por Teogenes Panella
Nos últimos cinco anos, o discurso dominante em tecnologia tem sido “cloud first”, seguido por “AI first”. Minha avaliação é objetiva: a próxima agenda inevitável não é uma nova camada tecnológica, mas a consolidação da identidade como infraestrutura crítica. Algo menos glamouroso, porém determinante para a resiliência empresarial: Identity First Security.
A identidade digital deixou de ser apenas um mecanismo de autenticação para se tornar a principal superfície de ataque das organizações. Não se trata mais de
proteger perímetro ou endpoint. Trata-se de proteger “quem” ou “o que” tem permissão para agir dentro do ambiente corporativo. Se identidade é hoje o principal vetor de acesso inicial, tratá-la como camada secundária é um erro estratégico.
Hoje, o verdadeiro perímetro é a permissão: quem pode acessar, o que pode executar e sob qual contexto. O Verizon Data Breach Investigations Report evidencia que o uso de credenciais comprometidas continua sendo um dos vetores de acesso inicial mais recorrentes nas violações analisadas. Já o relatório Cost of a Data Breach 2025, da IBM, aponta que o custo médio global de um vazamento foi reduzido de US$ 4,88 milhões em 2024 para US$ 4,44 milhões em 2025 – sendo parte dessa redução atribuída ao uso de IA na identificação e contenção mais rápida dos incidentes. Ou seja, mesmo com ganhos de eficiência operacional via IA, a porta de entrada continua sendo uma identidade comprometida.
Esses números revelam algo relevante: a tecnologia evolui, mas o centro do risco permanece concentrado em quem recebe privilégios e sob quais condições.
A adoção massiva de SaaS, ambientes multi-cloud e arquiteturas híbridas tornou obsoleto o conceito de rede como fronteira primária de defesa. A rede já não delimita risco. A identidade, sim. Ela é o novo centro gravitacional da segurança. Ela é o novo centro gravitacional da segurança corporativa e, portanto, deve ser tratada no mesmo nível estratégico que cloud, dados e inteligência artificial.
Vejo muitas organizações investindo em Identity Governance, PAM e modelos Zero Trust, o que considero um avanço importante. No entanto, ainda observo uma abordagem excessivamente orientada a compliance. Cumprir requisitos regulatórios não significa necessariamente reduzir risco estrutural. Compliance responde ao regulador. Governança de identidade responde à sobrevivência do negócio. O desafio real é compreender identidade como ativo crítico de negócio, com impacto direto em continuidade operacional, reputação e valor de mercado.
Nesse contexto, a inteligência artificial adiciona uma camada inédita de complexidade. O que mais me preocupa não é apenas a sofisticação dos ataques impulsionados por IA, mas a expansão das identidades não humanas. APIs, micro serviços, workloads automatizados e, cada vez mais, agentes de IA, já superam o número de usuários humanos em muitas organizações. Em alguns ambientes, a proporção de identidades não humanas já ultrapassa múltiplas vezes o total de colaboradores ativos. Cada uma dessas entidades possui privilégios, tokens e acessos que, se mal governados, podem se transformar em vetores de impacto sistêmico em escala exponencial.
Leia mais: ArcelorMittal conclui plano de R$ 5,8 bi em energias renováveis com nova planta solar
A chegada dos agentes de IA autônomos amplia significativamente essa discussão. Diferentemente de um colaborador humano, um agente pode operar continuamente, consultar múltiplas bases simultaneamente e correlacionar dados sensíveis em segundos. Se o desenho arquitetural permitir que esses agentes possuam privilégios amplos e permanentes, estaremos criando “super identidades” algorítmicas com capacidade de exposição massiva, inclusive amplificando riscos como prompt injection, abuso de APIs e extração indevida de dados sensíveis. Imagine um agente com acesso permanente a diferentes data lakes financeiros, capaz de cruzar informações estratégicas em segundos e transferi-las por meio de uma API comprometida. O impacto deixaria de ser técnico para se tornar imediatamente corporativo.
Entendo que uma abordagem madura para mitigar esse risco é restringir a autonomia dos agentes ao contexto da sessão do usuário humano autenticado. Em termos práticos, isso significa que o agente deve herdar exclusivamente os privilégios daquele usuário, operando sob o mesmo escopo, mesmas restrições e mesmas trilhas de auditoria. Não se trata apenas de controle técnico, mas de preservar accountability e rastreabilidade em ambientes cada vez mais automatizados.
Esse modelo evita a criação de identidades paralelas invisíveis e preserva a rastreabilidade das ações. Em vez de conceder privilégios permanentes e amplos a
um agente, adota-se uma delegação contextual e temporária. O agente age como extensão do usuário, e não como uma entidade independente com poderes
sistêmicos. Arquiteturas que ignoram esse princípio estão, na prática, expandindo sua superfície de ataque sem perceber.
Essa lógica está alinhada aos princípios de Zero Trust e privilégio mínimo dinâmico. Mais do que uma decisão técnica, trata-se de uma escolha estratégica de arquitetura. Ao limitar a atuação do agente àquilo que o humano já poderia executar, reduzimos drasticamente a probabilidade de vazamentos estruturais e fortalecemos a governança sobre decisões automatizadas, sem a necessidade de criar uma matriz de segregação de funções exclusiva para cada novo agente de IA. Identity Security passa, assim, a ser um dos alicerces da governança de IA.
Em setores regulados, o impacto de um vazamento extrapola o domínio financeiro. Ele atinge reputação, confiança de mercado e pode resultar em restrições operacionais severas. Quando uma identidade privilegiada é comprometida, seja humana ou algorítmica, o dano ultrapassa a área de tecnologia e se torna risco corporativo. Esse é um tema que deveria estar na pauta recorrente de conselhos de administração, não apenas em comitês técnicos.
Estamos diante de uma mudança clara: a identidade precisa ser tratada no mesmo nível estratégico que cloud, dados e inteligência artificial. Isso exige visibilidade abrangente de identidades humanas e não humanas, governança contínua baseada em risco e automação inteligente para ajuste dinâmico de privilégios. Não é uma tendência emergente. É uma exigência estrutural de um ambiente digital orientado por automação.
Tenho convicção de que CIOs e CTOs que ainda enxergam Identity & Access Management como disciplina de suporte operacional estão subestimando sua
relevância estratégica. O debate deixou de ser “como autenticar melhor” e passou a ser “como garantir que apenas as entidades certas, no contexto certo e pelo tempo certo, executem ações críticas”. A organização que não dominar essa disciplina estará, inevitavelmente, operando com risco invisível acumulado.
A provocação que deixo é direta: se identidade é hoje o principal vetor de ataque e agentes de IA estão se tornando operadores ativos dentro das organizações, quem está efetivamente governando essas identidades ampliadas?
Em um mundo orientado por automação e decisões algorítmicas, a maturidade em Identity Security será o verdadeiro divisor entre organizações resilientes e aquelas que perceberão o risco apenas quando ele já tiver se materializado.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
