Quando pensamos em gestão de identidade e analisamos ataques recentes de grande impacto, como os casos brasileiros que resultaram em prejuízos superiores a R$ 541 milhões, encontramos um denominador comum: todos começaram com o comprometimento de credenciais.
Credenciais legítimas em mãos erradas são invisíveis para qualquer sistema de monitoramento tradicional. Por que isso acontece? Porque, mesmo investindo pesado em detecção e monitoramento, as empresas criam ecossistemas onde a confiança é herdada, e não validada. Sistemas que carregam privilégios muitas vezes não mapeados. E o que vimos em julho deste ano, em que este grande ataque ocorreu, é o reflexo direto de como arquitetamos confiança em ambientes híbridos: delegamos autoridade sem delegar responsabilidade.
O Panorama de Segurança de Identidade de 2025 da CyberArk que ouviu 2.600 tomadores de decisão em segurança em 20 países, revela dados que redefinem a compreensão sobre o problema:
- As identidades de máquinas agora superam as identidades humanas em mais de 80 para 1;
- 9 em cada 10 organizações relataram pelo menos uma violação de segurança bem-sucedida centrada na identidade;
- E aqui está o ponto crítico: apenas nas três principais plataformas de nuvem existem mais de 40 mil privilégios distintos. Imagine gerenciar essa complexidade sem visibilidade completa – que é exatamente o que 49% dos líderes admitem enfrentar.
Credenciais fora de controle?
Nas três principais plataformas de nuvem existem hoje mais de mil privilégios distintos. Essa complexidade exponencial transforma a gestão de identidades de um processo linear em um labirinto multidimensional. Para muitos CISOs, a pergunta deixou de ser “como implementar Zero Trust” para “como operacionalizar confiança zero em contextos em que minha operação depende de confiança herdada”.
A realidade corporativa apresenta contradições aparentemente insolúveis. Ainda segundo a CyberArk, 65% dos funcionários admitem ignorar políticas de segurança em nome da produtividade. Trinta e seis por cento utilizam a mesma senha para contas pessoais e corporativas. Um terço dos colaboradores afirma poder alterar dados sensíveis ou críticos.
Esses números não representam falhas isoladas de compliance, mas sintomas de um desalinhamento fundamental entre arquitetura de segurança e realidade operacional.
Revisando arquiteturas herdadas
Organizações que cresceram organicamente ao longo de décadas carregam o peso de sistemas legados que nunca foram projetados com Zero Trust em mente. A transição de modelos baseados em perímetros para arquiteturas centradas em identidade exige mudanças culturais e tecnológicas simultâneas.
Zero Trust não significa ausência de confiança, mas verificação contínua a cada acesso, a cada tentativa de conectividade. Implementar esse conceito em ambientes com aplicações e redes herdadas representa uma transformação arquitetural completa, não apenas uma atualização de ferramentas.
A conscientização organizacional é um fator crítico. Controles de segurança relacionados à gestão de privilégio necessitam alinhamento entre áreas de negócio desde a concepção. Sem esse acordo inicial, qualquer implementação técnica enfrenta resistência operacional que compromete sua eficácia.
Automatização é a solução?
Automatização eficaz transcende a simples criação e remoção de usuários. Envolve auditoria contínua entre bases de dados de identidade e aplicações reais, garantindo que permissões concedidas correspondam exatamente às permissões ativas. Discrepâncias nesse controle representam vulnerabilidades diretas.
A implementação de Security by Design exige colaboração entre segurança, donos de aplicação e áreas de negócio para desenhar processos e fluxos antes da concessão de permissões. Esse trabalho estabelece fundamentos para gestão sustentável de privilégios.
Gestão de terceiros e a ampliação dos riscos
Em gestão de identidades, terceiros representam amplificadores de vulnerabilidade. Organizações frequentemente concedem acessos privilegiados a parceiros sem visibilidade completa sobre suas práticas internas de segurança. Casos reais demonstram situações em que 100% dos usuários de uma empresa terceirizada utilizavam credenciais idênticas, criando pontos únicos de falha.
A estratégia mais eficaz combina controle de origem e destino nas conectividades, utilizando a infraestrutura do próprio terceiro como camada adicional de verificação. Essa abordagem distribui responsabilidade e cria múltiplas barreiras para potenciais atacantes.
Transformações para 2026 em gestão de identidade
Três mudanças fundamentais definem o futuro próximo da gestão de acesso privilegiado.
Primeiro, a eliminação completa de privilégios permanentes em contas comuns, substituídos por sistemas de solicitação com aprovação e janelas temporais específicas para cada ação.
Segundo, a adoção massiva de arquiteturas sem senhas. Se credenciais representam o principal vetor de ataque, a lógica indica sua eliminação como solução mais direta. Tecnologias atuais já permitem autenticação automatizada sem exposição de senhas aos usuários finais.
Terceiro, o compartilhamento obrigatório de autorizações críticas. Decisões que impactam infraestruturas essenciais não podem depender de aprovação unilateral, independentemente da hierarquia organizacional. Esse modelo distribui responsabilidade e reduz riscos de comprometimento interno.
Cultura de segurança além das políticas
Treinamentos que conectam segurança corporativa com proteção pessoal geram engajamento genuíno. Quando funcionários compreendem como práticas seguras protegem seus próprios dispositivos e informações pessoais, a adoção corporativa acontece naturalmente.
A transformação cultural demanda patrocínio executivo consistente. Segurança não pode ser percebida como obstáculo à produtividade, mas como habilitador de crescimento sustentável.
Conclusão sobre a gestão de identidades hoje
A pergunta que todo executivo enfrentará após o próximo grande ataque será direta: “estamos seguros contra métodos similares?”. A resposta honesta exige avaliação crítica de três pilares fundamentais em gestão de identidades: proteção contra phishing, controle rigoroso de credenciais e gestão granular de acessos privilegiados.
Organizações que tratam gestão de identidade como responsabilidade exclusiva de TI subestimam a magnitude do desafio. CISOs precisam reconhecer que identidade representa questão estratégica corporativa, demandando envolvimento de compliance, controles internos e liderança executiva.
O futuro da segurança corporativa será definido pela capacidade de transformar complexidade técnica em clareza operacional, estabelecendo fundamentos sólidos para crescimento digital sustentável.
