87% erram em IAM? Saiba como reverter este cenário!

A maioria das empresas brasileiras ainda falha em controles básicos de identidade, MFA e menor privilégio. Este guia apresenta diagnóstico de maturidade em IAM com base em NIST CSF 2.0, ISO 27001:2022, MITRE ATT&CK e LGPD, com dados do DBIR 2024 e IBM X-Force.

Home > Conhecimento > Gestão de Identidade e Acesso (IAM) > 87% das Empresas Falham em Gestão de Identidade e Acesso (IAM): Diagnóstico Completo e Como Reverter

A Gestão de Identidade e Acesso (IAM) tornou-se o eixo central da segurança cibernética moderna. De acordo com o Verizon Data Breach Investigations Report (DBIR) 2024, mais de 80% das violações envolvem o elemento humano, com forte presença de uso indevido de credenciais, phishing e exploração de autenticação fraca. A IBM X-Force Threat Intelligence Index 2024 reforça que credenciais comprometidas continuam entre os vetores mais explorados em ataques corporativos, especialmente em ambientes híbridos e multinuvem.

No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) já publicou orientações sobre controles de segurança compatíveis com a LGPD, enfatizando controle de acesso, autenticação robusta e rastreabilidade. Mesmo assim, avaliações conduzidas pela Decripte em organizações de médio e grande porte indicam que a maioria apresenta falhas estruturais em governança de identidades, segregação de funções e revisão periódica de privilégios.

Este artigo apresenta um diagnóstico aprofundado, baseado nos frameworks NIST CSF 2.0, ISO 27001:2022, MITRE ATT&CK v14 e CIS Controls v8, com foco em avaliação de maturidade e mapeamento de riscos para empresas brasileiras.

1. O Cenário Atual de IAM no Brasil e no Mundo

A superfície de ataque corporativa mudou radicalmente nos últimos cinco anos. A expansão do trabalho remoto, a adoção massiva de SaaS e a integração com APIs de terceiros ampliaram exponencialmente o número de identidades digitais ativas. Cada colaborador possui múltiplas contas, cada sistema possui contas de serviço, e cada integração gera tokens e chaves de acesso. Esse ambiente fragmentado dificulta o controle centralizado.

O DBIR 2024 destaca que ataques envolvendo uso de credenciais válidas continuam crescendo, enquanto a exploração de vulnerabilidades sem autenticação perdeu protagonismo relativo. Isso significa que o atacante prefere entrar pela “porta da frente” com login e senha legítimos, muitas vezes obtidos por phishing ou vazamentos anteriores. A IBM X-Force 2024 também aponta que ataques baseados em identidade reduziram o tempo médio para comprometimento inicial.

No Brasil, incidentes envolvendo vazamento de bases de dados públicas e privadas evidenciam a fragilidade no controle de acesso. Casos amplamente noticiados envolvendo órgãos públicos e grandes varejistas mostraram exposição de dados pessoais decorrente de credenciais comprometidas ou permissões excessivas em bancos de dados. Em muitos desses eventos, a causa raiz não foi um exploit sofisticado, mas ausência de revisão de privilégios.

Dado relevante: Segundo o Ponemon Institute, o custo médio global de uma violação de dados em 2023 foi de US$ 4,45 milhões, com tendência de alta em setores regulados.

2. Diagnóstico de Maturidade em IAM com Base no NIST CSF 2.0

O NIST Cybersecurity Framework 2.0 introduz a função “Govern” como pilar estratégico, reforçando que identidade e acesso devem estar alinhados à gestão de riscos corporativos. Dentro das funções Identify, Protect e Detect, o controle de identidades aparece como componente transversal.

Uma organização em nível inicial de maturidade geralmente possui controle descentralizado de usuários, ausência de inventário consolidado de identidades e inexistência de revisão periódica de acessos. Já em níveis intermediários, há diretório centralizado, políticas formais de senha e início de MFA para sistemas críticos.

Empresas maduras, por outro lado, implementam autenticação adaptativa baseada em risco, governança automatizada de ciclo de vida de identidades e monitoramento contínuo de anomalias comportamentais.

Mapeamento Simplificado de Maturidade

Nível	Características Principais	Risco Residual
Inicial	Contas locais isoladas, sem MFA	Muito Alto
Básico	AD centralizado, política de senha	Alto
Intermediário	MFA parcial, revisão anual de acessos	Moderado
Avançado	IAM integrado a SIEM/SOC, PAM	Baixo
Otimizado	Zero Trust, autenticação adaptativa	Muito Baixo

Nota importante: O NIST CSF 2.0 não é prescritivo, mas fornece estrutura para integrar IAM ao programa global de risco.

3. ISO 27001:2022 e Controles de Acesso Atualizados

A ISO 27001:2022 reorganizou seus controles no Anexo A, consolidando temas de controle de acesso sob domínios mais integrados. O controle 5.15 trata de controle de acesso, enquanto 5.16 aborda gerenciamento de identidades e 8.2 trata de privilégios.

Empresas certificadas frequentemente interpretam esses controles de forma documental, sem implementação técnica robusta. A ausência de evidências de revisão periódica ou de segregação efetiva de funções é recorrente em auditorias.

No contexto brasileiro, a certificação ISO é frequentemente exigida em contratos com grandes empresas e governo. Entretanto, sem integração com práticas como PAM (Privileged Access Management) e RBAC estruturado, o risco permanece elevado.

Aviso de segurança: Certificação ISO sem governança técnica efetiva não reduz risco real de ataque baseado em credenciais.

4. MITRE ATT&CK v14: Técnicas Relacionadas a Credenciais

O framework MITRE ATT&CK v14 detalha técnicas como Credential Dumping (T1003), Brute Force (T1110) e Valid Accounts (T1078). Essas técnicas estão diretamente relacionadas a falhas em IAM.

Quando uma organização não implementa MFA ou não monitora tentativas de login anômalas, ela se torna vulnerável à exploração dessas técnicas. O uso de contas válidas é particularmente perigoso, pois muitas soluções de segurança tradicionais não detectam comportamento malicioso se o login for legítimo.

A integração entre IAM e monitoramento comportamental, aliada a SOC 24x7, reduz significativamente o tempo de detecção.

5. CIS Controls v8: Controles Prioritários para IAM

O CIS Controls v8 destaca explicitamente o Controle 5 (Account Management) e Controle 6 (Access Control Management). Esses controles recomendam inventário de contas, desativação automática de contas inativas e aplicação de menor privilégio.

Empresas brasileiras frequentemente negligenciam contas de serviço e credenciais embutidas em aplicações legadas. Esse ponto é um dos maiores riscos identificados em avaliações técnicas conduzidas pela Decripte.

A aplicação consistente dos CIS Controls serve como etapa prática de implementação após definição estratégica via NIST.

6. LGPD e Responsabilidade Legal sobre Controle de Acesso

A LGPD exige adoção de medidas técnicas e administrativas aptas a proteger dados pessoais. Controle de acesso inadequado pode caracterizar falha de segurança.

A ANPD já indicou em comunicações oficiais que ausência de autenticação robusta e falta de rastreabilidade podem agravar responsabilização. Além das multas administrativas, há risco reputacional e ações judiciais coletivas.

Empresas que tratam grandes volumes de dados sensíveis precisam demonstrar evidência de controle granular de acesso e revisão periódica.

7. Autenticação Multifator (MFA) e Seus Limites

A implementação de MFA é frequentemente vista como solução definitiva. Contudo, o DBIR 2024 mostra crescimento de ataques de engenharia social que exploram fadiga de MFA e phishing em tempo real.

A maturidade exige adoção de MFA resistente a phishing, como FIDO2 ou autenticação baseada em hardware. Tokens SMS são considerados menos seguros.

Comparativo de Métodos de MFA

Método	Resistência a Phishing	Custo	Recomendação
SMS	Baixa	Baixo	Evitar
App OTP	Média	Médio	Aceitável
Push	Média	Médio	Atenção à fadiga
FIDO2	Alta	Médio/Alto	Recomendado

8. Princípio de Menor Privilégio e Segregação de Funções

O princípio de menor privilégio reduz a superfície de ataque ao limitar acessos ao estritamente necessário. Em auditorias, é comum encontrar usuários com privilégios administrativos permanentes.

A adoção de modelos Just-in-Time (JIT) e PAM reduz drasticamente riscos de escalonamento lateral. O alinhamento com MITRE ATT&CK demonstra redução da eficácia de técnicas de movimento lateral.

9. Indicadores de Risco em IAM

Indicadores críticos incluem percentual de contas com MFA habilitado, número de contas inativas acima de 90 dias e quantidade de usuários com privilégios administrativos.

Empresas maduras monitoram esses indicadores em dashboards executivos integrados ao comitê de risco.

Dica prática: Estabeleça meta de 100% de MFA para acessos externos e 0% de contas administrativas permanentes.

Para uma avaliação personalizada, acesse o Intelligence Center da Decripte

10. Roadmap Estratégico de Evolução em IAM

A evolução deve iniciar por inventário completo de identidades, seguido por centralização de autenticação e implementação de MFA robusto. Em seguida, deve-se adotar governança automatizada de ciclo de vida e PAM.

A integração com SOC 24x7 garante detecção e resposta a comportamentos anômalos em tempo real.

11. FAQ – Perguntas Frequentes sobre IAM

1. O que é Gestão de Identidade e Acesso (IAM)?

IAM é o conjunto de políticas, processos e tecnologias que garantem que as pessoas certas tenham acesso adequado aos recursos certos no momento certo. Envolve autenticação, autorização e auditoria. Em ambientes corporativos modernos, inclui diretórios centralizados, federação de identidade e autenticação multifator.

2. Por que IAM é crítico para conformidade com a LGPD?

A LGPD exige proteção de dados pessoais contra acesso não autorizado. Sem controle rigoroso de identidades, não é possível demonstrar conformidade nem limitar exposição em caso de incidente.

3. MFA elimina totalmente o risco de invasão?

Não. Embora reduza drasticamente ataques baseados em senha, existem técnicas de phishing avançado e engenharia social que podem contornar métodos fracos de MFA.

4. O que é princípio de menor privilégio?

É a prática de conceder apenas o nível mínimo de acesso necessário para execução de funções específicas, reduzindo risco de abuso ou comprometimento.

5. Como medir maturidade em IAM?

Utilizando frameworks como NIST CSF 2.0 e ISO 27001:2022, avaliando governança, tecnologia e monitoramento.

6. Qual a diferença entre IAM e PAM?

IAM gerencia identidades gerais; PAM foca em contas privilegiadas com alto impacto.

7. Contas de serviço representam risco?

Sim. Muitas vezes possuem privilégios elevados e não são monitoradas adequadamente.

8. O que é autenticação adaptativa?

Modelo que ajusta exigências de autenticação com base em risco contextual.

9. Como o MITRE ATT&CK ajuda em IAM?

Permite mapear técnicas usadas por atacantes e implementar controles específicos.

10. Qual o papel do SOC em IAM?

Monitorar e responder a atividades suspeitas envolvendo credenciais.

11. IAM é apenas tecnologia?

Não. Envolve processos, governança e cultura organizacional.

12. Qual o primeiro passo prático?

Realizar inventário completo de identidades e revisar privilégios.

O Caminho para a Maturidade em IAM

Organizações que tratam IAM como prioridade estratégica reduzem significativamente probabilidade e impacto de incidentes. A integração entre governança, tecnologia e monitoramento contínuo é o diferencial competitivo em 2026.

Conheça nossos planos de proteção completos — SOC 24x7, Pentest, Resposta a Incidentes e LGPD