Identidade ainda é tema de infraestrutura em muitas organizações. Mas o risco que ela representa é financeiro, operacional, reputacional. Durante Painel de Debates movido no Redbelt Security EXPAND desse ano, mediado por Nycholas Szucko, Co-Founder e CRO da Verta com os executivos Mariana Werson, CISO na RD Saúde, Pedro Lohmann, CISO na L’Oréal Brazil e Paulo Principe, CISO no Banco Rendimento, eles discutiram o que está no centro da agenda de qualquer CISO atualmente: a identidade como um grande vetor de ataque e escalonamento, a proliferação de credenciais que ninguém contratou (como contas de serviço, APIs e agentes de IA), os riscos associados ao acesso de terceiros e o desafio de governar ambientes marcados por falhas de gestão do passado.
Segundo Mariana Werson, o risco de identidade sempre existiu, mas ganhou outra dimensão entre 2020 e 2023, impulsionado pelo contexto da pandemia. Nesse período, houve uma aceleração muito forte da migração para a nuvem e da adoção de soluções SaaS, o que ampliou rapidamente a superfície de exposição das empresas. “Com isso, surgiu o conceito de “novo perímetro”, em que a segurança deixou de estar restrita ao ambiente corporativo tradicional e passou a incluir, por exemplo, a casa do colaborador. Esse movimento não só transformou a dinâmica de acesso e gestão de identidades, como também aconteceu em um ritmo muito acelerado, dificultando a adaptação das estratégias de cibersegurança. Como consequência, o cenário se tornou mais complexo para os times de defesa e, ao mesmo tempo, mais favorável para os atacantes, já que passou a ser mais simples comprometer identidades válidas do que explorar vulnerabilidades técnicas. Nesse contexto, a identidade passou a se consolidar como um dos principais vetores de ataque. A partir disso, surge a necessidade de entender melhor o escopo das identidades dentro das organizações”, relata.
Já Paulo Principe acredita que ampliou significativamente o desafio de gestão de identidades, especialmente no contexto de serviços e integrações via APIs, que passaram a ter um papel central nas operações. A adoção de duplicações e integrações com parceiros externos, somada a movimentos de mercado incentivados por instituições como o Banco Central, aumentou a preocupação com a governança de identidades. Diante disso, a organização vem promovendo melhorias nos processos de gestão de identidade e controle de acessos, buscando maior padronização e segurança.
“Há um forte investimento em campanhas de conscientização e educação para fortalecer a cultura de segurança baseada em princípios de zero trust, partindo da premissa de que nenhum acesso deve ser automaticamente confiável. Além disso, a empresa intensificou testes em diferentes plataformas, implementou o uso de identidades controladas e restringiu o acesso a ambientes produtivos por meio de cofres de credenciais com rotação automática. Apesar desses avanços, reconhecemos que não existe uma solução única, é necessário um conjunto de iniciativas coordenadas para mitigar os riscos”, explica Paulo Principe.
Pedro Lohmann destacou um desafio adicional: a convergência entre ambientes de TI e OT. Se antes as redes de OT eram isoladas e havia uma sensação de segurança, a evolução para Indústria 4.0 e 5.0 trouxe maior conectividade e, consequentemente, mais riscos. “Um ponto crítico são os acessos de terceiros, como prestadores de serviço e fabricantes, que precisam intervir rapidamente em situações de manutenção, especialmente em paradas não programadas. Esse cenário pressiona por agilidade, muitas vezes em conflito com as melhores práticas de segurança. Casos em que fornecedores tentam acessar remotamente por meios não controlados, como conexões próprias, por exemplo, 3G, são um risco real. O desafio passa a ser equilibrar continuidade operacional e segurança, implementando controles rígidos de acesso remoto, monitoramento e governança, sem comprometer a produtividade da planta.”
“Para lidar com cenários que exigem acessos emergenciais, como manutenções ou intervenções técnicas, a abordagem que faz mais sentido é a adoção de credenciais temporárias, apoiadas por processos bem definidos. Nesse contexto, conceitos como just-in-time access e just-enough access ganham relevância, pois criar acessos sob demanda, com privilégios estritamente necessários e duração limitada ao tempo da atividade, evitando permissões amplas ou permanentes que aumentem a superfície de risco”, completa o CISO na L’Oréal Brazil.
