TPI + TPRM: o elo invisível que está abrindo portas dentro das empresas

Existe um ponto cego silencioso crescendo dentro das organizações. Ele não está no no ambiente físico e nem necessariamente no SOC quando falamos de monitorar e mesmo assim sofrer um ataque. Ele está na identidade de terceiros (Claro que essa identidade e um dos desafios).

Fornecedores, consultorias, squads externos, integradores, parceiros estratégicos. Todos precisam de acesso. Todos recebem credenciais. Todos entram na sua nuvem, nos seus ambientes críticos, nas suas APIs e, muitas vezes, nos seus pipelines de produção. O que mudou nos últimos anos não foi a existência de terceiros, foi a profundidade do acesso que concedemos a eles e a velocidade com que esse acesso é provisionado.

Enquanto isso, as organizações evoluíram seus processos de TPRM, avaliam risco, classificam criticidade, exigem compliance, revisam contratos, aplicam questionários de segurança e as vezes fazem due diligence (Algo que acho interessante, assim confirmamos que o que temos no papel é o que se executa). O fornecedor recebe um rating. Um nível de risco. Uma etiqueta de criticidade.

Mas aqui fica um questionamento: esse risco está sendo traduzido em controle real de identidade e privilégio?

Na prática, o TPRM frequentemente termina onde o TPI deveria começar.

A organização sabe que um fornecedor é crítico, mas concede acesso padrão. Ou classifica um parceiro como alto risco, mas mantém privilégios permanentes. Em outros casos, o time técnico controla a identidade, aplica MFA, cria um grupo no diretório, mas não tem visibilidade da criticidade daquele terceiro no contexto do negócio. O risco é conhecido de um lado e ignorado do outro. A identidade é controlada de um lado e descontextualizada do outro.

Esse desalinhamento cria um vazio operacional. E vazios operacionais são territórios férteis para invasores.

A maturidade real começa quando TPI e TPRM deixam de ser iniciativas paralelas e passam a operar como um sistema integrado. O risco avaliado precisa determinar o modelo de autenticação, o tipo de privilégio, a granularidade do acesso e o tempo de vigência da credencial. Não é apenas uma questão de governança. É engenharia de segurança aplicada ao ciclo de vida da identidade externa.

O primeiro pilar dessa maturidade é o onboarding controlado. Acesso de terceiro não nasce de um e-mail solicitando “libera para o fornecedor”. Ele nasce de um fluxo formal vinculado ao processo de TPRM. O risco define atributos, atributos definem papéis e papéis definem privilégios. Tudo registrado, rastreável e auditável. Sem isso, o que existe é improviso operacional com aparência de controle.

O segundo pilar é o privilégio contextual. Terceiro não pode operar com o mesmo modelo de acesso de colaborador interno. Ele precisa de escopo delimitado, segregação clara e, sempre que possível, acesso Just-in-Time. Privilégio permanente para terceiro é risco acumulado e risco acumulado é incidente esperando acontecer.

O terceiro pilar é visibilidade contínua. Quem é o sponsor interno desse terceiro? Quando o contrato termina? O acesso está atrelado a um projeto ativo? O privilégio concedido está sendo utilizado? A ausência de resposta para essas perguntas transforma identidade externa em identidade esquecida. E identidade esquecida é a porta preferida de quem quer se movimentar lateralmente sem chamar atenção.

O quarto pilar é expiração automática. Acesso de terceiro precisa nascer com data para morrer. Se o contrato renova, o acesso renova. Se o projeto encerra, a credencial expira. Simples. O que não pode acontecer é acesso externo sobreviver à necessidade de negócio, fora que devemos lembrar aqui de que a revisão de acesso de terceiros precisa ter um ciclo menor do que as de orgânico, senão contas órfãs serão seu grande desafio.

Do ponto de vista técnico, TPI precisa estar integrado com IGA para governança de ciclo de vida, com PAM para controle de privilégio elevado, com AM para autenticação forte e com CIEM para controle granular na nuvem. Não existe TPI robusto isolado. Existe ecossistema de identidade orquestrado.

Do ponto de vista executivo, precisamos entender se você consegue demonstrar que o risco do fornecedor está refletido no nível de acesso que ele possui hoje.

Se a resposta depende de extrair relatórios de múltiplas ferramentas e correlacionar manualmente informações (o que não está errado dependendo do tamanho da empresa), a sua organização ainda opera no modelo fragmentado. Identidades externasmalgovernadas não vejo como falha operacional, mas podemos melhorar e criar um alinhamento estratégico entre risco e controle (O que acha?).

No cenário atual que estamos falando e vendo grandes empresas chancelando isso, identidade é o novo perímetro e por isso, governar terceiros não é opcional. É condição de sobrevivência digital.​