A crise silenciosa das identidades: por que a gestão de acesso é o novo front da guerra cibernética?

Eduardo Lopes

CAREN GODOY
30/06/2025 15h52 - Atualizado há 15 horas

A crise silenciosa das identidades: por que a gestão de acesso é o novo front da guerra cibernética?
Eduardo Lopes
A cibersegurança vive um paradoxo. De um lado, as empresas continuam investindo em tecnologias de ponta, como a inteligência artificial (IA), com o objetivo de detectar ameaças com mais precisão. Do outro, ainda ignoram uma brecha clássica e persistente, que é a má gestão de identidades. Um levantamento da Microsoft mostra que mais de 90% das identidades corporativas utilizam menos de 5% das permissões atribuídas. Já a IBM aponta que os ataques envolvendo credenciais comprometidas aumentaram 71% somente em 2024. O cenário deixa claro que não se trata de escassez tecnológica, mas sim da ausência de um olhar estratégico para o essencial.

Durante muito tempo, o foco da segurança digital esteve em proteger perímetros e detectar invasores. Hoje, o cenário é diferente. As ameaças vêm de dentro, muitas vezes pelas mãos de usuários legítimos, ou melhor, de identidades mal gerenciadas. A fragmentação entre sistemas legados e modernos, sem integração por meio de uma identidade única e centralizada, gera uma brecha crítica: o mesmo usuário pode acumular duas, três ou mais credenciais distintas. E essas múltiplas credenciais, muitas vezes, não têm autenticação multifator (MFA), não seguem regras mínimas de complexidade e não contam com gestão periódica de troca de senha.


Mesmo que a MFA possa parecer uma tecnologia antiga diante das inovações mais recentes, como as soluções baseadas em IA, ela continua sendo uma das defesas mais eficazes quando aplicada de forma consistente. O problema está no desequilíbrio entre segurança e conveniência. Muitas empresas ainda relutam em adotar a MFA de forma ampla por receio de prejudicar a experiência do usuário. Enquanto isso, as credenciais expostas seguem sendo comercializadas com facilidade em ambientes como a dark web.

A falsa sensação de segurança também representa um risco significativo. Um estudo da CyberArk revela que mais de 70% dos líderes acreditam que suas equipes saberiam identificar e-mails ou áudios fraudulentos. Na prática, porém, 93% das organizações sofreram múltiplas violações ligadas à má gestão de identidades ao longo do último ano. Muitas dessas violações aconteceram justamente por meio de técnicas de engenharia social. Quando a confiança é excessiva, ela acaba favorecendo os atacantes.

A verdadeira proteção digital vai além da criação de barreiras. É necessário adotar medidas que reduzam a superfície de ataque, como a revisão frequente de permissões, a autenticação contínua e a adoção do princípio do menor privilégio como prática padrão. Oferecer acesso irrestrito a todos por precaução, em vez de necessidade real, é um dos principais pontos de vulnerabilidade.

As ferramentas modernas de IAM (Identity and Access Management, ou Gestão de Identidade e Acesso) já oferecem automações com IA capazes de identificar comportamentos atípicos e antecipar potenciais ataques. Auditorias automatizadas também são capazes de mapear rapidamente quem tem acesso a quais recursos dentro da organização. No entanto, essas soluções perdem valor quando não estão acompanhadas de um mínimo de governança. A base de uma segurança eficaz está na clareza, não apenas dos sistemas, mas também dos papéis, das responsabilidades e das decisões tomadas.

Essa clareza precisa estar presente também no topo da organização. A gestão de identidade deve ser tratada como um tema estratégico, e não apenas técnico. Os conselhos de administração precisam reconhecer que o controle de acessos representa um ativo crítico. Já os CISOs (Chief Information Security Officers) devem participar diretamente das decisões de negócio. Além disso, os KPIs (Key Performance Indicators) voltados à segurança precisam dialogar com os objetivos corporativos de forma integrada.

De acordo com o IBM X-Force, uma violação envolvendo credenciais comprometidas custa, em média, 4,45 milhões de dólares. Ignorar a gravidade desse cenário já não é mais uma opção. Na era da hiperconectividade e da inteligência artificial, as grandes batalhas da cibersegurança não serão vencidas apenas com mais tecnologia. Elas exigem decisões mais inteligentes sobre quem acessa o quê, em que momento e por quanto tempo.

Eduardo Lopes, é CEO Redbelt Security
 

Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
CAREN GODOY DE FARIA
[email protected]


Notícias Relacionadas »