Gestão de Identidade e Acesso (IAM)

Em qualquer organização com sistemas digitais, existe uma pergunta que precisa ser respondida a cada interação: quem é essa pessoa, o que ela pode fazer e o que ela não pode acessar? Responder essa pergunta de forma consistente, auditável e segura — para dezenas de colaboradores, centenas de aplicações e milhares de recursos — é o problema que IAM resolve.

IAM (Identity and Access Management) é o conjunto de políticas, processos e tecnologias que gerencia identidades digitais e controla o acesso a recursos. Quem pode entrar no sistema de folha de pagamento. Quem pode aprovar compras acima de determinado valor. Quem pode modificar registros de clientes. Quem pode acessar o banco de dados de produção. Essas decisões precisam ser implementadas de forma consistente, mantidas atualizadas e rastreáveis.

Quando IAM falha — por ausência, por gestão manual inadequada ou por configuração incorreta — o resultado são acessos excessivos que aumentam o raio de dano de qualquer comprometimento, contas de ex-colaboradores que permanecem ativas, e ausência de trilha de auditoria quando algo dá errado.

IAM opera em duas dimensões que precisam ser claramente distintas.

Autenticação responde: quem é você? É o processo de verificar que a pessoa é quem diz ser. Pode ser feita por senha, por MFA, por certificado digital, por biometria ou por combinação desses fatores. O resultado da autenticação é uma identidade verificada.

Autorização responde: o que você pode fazer? Dado que a identidade foi verificada, quais recursos e ações estão permitidos? A autorização é o que determina que o analista financeiro pode ver relatórios mas não pode aprovar pagamentos, ou que o desenvolvedor pode acessar o ambiente de staging mas não o banco de dados de produção.

Confundir os dois cria problemas clássicos: sistemas que autenticam bem mas autorizam mal (qualquer usuário autenticado vê tudo), ou sistemas que autorizam bem mas autenticam mal (acesso baseado apenas em senha fraca).

RBAC (Role-Based Access Control): o modelo mais comum. Permissões são associadas a papéis (roles), e usuários recebem papéis. "Administrador de TI" tem acesso a X, Y e Z. "Analista financeiro" tem acesso a A e B. Quando um usuário assume uma função, recebe o papel correspondente. Quando muda de função, o papel é trocado. Simples de gerenciar em organizações com funções bem definidas.

ABAC (Attribute-Based Access Control): acesso determinado por atributos do usuário, do recurso e do contexto. "Gerentes da região Sul podem ver dados de clientes da região Sul durante horário comercial." Mais flexível e expressivo que RBAC, mas mais complexo de implementar e auditar.

PBAC (Policy-Based Access Control): variação do ABAC onde políticas explícitas definem as regras de acesso. Usado em sistemas de cloud (AWS IAM Policies, por exemplo) onde as políticas são escritas em formato estruturado e podem ser versionadas e auditadas.

DAC (Discretionary Access Control): o dono do recurso decide quem tem acesso. É como arquivos e pastas funcionam em sistemas operacionais — quem cria o arquivo decide quem pode ler, escrever ou executar. Flexível, mas difícil de gerenciar em escala corporativa.

Identity Provider (IdP): o repositório central de identidades. É onde as contas de usuário existem, onde senhas são armazenadas (de forma segura) e onde a autenticação acontece. Active Directory (Microsoft) e LDAP são os IdPs tradicionais de ambiente on-premise. Okta, Azure AD (Entra ID), Google Workspace e AWS Cognito são soluções modernas em nuvem.

Single Sign-On (SSO): permite que o usuário autentique uma vez no IdP e acesse múltiplas aplicações sem precisar fazer login novamente. O usuário autentica no Okta, e então acessa Salesforce, Jira, Slack e qualquer outra aplicação integrada sem nova senha. SSO melhora a experiência do usuário e facilita a revogação de acesso — quando um colaborador sai, desativar a conta no IdP revoga acesso a todas as aplicações integradas de uma vez.

Federação de identidade: permite que identidades de um domínio (empresa A) sejam reconhecidas por sistemas de outro domínio (empresa B ou provedor de nuvem) sem criar contas duplicadas. Protocolos como SAML, OAuth 2.0 e OpenID Connect são o padrão técnico para isso.

Provisionamento e desprovisionamento automático (SCIM): sincronização automática de identidades entre o IdP e as aplicações. Quando um colaborador é admitido no sistema de RH, sua conta é automaticamente criada nas aplicações relevantes com os acessos corretos. Quando sai, as contas são desativadas automaticamente. Elimina o processo manual de "abrir chamado para criar acessos" e o risco de contas de ex-colaboradores ativas.

PAM (Privileged Access Management): gestão específica de contas privilegiadas — administradores de sistema, DBAs, acesso root. Contas com privilégios elevados são as mais valiosas para um atacante. PAM adiciona controles extras: senhas rotacionadas automaticamente, sessões gravadas, aprovação antes do acesso, time-limited access.

Acesso permanente onde temporário bastaria: um fornecedor que precisava de acesso por dois dias tem conta ativa seis meses depois. Um projeto que exigia acesso a determinado sistema terminou, mas o acesso permanece. "Least privilege" não é só sobre o nível de acesso, é também sobre a duração.

Sem processo de revisão periódica: acessos que eram corretos há seis meses podem não ser mais. Revisão de acessos (access review) — processo periódico onde gestores confirmam que seus liderados ainda precisam dos acessos que têm — é prática fundamental que muitas organizações não têm.

Contas compartilhadas: múltiplas pessoas usando a mesma conta para acessar um sistema. Elimina a trilha de auditoria — quando algo dá errado, não há como saber quem fez o quê. Cada pessoa deve ter sua própria conta.

Proliferação de contas locais: cada aplicação com sua própria gestão de usuários, sem integração com o IdP central. Quando alguém sai, é necessário desativar manualmente em cada sistema — e frequentemente alguns ficam para trás.

IAM é frequentemente tratado como problema técnico de TI, mas tem implicações diretas de governança e segurança que merecem atenção de liderança. Controlar quem acessa o quê é requisito básico para auditorias financeiras, conformidade com LGPD e qualquer certificação de segurança — e é o tipo de controle que, quando ausente, torna impossível responder perguntas simples como "quem tinha acesso a esses dados quando o incidente ocorreu?"

Para PMEs, a adoção de SSO com MFA — mesmo em versão básica — é o primeiro passo mais impactante. Centralizar autenticação em um IdP, integrar as principais aplicações e habilitar MFA resolve a maior parte dos riscos de acesso excessivo e credenciais comprometidas. O custo é baixo; o impacto em postura de segurança é significativo.