Do teatro da conformidade à defesa ativa

Os programas de governança de identidade em todos os setores operam com base em um pressuposto equivocado: o de que revisões periódicas de acesso, políticas documentadas e relatórios de auditoria sem ressalvas constituem uma postura de segurança defensável. Mas não é assim.

O panorama das ameaças mudou radicalmente. Identidades, sejam elas humanas ou não, são criadas, modificadas e exploradas em milissegundos. Os direitos de acesso variam continuamente entre os ciclos de revisão. E quando ocorre uma violação, auditores, reguladores, examinadores, seguradoras e advogados não perguntam se havia políticas em vigor. Eles perguntam se essas políticas foram aplicadas, em tempo real, no momento em que o incidente ocorreu.

Este artigo defende que o modelo tradicional de governança e administração de identidades (IGA), baseado em campanhas de revisão anuais ou trimestrais, cria o que denominamos de ‘Lacuna da Negligência’: um abismo cada vez maior entre o que a documentação de políticas estáticas de uma organização estabelece e o que seus sistemas dinâmicos estão realmente fazendo. Se não for resolvida, essa lacuna não é apenas um risco à segurança. É um passivo e, para instituições financeiras e órgãos governamentais, é também uma constatação de auditoria prestes a ocorrer.

A alternativa é a transição para a Governança de Defesa Ativa (ADG), um modelo no qual a governança funciona como um plano de controle contínuo, automatizado e baseado em riscos, em vez de um exercício periódico de certificação. Quando implementada de forma eficaz, a ADG transforma a governança de identidade de um centro de custos de conformidade em uma capacidade operacional de segurança e, fundamentalmente, em uma fonte de defesa preparada para litígios.

Este documento de posicionamento tem como objetivo fornecer a profissionais, líderes de programas e partes interessadas da alta administração uma estrutura para avaliar e aprimorar sua postura em relação à IGA, indo além das atividades periódicas de conformidade e rumo a um modelo de ADG contínuo e justificável. Este documento abordará em detalhes:

• Por que o ciclo tradicional de revisão do IGA é insuficiente para os riscos atuais
• Como a lacuna de governança resultante gera riscos legais e regulatórios
• Um quadro para a implementação da ADG, desde as capacidades básicas até a defensabilidade total
• Os indicadores que as organizações podem utilizar para avaliar a eficácia do ADG
• Considerações sobre a implementação para organizações em qualquer estágio de maturidade de governança

O paradoxo da auditoria sem ressalvas

Atualmente, as organizações costumam obter excelentes resultados em auditorias SOC 2 Tipo II, avaliações de preparação para o GDPR, análises de conformidade com a DORA e auditorias de segurança CJIS, mas acabam sofrendo violações de identidade poucas semanas após receberem esse atestado de conformidade. Isso não é coincidência. Trata-se de uma consequência estrutural da forma como as estruturas tradicionais de conformidade são concebidas e da maneira como as organizações respondem a elas.

Os quadros de conformidade, por sua natureza, avaliam uma determinada situação em um momento específico. Um projeto SOC 2 avalia se os controles estavam em vigor e funcionando de forma eficaz durante um período definido. Uma auditoria CJIS verifica se as políticas de acesso que regem as informações da justiça criminal estão documentadas e sendo seguidas.

Os modelos diferem entre si, mas compartilham a mesma limitação: um determinado período, um instantâneo do controle, não contínuo aplicação.

As instituições financeiras sujeitas às diretrizes da FFIEC, à Parte 500 do NYDFS ou à norma PCI DSS v4.0 enfrentam auditores que, cada vez mais, solicitam evidências de controles contínuos, e não apenas atestados pontuais. Órgãos federais sujeitos à FISMA, ao FedRAMP ou à NIST SP 800-53 operam sob modelos de governança que documentam controles no momento da autorização, mas essa documentação pode não refletir a aplicação operacional entre os ciclos de revisão. Em cada caso, a estrutura de auditoria captura um momento. O ambiente de ameaças não faz uma pausa para o ciclo de revisão.

O resultado é o que os profissionais vêm chamando cada vez mais de “paradoxo da auditoria limpa” ou “paradoxo da conformidade”: quanto mais confiante uma organização se mostra em relação aos resultados de sua auditoria, mais vulnerável ela pode estar, na verdade. Um painel de controle com indicação “verde”, gerado a partir de dados com três, seis ou onze meses de atraso, não é prova de controle. É prova de passado controle; e, em caso de violação, essa distinção é fundamental.

Se sua organização sofresse hoje uma grave violação de segurança relacionada a identidades, os investigadores não perguntariam se vocês tinham uma política de governança. Eles perguntariam se essa política estava em vigor e sendo aplicada no momento em que a violação ocorreu. Se a resposta for “nós a revisamos anualmente”, vocês não estão apenas em risco. Vocês estão em uma situação indefensável.

A deterioração da auditoria: a data de validade oculta em cada revisão

Toda campanha de certificação de acesso, revisão de permissões e exercício de atestado de funções tem uma data de validade que ninguém registra. No momento em que uma campanha é encerrada, os dados por ela certificados começam a se distanciar da realidade. Chamamos isso de deterioração da auditoria.

Nos ambientes empresariais modernos, as identidades e os direitos de acesso a elas associados não são estáticos. Contas de serviço são criadas e configuradas incorretamente. Prestadores de serviços são integrados e seus escopos de acesso se expandem além da intenção inicial. Os funcionários mudam de função e acumulam permissões que nunca foram revogadas. Identidades não humanas, incluindo chaves de API, contas de máquina, IA Agentic e bots de Automação Robótica de Processos (RPA), multiplicam-se pela infraestrutura com supervisão mínima.

Nesse contexto, um ciclo de revisão trimestral significa que as alterações no acesso passam despercebidas por até noventa dias antes mesmo de poderem ser detectadas. Uma revisão anual significa até um ano inteiro de exposição sem monitoramento. A comunidade de adversários está bem ciente dessa dinâmica. Os tempos de permanência para ataques baseados em identidade são medidos em semanas e meses, não em horas, precisamente porque as cadências tradicionais de governança criam janelas de oportunidade previsíveis.

A revisão do supervisor: o instrumento menos confiável da governança

A forma mais comum de revisão de acesso nos programas de IGA (Identity and Access Governance) corporativos é a certificação por parte do supervisor ou gerente: uma solicitação periódica na qual se pede aos gerentes que revisem as permissões de seus subordinados diretos e confirmem se o acesso continua sendo adequado. Essa prática está profundamente enraizada nas estruturas de conformidade e nas expectativas de auditoria. É também um dos controles menos eficazes no conjunto de ferramentas de segurança de identidade.

Os problemas estruturais são bem conhecidos. Os gestores recebem grandes volumes de dados sobre direitos de acesso, mas não dispõem do contexto técnico necessário para avaliá-los de forma significativa. As revisões são limitadas pelo tempo e competem com as responsabilidades essenciais da empresa. E o caminho mais fácil — aprovar automaticamente o perfil de acesso existente — não acarreta consequências imediatas, mesmo quando perpetua o risco.

O resultado é uma apatia motivada pelas auditorias: um comportamento organizacional adquirido, no qual os revisores tratam as campanhas de certificação como obrigações administrativas, em vez de atividades genuínas de gestão de riscos. Essa dinâmica se autoalimenta. .

Por outro lado, os tipos de análise com maior probabilidade de identificar riscos significativos — incluindo análises de permissões de funções, análises de exceções às políticas, análises de acesso a dados não estruturados e auditorias de identidades não humanas — estão entre as menos realizadas. Essas análises exigem conhecimento especializado na área e responsabilidade pela gestão, aspectos que os modelos centrados nos supervisores não foram projetados para abranger.

Quando a governança se torna um risco

Durante grande parte das últimas duas décadas, a principal consequência de uma governança de identidade deficiente foi de natureza operacional: violações, perda de dados e danos à reputação. A exposição legal e regulatória, embora real, era frequentemente resolvida por meio de compromissos de correção e acordos de conciliação.

Esse panorama está mudando. Os requisitos de divulgação da SEC agora exigem a comunicação oportuna e precisa de incidentes significativos de segurança cibernética, e os órgãos reguladores estão avaliando ativamente se as organizações exerceram a devida diligência em suas práticas de segurança, e não apenas se cumpriram uma lista de verificação. A DORA, em vigor em todas as entidades financeiras da UE, estabelece requisitos explícitos para a gestão de riscos e resposta a incidentes de tecnologia da informação e comunicação (TIC), que se estendem ao acesso de terceiros e aos controles de identidade. Os requisitos da política de segurança do CJIS para o acesso a informações de justiça criminal são rigorosos e inegociáveis, com falhas no controle de acesso acarretando sérias consequências federais. Para instituições financeiras e órgãos governamentais, os auditores estão cada vez mais focados em verificar se os controles operam continuamente, e não apenas se estavam em vigor durante a última auditoria.

Nesse contexto, um processo judicial ou procedimento regulatório após uma violação de segurança não levará em conta se a organização possuía um programa de governança. Em vez disso, o foco será se esse programa estava em funcionamento e sendo aplicado no momento do incidente. A fase de instrução buscará registros de acesso, registros de certificação, aprovações de exceções e evidências da aplicação da política. A questão não será filosófica. Será probatória.

Uma organização que apenas consegue apresentar registros de certificação anuais, sem nenhuma evidência de monitoramento contínuo, não demonstrou conformidade. Ela revelou a discrepância entre sua política documentada e sua postura de segurança real, e o fez no contexto mais prejudicial possível.

Definindo a lacuna de negligência

A “Lacuna de Negligência” é o fosso cada vez maior entre o que está escrito na documentação de políticas estáticas de uma organização e o que seus sistemas de identidade dinâmicos estão realmente fazendo entre os ciclos de revisão. Não se trata de um risco teórico. É uma exposição documentada que aumenta a cada dia que passa entre as ações de governança.

Essa lacuna tem várias dimensões que contribuem para ela:

Em primeiro lugar, o desvio de acesso: o acúmulo de direitos, atribuições de funções (incluindo definições de funções desatualizadas) e concessões de permissões que ocorrem entre os períodos de revisão sem acionar qualquer ação de governança.

Em segundo lugar, a latência de detecção: o tempo decorrido entre a ocorrência de uma anomalia de acesso e o momento em que a organização toma conhecimento dela por meio de seu processo de governança.

Em terceiro lugar, o atraso na correção: o tempo decorrido entre a detecção e a revogação ou correção efetiva de um acesso que viola a política.

Em um cenário de violação, a “lacuna de negligência” é o âmbito em que se situa a responsabilidade. Os advogados do autor e os órgãos reguladores avaliarão essa lacuna em termos de tempo: por quanto tempo o acesso comprometido permaneceu ativo, quando deveria ter sido detectado e o que um programa de governança razoável teria feito de diferente.

Identidades não humanas: a superfície de ataque não avaliada

O perímetro de identidades se expandiu drasticamente para além dos usuários humanos. Contas de serviço, tokens de API, identidades de máquinas, bots de RPA e agentes de IA constituem agora uma parcela substancial do total de identidades na maioria dos ambientes corporativos. Essas identidades não humanas costumam operar com privilégios elevados, raramente aparecem em campanhas de revisão por supervisores e possuem escopos de acesso que evoluem organicamente à medida que os sistemas e as integrações mudam.

Do ponto de vista de um invasor, as identidades não humanas representam um alvo extremamente atraente: privilégios elevados, baixa visibilidade e um longo período de permanência antes da detecção. Do ponto de vista jurídico, as contas de serviço comprometidas utilizadas como vetores de movimentação lateral levantam questões pertinentes sobre se as organizações mantiveram uma supervisão eficaz de todos os tipos de identidade, e não apenas daquelas que constam no organograma.

Os programas de governança que não conseguem demonstrar um monitoramento ativo e a aplicação de políticas para identidades não humanas estão operando com um ponto cego estrutural do qual reguladores, advogados e adversários estão cada vez mais cientes.

A mudança filosófica

A Governança de Defesa Ativa (ADG) representa uma reorientação fundamental da forma como a governança de identidade é concebida e implementada. O modelo tradicional pergunta: Quem tem acesso? O modelo ADG pergunta: Por que essa identidade tem esse acesso neste momento, e esse acesso está em conformidade com a política atual e a postura de risco?

Esta não é apenas uma distinção filosófica. Ela reflete uma mudança estrutural na forma como a governança funciona no ambiente de operações de segurança. No modelo tradicional, a governança é uma função periódica, uma campanha que é executada, encerrada e, em seguida, aguarda para ser retomada. No modelo ADG, a governança é um fluxo contínuo de telemetria: cada evento de acesso, ação de provisionamento e alteração de direitos é avaliado em relação à política em tempo real, com recursos de resposta automatizada que não exigem ciclos de revisão humana para entrar em vigor.

A campanha formal de certificação de acesso não desaparece neste modelo. Ela é reformulada. Em vez de funcionar como o principal mecanismo de controle, as certificações periódicas servem para confirmar e atestar o que o monitoramento contínuo já detectou, gerenciou e documentou. A campanha valida o sistema e as políticas. Ela não é mais o sistema.

Principais características de um programa ADG

Um programa eficaz de governança de defesa ativa baseia-se em várias capacidades interdependentes:

• Monitoramento contínuo do acesso com avaliação de políticas em tempo real, substituindo ciclos de revisão estáticos por gatilhos de governança acionados por eventos
• Priorização da certificação com base no risco, direcionando os esforços de revisão humana para as autorizações e identidades de maior risco, em vez de distribuí-los uniformemente por todos os acessos
• Provisão de acesso “Just-in-Time” (JIT), na qual o acesso é concedido por um período definido quando o risco assim o justifica, e em que essa provisão está vinculada a uma necessidade comprovada, e não a um direito permanente
• Governança de identidades não humanas, aplicando o mesmo monitoramento contínuo e a mesma aplicação de políticas a contas de serviço, credenciais de API, IA, bots de RPA e identidades de máquina que são aplicados aos usuários humanos
• Medição do tempo até a revogação (TTR), que acompanha o tempo decorrido entre um evento de alteração de identidade e a revogação do acesso afetado, como principal métrica de segurança

Registro automatizado e com qualidade de auditoria que gera registros contínuos e à prova de adulteração de decisões de acesso, avaliações de políticas e ações de governança, imediatamente disponíveis para análise regulatória ou jurídica

Governança “just-in-time” e alinhamento com o modelo Zero Trust

A governança de acesso “just-in-time” aborda uma das fraquezas estruturais mais persistentes da IGA tradicional: os privilégios permanentes. Na maioria dos ambientes corporativos, o acesso é concedido e permanece válido até ser explicitamente revogado, o que, na prática, muitas vezes significa que o acesso permanece indefinidamente. Os privilégios permanentes são um dos principais facilitadores do movimento lateral e da escalada de privilégios em ataques baseados em identidade.

A governança JIT inverte esse modelo para solicitações de acesso de alto risco, e não para recursos cotidianos, como o e-mail. Em vez de tratar todos os privilégios como permanentes até que sejam revogados, ela aplica concessões limitadas no tempo e avaliadas por políticas nos casos em que o acesso permanente representa o maior risco. Cada evento de acesso elevado ou sensível torna-se uma decisão de governança, não um artefato legado. O objetivo não é criar atrito para cada solicitação de acesso, mas garantir que, quando o risco assim o justificar, o acesso seja deliberado, limitado no tempo e vinculado a uma necessidade comprovada, em vez de um acesso permanente que persiste simplesmente porque foi concedido no passado.

Essa abordagem está em total sintonia com os princípios da arquitetura Zero Trust, especificamente com a exigência de verificação contínua e da aplicação do princípio do privilégio mínimo. Ela também produz os artefatos de governança que são mais defensáveis em um contexto regulatório ou de litígio: esses artefatos são marcados com data e hora, vinculados a políticas, automatizados e demonstram o que a função de governança de uma organização faz na prática, em vez do que aspira fazer na teoria. Quando os investigadores perguntam por que uma determinada identidade teve acesso a um determinado recurso em um determinado momento, um modelo de governança JIT produz uma resposta precisa e documentada.

Métricas que refletem a realidade da segurança

Historicamente, os programas de governança têm sido avaliados com base nas taxas de conclusão das campanhas: a porcentagem de revisões certificadas dentro de um prazo definido. Essa métrica está quase totalmente desvinculada dos resultados em termos de segurança. Uma taxa de conclusão de campanha de cem por cento, alcançada por meio de aprovações automáticas, é uma evidência de conformidade administrativa, não de gestão de riscos.

Um programa de ADG requer um conjunto diferente de métricas, voltado para a situação real de segurança e a defensabilidade jurídica. As principais métricas a serem consideradas incluem:

• Taxa de aplicação de políticas (contínua), substituindo a taxa de conclusão de campanhas como principal indicador de controle
• Taxa de detecção de anomalias em tempo real, que mede a porcentagem de anomalias de acesso detectadas dentro dos intervalos definidos no SLA
• Tempo até a revogação (TTR), que monitora o tempo decorrido desde o acionamento do evento de identidade até a revogação do acesso
• Cobertura de identidades não humanas, que mede a porcentagem de identidades não humanas sob gestão ativa
• Taxa de adoção do acesso JIT, acompanhando a porcentagem de acessos privilegiados concedidos por meio de mecanismos JIT em comparação com privilégios permanentes
• Integralidade das evidências de auditoria, avaliando a disponibilidade e a integridade dos registros contínuos de governança para qualquer período específico

O tempo até a revogação como métrica de nível da diretoria

O Tempo até a Revogação (TTR) merece destaque especial, pois mede diretamente o intervalo de tempo disponível para um invasor após um evento de identidade desencadeador, seja uma rescisão, uma mudança de função, a detecção de uma anomalia ou uma violação de política.

Organizações com capacidades maduras de governança contínua medem o TTR em minutos. Organizações que dependem de ciclos de revisão periódicos medem esse tempo em dias, semanas ou, para tipos de acesso não abrangidos pelas campanhas padrão, potencialmente por tempo indeterminado (se é que chegam a medi-lo). Essa diferença não é uma nuance. É a diferença entre um ataque à identidade que é contido e outro que se torna uma violação significativa. Para instituições financeiras e órgãos governamentais, essa diferença é importante para além do centro de operações de segurança. Os auditores esperam cada vez mais uma resposta precisa e documentada sobre a rapidez com que o acesso foi revogado após um evento desencadeador, e não uma referência ao próximo ciclo de certificação.

O TTR é também uma das métricas mais eficazes para relatórios dirigidos à diretoria, pois traduz as capacidades técnicas de governança em resultados tangíveis de redução de riscos. Uma organização que consiga demonstrar um TTR médio inferior a quinze minutos após um evento de invasão transmite uma mensagem significativa sobre sua postura de segurança, algo que a taxa de conclusão de campanhas não consegue transmitir.

O continuum de maturidade

A transição de um IGA voltado para a conformidade para um ADG não é uma mudança que se dá de uma só vez. Trata-se de um processo de amadurecimento que a maioria das organizações abordará de forma gradual, começando pelas categorias de identidade de maior risco e ampliando a cobertura ao longo do tempo.

Um modelo prático de maturidade para a adoção do ADG passa por quatro etapas:

• Fase 1 | Fundamentos: inventário centralizado de identidades, fluxos de trabalho consistentes de provisionamento e desprovisionamento e campanhas de certificação de acesso de referência. Esta fase é o pré-requisito para todas as etapas seguintes.
• Fase 2 | Consciência de riscos: Introdução da pontuação de risco para identidades e permissões, priorização dos esforços de revisão com base na ponderação de risco e implementação inicial de recursos de detecção de anomalias.
• Fase 3 | Contínua: Avaliação de políticas em tempo real, gatilhos de governança acionados por eventos, medição do TTR e integração com ferramentas de operações de segurança. Este é o limiar do ADG.
• Fase 4 | Defensável: governança de acesso JIT aplicada nos casos em que o acesso permanente representa o maior risco, cobertura total de identidades não humanas, registro contínuo com qualidade de auditoria e automação de relatórios regulatórios. Esta fase representa uma postura preparada para litígios.

A IA como multiplicador de esforços para a governança contínua

O volume de eventos de acesso, alterações de permissões e interações de identidade em uma empresa moderna torna a governança contínua manual operacionalmente inviável. As análises baseadas em IA não são um aprimoramento opcional para um programa de ADG. Elas são um requisito arquitetônico.

Quando aplicadas de forma eficaz, as capacidades de IA dentro de uma plataforma de IGA podem desempenhar várias funções que estão além do alcance prático dos processos de revisão conduzidos por humanos. A análise comportamental pode estabelecer padrões de acesso de referência para cada identidade e sinalizar desvios que justifiquem uma avaliação das políticas. Modelos de aprendizado de máquina podem avaliar o peso de risco de autorizações individuais e combinações de acesso, identificando combinações de privilégios prejudiciais que escapam às revisões padrão de funções. O processamento de linguagem natural pode interpretar documentos de política e mapear direitos de acordo com a intenção da política, permitindo uma avaliação automatizada da conformidade em vez de uma interpretação manual.

É fundamental que as decisões de acesso baseadas em IA sejam respaldadas por pontuações de risco verificáveis e por vínculos documentados com políticas, e não simplesmente pelos resultados do modelo. O elemento de governança que importa em um contexto jurídico ou regulatório não é o fato de que uma IA tomou uma decisão. É o fato de que a decisão foi tomada de acordo com um processo de avaliação de políticas documentado e auditável, com a base de risco registrada no momento da decisão.

Reposicionar a governança como uma função de segurança

Talvez o maior desafio de implementação na transição para o ADG seja de natureza organizacional, e não técnica. Os programas tradicionais de governança de identidades (IGA) costumam estar alocados nas áreas de conformidade, tecnologia de RH ou operações de TI. O ADG exige que a governança de identidades seja tratada como uma capacidade essencial de segurança, integrada às operações de segurança, à resposta a incidentes e à inteligência contra ameaças.

Reposicionar a ADG nesse contexto tem implicações práticas. Os indicadores de governança precisam constar nos relatórios de operações de segurança, e não apenas nos painéis de conformidade. As anomalias de governança devem ser incorporadas aos fluxos de trabalho do SIEM e do SOAR. E a liderança de governança precisa manter uma linha de comunicação direta com a liderança de segurança, e não uma relação hierárquica mediada pelas funções de conformidade ou auditoria.

Essa mudança também exige uma reformulação na forma como os investimentos em governança são avaliados. Os gastos com infraestrutura de governança contínua não constituem um custo de conformidade. Trata-se de um investimento em segurança com resultados mensuráveis em termos de redução de riscos e com impacto direto sobre os prêmios de seguro cibernético, a situação regulatória e a posição em processos judiciais.

O argumento central deste artigo não é que a conformidade seja irrelevante. Estruturas como SOC 2, DORA e a política de segurança CJIS desempenham funções importantes: estabelecem expectativas básicas, fornecem uma estrutura de auditoria e criam mecanismos de prestação de contas. O argumento é que a conformidade, tal como praticada atualmente pela maioria das organizações, é insuficiente, e que essa insuficiência não é mais apenas um risco à segurança. Trata-se de um risco jurídico e de reputação.

O panorama das ameaças à identidade evoluiu a tal ponto que qualquer programa de governança que não consiga demonstrar um controle de acesso contínuo, baseado em políticas e em tempo real está operando com uma exposição estrutural. As revisões periódicas ainda podem desempenhar um papel importante, como atestado e confirmação de controles contínuos, como mecanismo para o aprimoramento de políticas e como exigência regulatória. Mas elas não podem ser o principal meio de controle. Os riscos não esperam pelos ciclos de revisão.

As organizações que fazem a transição para o ADG estão construindo algo que vai além de um programa de segurança mais eficaz. Elas estão estabelecendo uma postura de governança que se sustenta nos contextos mais importantes: uma investigação regulatória, uma reunião do conselho, uma investigação pós-violação e, se for o caso, um tribunal.

A questão não é se a sua organização possui uma política de governança. A questão é se você consegue comprovar que ela funcionou quando foi necessário e que continua funcionando até hoje.

Sobre este artigo

Este documento de posicionamento foi elaborado pelos especialistas em Governança e Administração de Identidades da RSA. Seu objetivo é fornecer aos profissionais, líderes de programas e executivos envolvidos uma estrutura para avaliar e aprimorar sua postura de governança de identidades, indo além das atividades periódicas de conformidade e rumo a um modelo de Governança de Defesa Ativa contínuo e justificável.