A maioria dos incidentes de segurança não vem do exterior. Vem de dentro — colaboradores com acessos excessivos, ex-colaboradores cujos acessos não foram revogados, ou atacantes externos que comprometeram uma conta interna e se movem lateralmente sem encontrar resistência. A Gestão de Identidade e Acesso (IAM) é o controlo que previne ou limita dramaticamente todos estes cenários.
Este artigo explica o que é IAM, o que inclui na prática, e como implementá-lo de forma gradual numa PME sem uma equipa de segurança dedicada.
Por que a maioria dos incidentes começa com acessos mal geridos
O Verizon Data Breach Investigations Report de 2023 revelou que credenciais comprometidas estão envolvidas em mais de 74% dos ataques com sucesso. E ‘comprometidas’ não significa apenas roubadas por atacantes externos — inclui credenciais de ex-colaboradores ainda activas, contas partilhadas que permitem atribuição de responsabilidade impossível, e contas com privilégios excessivos que amplificam o impacto de qualquer comprometimento.
Uma PME com 50 colaboradores que nunca fez uma revisão de acessos tem tipicamente: 5 a 10 contas de ex-colaboradores ainda activas, 3 a 5 utilizadores com privilégios de administrador que não precisam deles, múltiplas contas de serviço com passwords que nunca expiram e acesso excessivo, e nenhum registo de quem acedeu a quê e quando.
Revogar o acesso de um colaborador que saiu da empresa há 6 meses não é uma formalidade administrativa — é uma medida de segurança crítica. Cada conta activa sem utilizador legítimo é uma porta aberta.
O que é IAM e o que inclui na prática
IAM — Identity and Access Management — é o conjunto de processos, políticas e tecnologias que garante que as pessoas certas têm acesso aos recursos certos, pelas razões certas, no momento certo, e que esse acesso é auditável.
Os componentes práticos de IAM incluem: autenticação (verificar que a pessoa é quem diz ser), autorização (verificar que tem permissão para o que pretende fazer), gestão do ciclo de vida de contas (criação, modificação, desactivação), auditoria e logging (registo de quem acedeu a quê), e governança (revisão periódica de acessos para garantir que continuam adequados).
Princípio de menor privilégio: como aplicar sem criar atrito
O princípio de menor privilégio diz que cada utilizador deve ter apenas os acessos mínimos necessários para a sua função. É simples de enunciar e difícil de implementar sem criar resistência — porque restrições de acesso são frequentemente percebidas como obstáculos à produtividade.
A chave para implementar menor privilégio sem resistência é o processo. Quando um colaborador precisa de acesso a um novo sistema ou recurso, deve existir um processo simples de solicitar e aprovar esse acesso. O processo deve ser rápido o suficiente para não ser um obstáculo, mas documentado o suficiente para criar responsabilização.
Offboarding: o erro que deixa portas abertas
O offboarding de colaboradores é o processo de IAM com maior impacto imediato e o mais frequentemente executado de forma incompleta. Quando um colaborador sai, os acessos têm de ser revogados — todos, em todos os sistemas, no mesmo dia.
O problema é que a maioria das PMEs não tem lista completa dos sistemas a que cada colaborador tem acesso. O IT recebe notificação de RH, desactiva a conta do Active Directory e considera o trabalho feito — mas o colaborador pode ainda ter acesso ao CRM cloud que usa credenciais próprias, ao gestor de passwords partilhado, à conta de email de grupo, aos sistemas de fornecedores externos, e às ferramentas de colaboração (Slack, Teams, Notion, GitHub).
Checklist de offboarding de segurança
- Desactivar conta do Active Directory / Azure AD no próprio dia
- Revogar sessões activas (Microsoft 365, Google Workspace têm esta opção)
- Transferir email e calendário para responsável
- Revogar acesso a sistemas cloud e SaaS (listar previamente todos os sistemas em uso)
- Revogar certificados VPN e acesso remoto
- Alterar passwords partilhadas a que o colaborador tinha acesso
- Recolher dispositivos da empresa e verificar dados
- Documentar e arquivar data e hora de cada revogação
MFA como base do IAM moderno
Autenticação multi-factor é o controlo de IAM com maior retorno de investimento. Um estudo da Microsoft demonstrou que MFA bloqueia 99,9% dos ataques automatizados de comprometimento de conta. Implementar MFA em todos os sistemas críticos é a acção de IAM de maior impacto e menor custo.
A implementação deve ser faseada para minimizar disrupção: começar por sistemas mais críticos (email, VPN, cloud admin), comunicar antecipadamente à equipa o que vai mudar e quando, fornecer suporte durante a transição, e depois tornar o MFA obrigatório sem possibilidade de bypass.
Como auditar acessos actuais em 1 dia
Para empresas que nunca fizeram uma revisão de acessos, este processo permite ter visibilidade básica em menos de um dia de trabalho:
- Exportar lista de utilizadores do Active Directory ou identity provider principal, incluindo data do último login
- Comparar com lista de colaboradores actuais de RH — identificar contas sem correspondência
- Filtrar contas sem login nos últimos 90 dias — candidatas a desactivação imediata
- Listar utilizadores com privilégios de Domain Admin ou equivalente — validar se todos são necessários
- Para sistemas cloud críticos (Microsoft 365, AWS, Azure): rever lista de administradores e utilizadores
- Documentar resultados e criar plano de remediação com prazos
>>> A JL Suporte & Consultoria audita os acessos da sua empresa e entrega relatório completo de utilizadores e permissões em 48 horas, gratuitamente. Contacte-nos hoje.
