0
0
Por Jose Caso | Product Marketing Manager, IAM da Thales
Mudança digital nas infraestruturas críticas revela risco crescente com usuários externos
Parceiros, fornecedores e prestadores de serviço já são essenciais nas operações diárias. Mas, em muitos casos, o controle de identidade e acesso para esses usuários ainda é improvisado — o que abre brechas de segurança, gera ineficiências e compromete a conformidade.
Uma nova realidade para a gestão de identidade
A maioria dos programas de IAM (Identity and Access Management) em setores críticos foi criada para atender dois grupos principais: funcionários e clientes. Só que esse modelo está ultrapassado.
Hoje:
- Usuários externos representam quase metade dos acessos aos sistemas corporativos.
- Organizações de infraestrutura crítica utilizam, em média, 90 aplicações em nuvem.
- Mais de 60% dos dados nessas aplicações são considerados sensíveis.
Esse não é apenas um novo padrão — é uma mudança estrutural no perímetro de identidade.
O que é B2B IAM?
A Gestão de Identidade e Acesso entre Empresas (B2B IAM) engloba ferramentas, políticas e processos para controlar o acesso de entidades externas como fornecedores, prestadores de serviço, parceiros e contratados.
Diferente do IAM voltado para colaboradores ou clientes, o B2B IAM foca em relacionamentos estruturados, governança de acesso e rastreabilidade. Ele é fundamental para equilibrar eficiência operacional, segurança e conformidade regulatória.
Esses usuários externos precisam acessar os mesmos sistemas que os funcionários — portais de fornecedores, ERPs, ferramentas de gestão de pedidos e qualidade, entre outros. No entanto, seus acessos tendem a ser mais lentos, inseguros e difíceis de gerenciar.
Aumentam as exigências de conformidade
As regulamentações estão cada vez mais claras sobre o risco representado por terceiros.
Na Europa, a diretiva NIS2 exige que organizações em setores críticos controlem de forma comprovada o acesso de terceiros a sistemas e dados. O GDPR também amplia o conceito de responsabilidade, incluindo processadores de dados e atores externos.
Na América Latina, Ásia-Pacífico e Oriente Médio, surgem regulações semelhantes — com foco crescente em responsabilidade compartilhada.
Nos EUA, leis estaduais como CCPA e NYDFS já abordam o acesso externo. Propostas federais como o APRA (American Privacy Rights Act) devem elevar ainda mais o padrão. Em setores como energia, defesa e saúde, a governança de identidade já é critério obrigatório em auditorias federais.
Ou seja: as empresas precisam provar quem acessou o quê, quando e por quê — mesmo que não sejam seus funcionários.
Um caso real: um prestador de serviços manteve acesso a sistemas internos por seis meses após encerrar o contrato. Isso não é apenas má prática — é um risco regulatório.
O desafio das equipes de TI
Gerenciar acessos internos já é complexo. Agora imagine lidar com centenas de milhares de usuários externos com diferentes cargos, prazos e requisitos.
Um grande fabricante do setor aeroespacial, por exemplo, gerencia atualmente 250 mil usuários externos — e planeja chegar a 700 mil. Sem delegação ou automação, todas as solicitações passam pela equipe de TI interna, gerando gargalos, atrasos e dependência de processos manuais.
E isso impacta os negócios. Um fornecedor sem acesso ao sistema de pedidos pode atrasar entregas. Um auditor parado no processo de provisionamento pode adiar uma certificação crítica. Pequenos atrasos com grandes consequências.
Além disso, muitos usuários externos pertencem a estruturas hierárquicas: fornecedores globais com escritórios regionais, subcontratados com alta rotatividade… Gerenciar tudo isso manualmente é insustentável.
Caminho mais inteligente: Gestão Delegada de Usuários
A Gestão Delegada de Usuários permite que organizações parceiras gerenciem seus próprios usuários — com limites definidos por você.
Isso reduz a carga de trabalho da TI, dá mais autonomia aos parceiros e garante que o acesso seja concedido conforme políticas, prazos e regras de auditoria. É ideal quando os usuários:
- Trabalham por tempo determinado ou em projetos pontuais
- Estão distribuídos geograficamente ou em estruturas regionais
- Precisam acessar sistemas com exigências regulatórias
Delegar não significa perder o controle. Significa aproximar a responsabilidade de quem conhece o usuário — mantendo a segurança e a governança na plataforma.
Exemplo: um administrador de fornecedor pode incluir usuários em um portal de compras, mas não terá permissão para conceder acesso a dados financeiros ou de RH.
Por que as ferramentas tradicionais de IAM não são suficientes
IAM para colaboradores geralmente se baseia no sistema de RH. Já o IAM para clientes é feito para autosserviço em grande escala, com pouca governança.
A identidade de terceiros não se encaixa em nenhum desses modelos. Esses usuários:
- Não estão no sistema de RH
- Não são consumidores anônimos
- Precisam de acesso contínuo e lidam com dados sensíveis
Gerenciá-los exige plataformas que ofereçam:
- Identidades federadas ou nativas
- Administração delegada com controle por função
- Acesso com tempo limitado e desprovisionamento automático
- Gestão de consentimento para atender exigências regulatórias
- Trilhas completas de auditoria e relatórios
É exatamente para isso que o B2B IAM foi criado.
O que acontece quando o problema não é resolvido
Ignorar a identidade de terceiros pode gerar:
- Atrasos em compras e onboarding de parceiros
- Brechas de segurança com contas órfãs
- Violações de compliance por falta de rastreabilidade
- Frustração de parceiros com processos rígidos
O impacto mais crítico? A dificuldade em escalar. O crescimento das empresas depende da colaboração externa — e essa colaboração desacelera quando cada novo parceiro exige dias ou semanas de suporte manual de IAM.
O que as empresas mais avançadas estão fazendo
Organizações que lideram a transformação já entenderam: a identidade de terceiros não é mais exceção — é uma exigência fundamental.
Elas estão priorizando plataformas de IAM que:
- Suportam casos de uso externos desde a origem
- Oferecem gestão delegada com suporte a hierarquias
- Podem ser administradas por áreas de negócio, não apenas por TI
- Atendem às exigências de auditoria e privacidade global
E mais: estão envolvendo as áreas de compras, jurídico e compliance desde o início — transformando a identidade em uma capacidade organizacional, não apenas uma tarefa técnica.
Conclusão
O acesso de terceiros não pode mais ser tratado com planilhas, e-mails ou soluções improvisadas.
Nos setores de infraestrutura crítica — onde a conformidade, a continuidade e o controle são inegociáveis — a gestão de identidade externa é agora uma competência estratégica.
Empresas que modernizam esse processo reduzem riscos e ganham agilidade para crescer com segurança e eficiência.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.