A identidade tem uma oportunidade única a cada década de elevar seu papel e redefinir sua criticidade de segurança dentro da organização. Não adicionando mais um produto, mas tornando-se algo fundamentalmente diferente: uma disciplina no cerne da segurança corporativa. Para os profissionais de IAM, esta é uma chance de deixar de ser percebida como uma função de back-office e, em vez disso, assumir o papel de orquestradores e defensores da linha de frente.
“Para os profissionais de IAM, esta é uma oportunidade de deixar de ser percebidos como uma função de back-office e, em vez disso, assumir o papel de orquestradores e defensores da linha de frente.”
Por que agora? Como a explosão de SaaS, Nuvem e Software Agentic, agentes de IA, serviços automatizados e transações digitais de alta velocidade desafiaram completamente o status quo. As identidades não se limitam mais a funcionários e a alguns contas de serviço, agora incluem agentes efêmeros, scripts, cargas de trabalho e bots que aparecem e desaparecem na velocidade da máquina. Essa proliferação de identidades humanas e não humanas impõe uma nova escala e complexidade que o IAM tradicional não consegue controlar. Ao mesmo tempo, abre uma janela de oportunidade para uma mudança necessária na forma como projetamos, operamos e protegemos a identidade.
E, no fundo, um fato não mudou: mais de 80% dos ataques atuais ainda se baseiam em comprometimento de identidade. Mesmo as menores organizações agora lidam com dezenas ou centenas de identidades, enquanto as grandes empresas lutam com dezenas ou centenas de milhares. A explosão de identidades significa que nenhuma organização consegue rastreá-las ou controlá-las manualmente. Isso não é apenas um risco, é uma oportunidade para construir um novo paradigma para proteger o acesso.
A identidade não é mais apenas "apenas encanamento de TI" ou "automação de conformidade". Ela se tornou o pilar mais importante na proteção da infraestrutura em nuvem, das operações baseadas em IA e do futuro da confiança empresarial. Esta metade da década não é apenas mais um ponto de verificação na evolução tecnológica. É o ponto de virada em que a identidade se torna a base da segurança moderna.
Neste blog, explorarei um breve histórico do IAM, como ele evoluiu da gestão de TI para a conformidade e a segurança, e usarei essa perspectiva para propor uma transição prática e gradual para sua futura função. O objetivo é fornecer uma perspectiva e uma opinião forte: é hora de as organizações tratarem o IAM não como uma ferramenta de auditoria, mas como a linha de frente da defesa pelos próximos cinco anos.
Uma breve história do IAM: das operações de TI ao núcleo da segurança
Décadas de 1960-1970: O nascimento da identidade na computação
As raízes da identidade digital remontam ao Sistema de Compartilhamento de Tempo Compatível (CTSS) do MIT, liderado por Fernando Corbató. Corbató introduziu o conceito de senhas por usuário, possivelmente o primeiro controle de identidade convencional, permitindo que várias pessoas compartilhassem recursos de computação com segurança. Foi uma inovação em várias etapas: autenticação, autorização e responsabilização, todas vinculadas a IDs de usuários individuais. Essa foi a faísca que mais tarde deu início à disciplina IAM.
Década de 2000: Credenciais, criptografia e aquisição de conformidade
No início dos anos 2000, as empresas estavam inundadas de credenciais: nomes de usuário, senhas, PINs, cartões inteligentes, tokens físicos e experimentos biométricos. A criptografia se generalizou, assim como o armazenamento e a troca seguros de credenciais. Esta também foi a década do "traga sua própria credencial" (BYOC), de contratantes, parceiros e acesso federado. Ao mesmo tempo, exigências de conformidade como SOX, HIPAA e PCI colocaram o IAM em evidência. A identidade passou a ter menos a ver com a viabilização do trabalho e mais com a satisfação dos auditores. O IAM passou a ser cada vez mais medido por sua capacidade de produzir evidências: revisões de acesso, verificações de segregação de funções e fluxos de trabalho de governança. Em muitas organizações, a governança tornou-se mais urgente do que a segurança.
Década de 2010: Chaves, tokens, certificados e a ascensão das identidades não humanas (NHIs)
A era da nuvem fez surgir novos tipos de credenciais: chaves de API, tokens OAuth, certificados e contas de serviço, credenciais que eram invisíveis para a maioria das equipes de segurança, mas que executavam infraestruturas inteiras. Este foi o nascimento da Identidade Não Humana (NHI) como uma classe dominante de identidade, frequentemente superando os humanos em uma proporção de 40:1. Ao mesmo tempo, o colapso do perímetro da rede forçou as equipes de segurança a declarar: a identidade é o novo perímetro. MFA, SSO e identidade federada tornaram-se expectativas básicas. No entanto, o IAM ainda era reativo, perseguindo ciclos de provisionamento e modelos de função estáticos, enquanto os invasores visavam cada vez mais essas novas credenciais de máquina.
“A identidade é o novo perímetro. MFA, SSO e identidade federada tornaram-se expectativas básicas. No entanto, o IAM ainda era reativo.”
Década de 2020: os processos de IAM humano não são suficientes
Agora, na década de 2020, o pêndulo voltou para a identidade que prioriza a segurança. Os processos de IAM orientados por humanos — aprovações manuais, funções estáticas, revisões periódicas — não conseguem acompanhar a escala, a velocidade e a complexidade dos ecossistemas de nuvem e IA. As identidades agora incluem agentes de IA, cargas de trabalho efêmeras, pipelines e sistemas automatizados de tomada de decisão. A segurança não pode tratar a identidade como uma questão de conformidade, nem as equipes podem depender de recursos de identidade fracos agregados a endpoints fundamentais ou soluções de nuvem. O IAM deve se tornar a linha de frente. Os profissionais de identidade agora usam um único plano de controle em toda a sua infraestrutura de IAM para tomada de decisão, contexto e execução em tempo real.
Essa urgência é ressaltada por mudanças tectônicas no mercado: a Palo Alto Networks adquiriu a CyberArk, a Microsoft está presenteando o Entra com recursos de segurança em primeiro lugar, o Identity Threat Detection & Response (ITDR) explodiu, e a gestão de ativos em si é cada vez mais definida em termos de identidade, em vez de hardware ou topologia de rede. Essas mudanças confirmam uma realidade: a identidade não é mais uma conexão de fio, é a nova estrutura de segurança.
Por que a segurança deve evoluir para uma segurança centrada na identidade e por que este é o momento para as pessoas do IAM crescerem
A antiga caixa de ferramentas de IAM, com aprovações manuais de acesso, revisões periódicas, funções estáticas e aplicação baseada em proxy, não consegue acompanhar a era da nuvem e da IA. O IAM agora é o tecido conjuntivo que conecta sistemas, plataformas e dados entre fronteiras e organizações. É mais rápido, mais dinâmico e, em alguns casos, autooperacional. A identidade hoje atende tanto aos mocinhos quanto aos bandidos: os mesmos agentes de IA que criam software também podem ser usados como armas, como malware ou bots maliciosos.
Isso torna os profissionais de IAM os últimos humanos no circuito da nova fronteira das identidades digitais. Estamos em posição de bloquear, esgotar e repelir ataques antes que eles tenham sucesso, ao mesmo tempo em que automatizamos a governança e as operações em torno deles. Se o IAM mudar da maneira certa, não será uma segunda camada de defesa, mas sim a própria linha de frente da segurança.
“A identidade hoje serve tanto aos mocinhos quanto aos bandidos: os mesmos agentes de IA que criam software também podem ser usados como armas como malware ou bots maliciosos.”
Redefinindo o papel da equipe de identidade
Essa transformação exige reimaginar como as equipes de IAM trabalham. A função de IAM não se resume mais a provisionar usuários ou habilitar o SSO, mas sim a se tornarem orquestradores humanos e defensores da segurança na linha de frente. As equipes de IAM conectam a organização, viabilizam negócios por meio de privilégios e credenciais e, mais importante, orquestram decisões de acesso baseadas em contexto em escala. Elas são parceiras da segurança, à medida que a identidade se torna a linha de frente.
Pense nos seus controles de IAM como "pequenos agentes" incorporados a cada privilégio que você concede. Esses agentes devem ajustar e adaptar dinamicamente cada decisão de acesso em um movimento preciso e contextual. É aqui que o papel da equipe de IAM se torna estratégico: construir, operar e refinar esses agentes como parte de uma estrutura de segurança que se adapta à empresa.
Como elaborarei em seus próximos artigos, o IAM deve evoluir para uma disciplina de orquestração, onde o profissional de IAM não seja apenas um facilitador de acesso, mas também um defensor que garante que cada uso de acesso seja continuamente avaliado, contextualmente aplicado e protegido em tempo real.
Um guia de 6 etapas para elevar a identidade à linha de frente da segurança
(0) Limpe sua mente e sua lista de tarefas: Automatize tudo o que puder, agora mesmo. Automatize revisões de acesso, trabalhos de conformidade, redimensionamento de permissões e concessões de acesso iniciais. Este trabalho já é uma commodity, seu foco deveria estar em outro lugar. Procure plataformas que integrem automação de governança e eliminem a rotina de auditoria manual do seu trabalho diário.
(1) Crie seu plano de controle: Faça com que todos os seus controles funcionem em conjunto. Chega de silos. Adicione uma camada de correlação e orquestração em todas as contas humanas e de máquina. Cada entidade raiz, usuário, máquina, software ou agente, deve ter um enredo de acesso e um perfil comportamental claros, construídos automaticamente desde o momento em que são criados. Um gráfico de acesso em tempo real por identidade não é mais opcional. Buscar tecnologias que unifiquem identidades em nuvem híbrida, DevOps e SaaS, produzindo mapeamento e controle de acesso contínuos.
(2) Complete os controles: Toque o intocável. Certifique-se de ter os controles corretos em relação a IA, pipelines de DevOps, IoT, ICS, cargas de trabalho em nuvem e sistemas de agentes emergentes. Identidades não humanas já são a maioria, proteja-as como cidadãos de primeira classe. Adote ferramentas que estendam a visibilidade do IAM além dos usuários para endpoints, cargas de trabalho, APIs e infraestrutura.
(3) Faça com que o contexto seja importante para cada decisão de transação: Combine (1) e (2) para criar contexto, comportamento, privilégios, postura e risco que alimentem seus sistemas de controle. Cada solicitação de acesso deve ser contextual, não apenas baseada em credenciais. Comece com regras estáticas avançadas e, em seguida, avance para decisões baseadas em risco ou assistidas por IA. Procurar segurança de identidade que integra nativamente o contexto em seus mecanismos de decisão.
(4) Torne-se o ser humano no circuito do acesso dinâmico automatizado: Depois que a plataforma estiver pronta para automatizar tarefas do dia a dia, sua função muda para tomar decisões difíceis, lidar com casos extremos, anomalias e tomar decisões reais de segurança de acesso, nas quais o julgamento humano é insubstituível. Escolha tecnologias que acionem os humanos apenas em casos atípicos, liberando seu tempo para tomada de decisões estratégicas.
(5) Construa seu lugar na mesa de crise de segurança: O IAM deve participar do painel de crise durante as violações, não ficar no back office. Você é um tomador de decisões, um leitor da realidade e um líder quando as violações acontecem. É assim que o IAM se torna verdadeiramente focado na segurança. Invista em plataformas que alimentem sinais de IAM diretamente nos fluxos de trabalho de resposta a incidentes e SOC.
O futuro (próximo) prioriza a identidade: prepare-se agora
Vivemos o momento mais emocionante e significativo para os profissionais de IAM. Com 80% dos ataques baseados em identidade e com a nuvem e a IA remodelando o cenário digital, o IAM agora é a linha de frente da defesa empresarial.
Agora você precisa decidir: você será um dos primeiros a adotar, liderando o movimento e remodelando a maneira como o IAM protege sua empresa, ou esperará até que a mudança aconteça completamente e então se esforçará para se adaptar?
De meados da década de 2020 até 2030, os profissionais de identidade finalmente assumiram seu devido lugar na linha de frente. E, se acertarmos, o IAM não apenas protegerá nossas empresas, como também moldará o futuro da confiança digital segura.
Publicaremos diferentes artigos e análises sobre cada uma dessas seis etapas em futuros blogs e podcasts. Fique ligado e prepare-se para liderar esta nova era.
Referências
– MIT e Fernando Corbató, origem das senhas: [MIT News]
– Segurança Sonrai – História da Identidade
– Aquisição da Palo Alto Networks de CyberArk (2024): [Relatórios da SecurityWeek]
– Roteiro do Microsoft Entra: Blog de Segurança da Microsoft
– Crescimento da detecção e resposta a ameaças de identidade (ITDR): [Gartner – 2023-identity-threat-detection-and-response-gartner]
