Por que os relatórios não mencionam diretamente as Identidades?
Por Leonel Conti
Tenho acompanhado relatórios globais sobre fraude e riscos cibernéticos. A maioria destaca os vetores de ataque, mas poucos apontam a causa raiz. Falamos do problema e pouco falamos da identidade como elemento central.
Vamos aos fatos.
1) Phishing
O phishing raramente é o objetivo final, ele é o meio. O atacante busca uma credencial válida ou um ponto de apoio inicial. Uma vez dentro, movimenta-se lateralmente, explora vulnerabilidades e consolida privilégios. No fim, tudo converge para o mesmo ponto: uma identidade legítima sendo usada de forma ilegítima.
2) Fraude sistêmica
Fraude dificilmente acontece isoladamente. Normalmente envolve múltiplos atores, falhas de segregação de funções e ausência de controles estruturais. RBAC bem definido, SoD aplicado e revisões de acesso efetivas reduzem drasticamente esse risco.Quando identidade é mal governada, fraude deixa de ser exceção e passa a ser probabilidade mensurável.
3) Ransomware
Ransomware não começa com criptografia (Senão quem clica no Phishing já mataria a empresa em um clique), começa com acesso. O atacante entra, observa, aprende o ambiente, coleta privilégios, instala artefatos e só depois executa. Tudo isso, na maioria das vezes, com credenciais válidas. A pergunta não é se houve falha tecnológica. A pergunta é: qual identidade permitiu fazer tudo isso?
4) Vazamento de dados por aplicações
Service accounts, tokens, APIs, automações, pipelines de CI/CD, agentes de IA, elas já superam identidades humanas em larga escala, o mundo está conectado e são máquinas falando com máquinas, grande parte dessas identidades é excessivamente privilegiada, com chaves antigas, segredos não rotacionados e baixa visibilidade. (Não é?) Vazamento de dados por aplicação quase sempre envolve uma identidade não humana mal governada e/ou conhecida (que é o pior).
5) Terceiros
A escassez de mão de obra especializada impulsiona terceirização. Fornecedores precisam de acesso, parceiros precisam de credenciais, integrações exigem permissões.Cada terceiro é uma identidade ativa no seu ambiente. O ponto é simples, terceiros não são apenas contratos. São identidades operando dentro da sua infraestrutura.
O verdadeiro ponto cego
Revisão de acesso não pode ser tratada como simples aprovação de uma lista quando um líder a receba, assim como automatizar 10 integrações em um universo de 100 sistemas não reduz risco estrutural, apenas cria uma sensação artificial de controle. Proteger produção e não olhar a homologação abre caminhos alternativos, proteger servidores e esquecer bases de dados cria atalhos invisíveis, segmentar rede sem correlacionar identidades gera cegueira operacional. As camadas de defesa são necessárias, mas quando uma identidade válida concentra privilégios excessivos, ela é capaz de atravessar todas elas com legitimidade aparente.
A pergunta que precisa ser feita
Identidade não é uma iniciativa tática, é um programa estrutural que impacta governança, custos, cultura e modelo operacional. Exige disciplina, priorização executiva e decisões que nem sempre são confortáveis, porque restringem privilégios e aumentam accountability (Aqui trago o ponto de um analista fazer o papel de coordenador, sabemos que rola isso, não?). Para 2026 e para os próximos anos, tratar identidade como componente secundário do risco cibernético deixa de ser uma escolha e passa a ser uma vulnerabilidade estratégica. Daí faço a provocação, sua gestão está tratando o sintoma ou a causa?
Concorda com esses meus pontos?
