresas de tecnologia evidenciaram exploração de credenciais internas. Em muitos casos, relatórios públicos apontaram acesso indevido a bases de dados por meio de contas com privilégios excessivos.
Embora detalhes técnicos completos raramente sejam públicos, análises de especialistas indicam que ausência de MFA universal e falhas de monitoramento foram fatores críticos.
Esses casos reforçam que IAM é vetor primário de risco corporativo.
Roadmap de Implementação em 12 Meses
Um roadmap eficaz inicia com assessment baseado em NIST CSF 2.0 e ISO 27001:2022. Em seguida, consolida diretório central, implementa MFA resistente a phishing e estabelece revisão de acessos trimestral.
A fase seguinte inclui PAM, automação de ciclo de vida e integração com SOC. Por fim, evolui para modelo Zero Trust.
O Caminho para a Maturidade em Gestão de Identidade e Acesso
A maturidade em IAM não é projeto pontual, mas programa contínuo. Dados do DBIR 2024 e IBM X-Force 2024 confirmam que identidades permanecem principal vetor de ataque. No Brasil, a pressão regulatória da LGPD intensifica necessidade de governança estruturada.
Organizações que alinham IAM a frameworks reconhecidos reduzem risco operacional, financeiro e reputacional. A integração entre tecnologia, processo e cultura é determinante para evolução sustentável.
Conheça nossos planos de proteção completos — SOC 24x7, Pentest, Resposta a Incidentes e LGPD