Para proteger uma empresa contra-ataques cibernéticos, há uma infinidade de ferramentas e fabricantes que propõe elevar a maturidade e garantir uma rede segura e monitorada. No entanto, para atingir esse ideal, seria necessário que o apetite ao risco fosse praticamente nulo e que a tecnologia estivesse no centro do modelo de negócio, para que assim um bom budget fosse disponibilizado — o que não reflete a realidade de todos os executivos de segurança da informação e tecnologia, não é mesmo?
Ao longo dos anos, temos presenciado organizações que investem significativamente em segurança da informação sendo alvos de ataques. Esse cenário alimenta uma discussão essencial: como isso é possível, mesmo com investimentos crescentes e um mercado em franca expansão? A resposta está na forma como racionalizamos a preocupação com a segurança.
Sem mensuração, o risco torna-se uma variável incontrolável.
Para compreender a extensão do risco, é necessário defini-lo. E para definí-lo, precisamos decompor o termo “segurança da informação”, que hoje se apresenta genérico quando o assunto é risco estratégico. Vazamentos de dados, exposição da marca, indisponibilidades parciais ou totais são exemplos de riscos distintos que demandam classificações adequadas, mas que estão relacionados direta ou indiretamente ao risco cibernético conforme a maturidade, o porte e a regulação que incidem sobre a organização.
Mas onde entra a identidade nessa discussão?
Identidade é um insumo crítico para riscos digitais e está disciplina, precisa ser discutida dentro de cada risco estratégico digital. Ransomware, um dos ataques mais temidos, se apoia em credenciais válidas. Phishing, o ataque mais comum no Brasil, visa exatamente capturá-las. E mesmo fora do contexto de risco, a identidade é condição obrigatória para viabilizar novas tecnologias. Quer usar IA generativa com segurança? Então você precisa de governança de acesso.
Faça um exercício rápido: olhe para o seu celular e conte quantos aplicativos você tem. Agora reflita: você sabe a senha de todos? Ou utiliza login social (Google, Apple)? E quando cria uma nova conta pessoal, cria senhas como “Nome@2025”? Essas práticas pessoais se estendem para o ambiente corporativo. E é exatamente por isso que identidade precisa ser tratada como risco, pois está intrinsecamente ligada à cultura digital do ser humano.
Não é atoa que o termo human risk está crescendo!
Governar identidades vai muito além de ferramentas. Envolve controle, revisão periódica e aplicação do princípio do mínimo privilégio e outros controles. E não apenas para os colaboradores. Você conhece todas as identidades existentes na sua empresa e o risco associado a cada uma delas?
Esse é o ponto de partida da governança. E é sobre isso que falaremos no próximo artigo.
