Home > Conhecimento > Gestão de Identidade e Acesso (IAM) > 87% das Empresas Falham em Gestão de Identidade e Acesso (IAM): Diagnóstico Completo e Como Reverter
A Gestão de Identidade e Acesso (IAM) tornou-se o epicentro da cibersegurança moderna. Segundo o Verizon Data Breach Investigations Report (DBIR) 2024, o uso de credenciais comprometidas continua entre os vetores de acesso inicial mais explorados globalmente, ao lado de phishing e exploração de vulnerabilidades. O IBM X-Force Threat Intelligence Index 2024 reforça que ataques baseados em identidade, incluindo abuso de contas válidas e engenharia social, permanecem predominantes em ambientes corporativos híbridos e em nuvem.
No Brasil, a expansão acelerada de ambientes SaaS, trabalho remoto e integrações via APIs aumentou exponencialmente a superfície de ataque. A maioria das organizações ainda opera com privilégios excessivos, autenticação frágil e ausência de governança contínua de identidades. Esse cenário explica por que estimativas de mercado e auditorias internas indicam que até 87% das empresas apresentam falhas críticas de maturidade em IAM, seja por ausência de MFA abrangente, seja por falhas no controle de acessos privilegiados.
Este guia foi desenvolvido para oferecer uma visão completa, estratégica e técnica sobre IAM, alinhando NIST CSF 2.0, ISO 27001:2022, CIS Controls v8, MITRE ATT&CK v14 e LGPD à realidade brasileira.
O Cenário Atual de Ameaças Baseadas em Identidade no Brasil
A digitalização acelerada da economia brasileira trouxe ganhos de produtividade, mas também ampliou drasticamente o risco associado a identidades digitais. O Verizon DBIR 2024 destaca que o comprometimento de credenciais continua sendo um dos principais caminhos de invasão. Em ambientes corporativos nacionais, observamos crescimento consistente de ataques de phishing direcionado, BEC (Business Email Compromise) e exploração de tokens de sessão.
O IBM X-Force 2024 aponta que ataques envolvendo abuso de contas válidas representam parcela significativa das intrusões investigadas. Isso ocorre porque, uma vez autenticado com credenciais legítimas, o atacante contorna muitos controles tradicionais de segurança perimetral. No contexto brasileiro, setores como financeiro, saúde, educação e varejo digital são particularmente visados devido ao volume de dados pessoais sensíveis tratados.
Dado relevante: O custo médio global de uma violação de dados, segundo o IBM Cost of a Data Breach Report 2024, ultrapassa US$ 4 milhões. No Brasil, o valor médio é inferior ao global, mas ainda representa impacto multimilionário considerando multas, resposta a incidentes e perda reputacional.
A ANPD tem reforçado a necessidade de controles técnicos e administrativos adequados à proteção de dados pessoais, conforme previsto na LGPD. Falhas em IAM frequentemente configuram descumprimento do princípio da segurança e da prevenção.
O Que é Gestão de Identidade e Acesso (IAM) na Prática
IAM não se limita a criar usuários e senhas. Trata-se de um conjunto estruturado de políticas, processos e tecnologias voltadas a garantir que as pessoas certas tenham o acesso certo, no momento certo e pelo motivo certo. Isso inclui autenticação, autorização, governança de acessos e monitoramento contínuo.
Do ponto de vista técnico, IAM envolve diretórios de identidade, provedores de autenticação (IdP), federação de identidade, Single Sign-On (SSO), autenticação multifator (MFA) e controles de privilégio. Em ambientes modernos, integra-se com soluções de PAM (Privileged Access Management), CIEM (Cloud Infrastructure Entitlement Management) e IGA (Identity Governance and Administration).
Sob a ótica estratégica, IAM está diretamente conectado ao domínio “Protect” do NIST CSF 2.0 e aos controles de acesso da ISO 27001:2022, especialmente os relacionados a gestão de privilégios, autenticação forte e revisão periódica de acessos.
Nota importante: IAM é um programa contínuo, não um projeto pontual. Sem governança e revisão recorrente, privilégios se acumulam e criam riscos latentes.
Princípio de Menor Privilégio e Zero Trust
O princípio de menor privilégio determina que cada usuário, sistema ou serviço deve possuir apenas as permissões estritamente necessárias para desempenhar suas funções. Na prática, muitas empresas brasileiras concedem acesso amplo “por conveniência”, especialmente em áreas administrativas e de TI.
O modelo Zero Trust, amplamente promovido pelo NIST e por relatórios da Gartner, parte do pressuposto de que nenhuma identidade é confiável por padrão, mesmo dentro da rede corporativa. Cada solicitação de acesso deve ser verificada continuamente com base em contexto, risco e postura do dispositivo.
No framework MITRE ATT&CK v14, técnicas como “Valid Accounts” demonstram como invasores exploram credenciais legítimas para movimentação lateral e escalonamento de privilégios. A ausência de segmentação e de restrição de privilégios facilita esse avanço silencioso.
Aviso de segurança: Contas administrativas compartilhadas ou sem MFA representam um dos maiores riscos de comprometimento total do ambiente.
Autenticação Multifator (MFA) e Suas Variações
A autenticação multifator é um dos controles mais eficazes para reduzir risco de acesso não autorizado. Ela combina ao menos dois fatores entre algo que o usuário sabe (senha), algo que possui (token) e algo que é (biometria).
Relatórios do DBIR 2024 indicam que organizações com MFA implementado de forma abrangente apresentam redução significativa de comprometimentos baseados em senha. No entanto, ataques de fadiga de MFA e engenharia social avançada têm explorado implementações mal configuradas.
É fundamental adotar MFA resistente a phishing, como FIDO2 e chaves de segurança baseadas em hardware. Métodos baseados apenas em SMS são considerados menos robustos devido a riscos de SIM swap.
| Método de MFA | Nível de Segurança | Risco de Phishing | Recomendação |
|---|---|---|---|
| SMS OTP | Médio | Alto | Uso temporário |
| App autenticador (TOTP) | Alto | Médio | Recomendado |
| Push notification | Alto | Médio | Com proteção anti-fadiga |
| FIDO2 / WebAuthn | Muito Alto | Muito Baixo | Ideal para contas críticas |
IAM e Conformidade com LGPD
A LGPD exige adoção de medidas técnicas e administrativas aptas a proteger dados pessoais. O controle de acesso é elemento central para atender aos princípios da necessidade, segurança e prevenção.
A ANPD já sinalizou, em orientações públicas, que falhas de controle de acesso podem caracterizar negligência organizacional. Vazamentos decorrentes de credenciais expostas ou acessos indevidos podem resultar em sanções administrativas.
A ISO 27001:2022 reforça requisitos de controle de acesso, gestão de identidade e revisão periódica de privilégios. Empresas certificadas tendem a apresentar maior maturidade em IAM.
Dica prática: Documente formalmente políticas de concessão, revisão e revogação de acessos para demonstrar diligência regulatória.
Frameworks Essenciais Aplicados ao IAM
O NIST CSF 2.0 integra governança como função central, exigindo definição clara de responsabilidades sobre identidades. Já o CIS Controls v8 dedica controles específicos à gestão de contas e autenticação.
O MITRE ATT&CK auxilia na compreensão de técnicas ofensivas relacionadas a credenciais. Mapear controles de IAM às técnicas mais exploradas permite priorização baseada em risco real.
| Framework | Foco em IAM | Aplicação Prática |
|---|---|---|
| NIST CSF 2.0 | Governança e Proteção | Estrutura estratégica |
| ISO 27001:2022 | Controles auditáveis | Conformidade formal |
| CIS Controls v8 | Controles técnicos | Implementação operacional |
| MITRE ATT&CK v14 | Técnicas ofensivas | Testes e detecção |
Erros Comuns em Empresas Brasileiras
Muitas organizações mantêm contas de ex-funcionários ativas por semanas ou meses. Outras não realizam revisão periódica de acessos privilegiados. Em ambientes SaaS, o crescimento descontrolado de permissões é recorrente.
A falta de integração entre RH e TI compromete processos de admissão e desligamento. Além disso, inexistem métricas claras para monitorar privilégio excessivo.
Aviso de segurança: A ausência de processo formal de offboarding é uma das causas mais frequentes de incidentes internos.
IAM em Ambientes de Nuvem e SaaS
Ambientes AWS, Azure e Google Cloud introduzem modelos complexos de permissões. Ferramentas de CIEM tornam-se essenciais para visibilidade de privilégios excessivos.
Aplicações SaaS frequentemente operam fora do radar da TI tradicional. Shadow IT aumenta risco de dados expostos sem governança adequada.
O monitoramento contínuo de atividades suspeitas deve integrar o SOC 24x7 para rápida contenção.
Para uma avaliação personalizada, acesse o Intelligence Center da Decripte
Indicadores de Maturidade em IAM
Avaliar maturidade exige métricas claras: percentual de contas com MFA habilitado, tempo médio de revogação de acesso após desligamento e número de contas privilegiadas.
Empresas maduras mantêm revisão trimestral de acessos críticos e segregação de funções formalizada.
| Indicador | Nível Inicial | Nível Maduro |
|---|---|---|
| MFA em contas críticas | <50% | >95% |
| Revisão de acessos | Anual ou inexistente | Trimestral |
| Contas privilegiadas | Não mapeadas | Inventário atualizado |
IAM e Resposta a Incidentes
Durante incidentes, o controle de identidade é decisivo para contenção. Revogação rápida de tokens e redefinição de credenciais limitam movimentação lateral.
Integração entre IAM e SIEM/SOC permite detectar comportamentos anômalos, como login simultâneo em regiões distintas.
A abordagem deve incluir playbooks específicos para comprometimento de credenciais.
O Caminho para a Maturidade em Gestão de Identidade e Acesso
A evolução em IAM exige comprometimento executivo, orçamento adequado e integração entre áreas de TI, segurança e compliance. Não se trata apenas de tecnologia, mas de governança corporativa.
Organizações que alinham IAM a frameworks reconhecidos reduzem significativamente risco operacional e regulatório. A maturidade se constrói com métricas, auditorias internas e melhoria contínua.
Conheça nossos planos de proteção completos — SOC 24x7, Pentest, Resposta a Incidentes e LGPD