IGA valida, revisa e audita os acessos que IAM e CIAM concedem. Saiba como a governança de identidades funciona
Empresas investem alto em autenticação e controle de acesso e, ainda assim, reprovam em auditorias. A razão costuma ser a mesma: confundir IAM, que habilita o acesso, com IGA, que governa esse acesso. O caso recente da FIFA mostra, na prática, o preço dessa confusão.
Por Regina Tupinambá
Governança e Administração de Identidades (IGA) valida, revisa e audita o acesso que o IAM e CIAM apenas concedem. Saiba como funciona

Acompanho o mercado de identidade digital desde a criação da Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), e poucas confusões conceituais são tão persistentes quanto a que envolve as siglas IAM e IGA. Elas aparecem juntas em propostas comerciais, editais e relatórios de consultoria como se fossem sinônimos. Não são. E tratar uma como substituta da outra é a origem de boa parte das lacunas de conformidade que as auditorias expõem depois.
A Gestão de Identidade e Acesso (IAM, do inglês Identity and Access Management) responde a duas perguntas operacionais: quem é você e a que você pode acessar. É a camada que autentica usuários, aplica a autenticação multifator (MFA, de Multi-Factor Authentication), oferece o login único (SSO, de Single Sign-On), provisiona e desprovisiona contas e sustenta o dia a dia de funcionários, terceiros e sistemas. Sem IAM, a operação para.
A Governança e Administração de Identidades responde a uma pergunta diferente e mais incômoda: essa pessoa deveria ter esse acesso? Quem aprovou, quando foi revisado pela última vez e esse privilégio ainda se justifica? Enquanto o IAM abre e fecha portas, o IGA controla o chaveiro, documenta cada cópia de chave e pergunta, periodicamente, por que ela continua no bolso de alguém.
Gosto de uma síntese simples: o IAM e CIAM são operacionais, o IGA é estratégico.

Um garante que o acesso funcione; o outro garante que o acesso seja justificado, apropriado e auditável ao longo do tempo. As duas camadas se sobrepõem em pontos importantes, como a gestão do ciclo de vida das identidades, a definição de funções, o princípio do menor privilégio e a integração com os sistemas de Recursos Humanos, e é exatamente nessa interseção que uma arquitetura de Confiança Zero (Zero Trust) se sustenta na prática.
Como o IGA trabalha
O IGA opera sobre o ciclo de vida completo da identidade, da admissão ao desligamento, aplicando políticas em cada transição. Quando um colaborador é contratado, o provisionamento baseado em políticas determina quais acessos aquela função recebe, sem improvisos. Quando ele muda de área, os fluxos de trabalho ajustam automaticamente os privilégios, revogando o que deixou de fazer sentido. Quando sai da empresa, o desprovisionamento elimina as contas antes que elas se tornem identidades órfãs, um dos vetores de ataque mais explorados atualmente.
Entre esses marcos, o IGA mantém a vigilância contínua. As certificações de acesso obrigam gestores a revisar, em ciclos definidos, se cada privilégio concedido às suas equipes ainda se justifica. A segregação de funções (SoD, de Segregation of Duties) impede combinações perigosas, como um mesmo usuário iniciar e aprovar uma transação financeira, exigência clássica de normas como a Sarbanes-Oxley e preocupação central em instituições reguladas pelo Banco Central. E as trilhas de auditoria registram cada solicitação, aprovação e alteração, transformando a governança em evidência documental.
Um exemplo torna isso concreto. Imagine o fechamento trimestral de uma área financeira que exige acessos privilegiados temporários. O IAM concede as credenciais e autentica os usuários. O IGA, por sua vez, define que aquele privilégio expira ao fim do período, exige recertificação a cada noventa dias e sinaliza automaticamente qualquer conta que escape da política. O acesso existe, mas existe sob governança.
O caso FIFA: quando IAM, CIAM e IGA falham ao mesmo tempo
Se você acompanha o Crypto ID, provavelmente leu nossa publicação de 29 de junho sobre o hacker ético que acessou a infraestrutura de transmissão da Copa do Mundo. Se ainda não leu, recomendo a leitura na íntegra, porque o episódio é uma aula involuntária sobre tudo o que discutimos neste artigo. E permita que eu converse diretamente com você, leitor, por um momento: esqueça por um instante que estamos falando da FIFA. Pergunte-se se a sua organização resistiria ao mesmo teste.
Recapitulo o essencial. Um pesquisador criou uma conta de agente de futebol na plataforma oficial da entidade, um cadastro aberto a qualquer pessoa mediante envio de documento e verificação de e-mail. Essa conta externa nasceu dentro do mesmo ambiente Microsoft Entra que sustenta os sistemas internos da organização. A interface exibia a mensagem de acesso negado, mas a API de backend não aplicava restrição nenhuma. Resultado: uma conta sem privilégio algum enxergava o centro de produção das transmissões ao vivo, o sistema de placares, o ambiente de comentaristas e até arquivos de receitas e transferências de jogadores.
Agora vamos dar nome técnico a cada falha, porque é aqui que as siglas deixam de ser jargão e viram diagnóstico.
A primeira falha é de CIAM (Customer Identity and Access Management, a gestão de identidade e acesso de clientes e usuários externos). O CIAM é a disciplina que trata das identidades que nascem fora da organização: clientes, parceiros, agentes, torcedores. Ela exige um desenho próprio, com confiança progressiva, isolamento em relação ao ambiente corporativo e privilégios mínimos por padrão. Colocar identidades externas de autocadastro no mesmo diretório que sustenta os sistemas internos, sem segmentação, é abrir a porta da rua diretamente para a sala do cofre.
A segunda falha é de IAM na sua função mais elementar: a autorização. Verificar permissões apenas na interface, deixando a API servir qualquer conteúdo a qualquer usuário autenticado, não é controle de acesso, é cenografia. Como o próprio pesquisador relatou, esse padrão se repete em empresas de todos os setores. Autenticar bem não basta; cada camada da arquitetura precisa validar, de forma independente, o que aquela identidade pode fazer.
A terceira falha, e talvez a mais reveladora, é a ausência de IGA. Pense comigo: em uma estrutura com governança de identidades madura, alguém teria de responder por que o perfil de agente de futebol possuía direitos vinculados a plataformas de transmissão e a ambientes de desenvolvimento. Uma certificação de acesso teria exposto esse excesso de privilégios muito antes de qualquer invasor. Uma política de segregação de funções jamais permitiria que um mesmo perfil externo acumulasse visibilidade sobre operação de broadcast, dados esportivos em tempo real e informação financeira. O IAM falhou em aplicar o controle, mas foi a inexistência de governança que deixou o excesso de direitos invisível para a própria organização.
A lição que fica é a que venho defendendo ao longo deste artigo. Autenticação forte e login funcionando dão sensação de segurança, mas segurança de identidade é outra coisa: é saber, a qualquer momento, quem pode acessar o quê, por qual motivo, aprovado por quem e até quando.
A FIFA teve a sorte de ser encontrada primeiro por um hacker do bem. A sua organização pode não ter a mesma sorte.
E se a sua organização for uma instituição de ensino ou uma plataforma educacional, o cuidado deve ser redobrado.
Nesses ambientes convivem, sob o mesmo sistema, perfis de professores, equipe administrativa, pais, responsáveis, alunos e prestadores terceirizados, cada um com ciclo de vida, direitos e riscos próprios, e boa parte deles no território do CIAM.
A diferença é que ali o titular dos dados é criança ou adolescente, o que impõe camadas adicionais de obrigação: o Estatuto da Criança e do Adolescente (ECA), o artigo 14 da Lei Geral de Proteção de Dados Pessoais, que exige o tratamento de dados de menores sempre no seu melhor interesse, e o ECA Digital (Lei 15.211/2025), em vigor desde 17 de março de 2026 e já regulamentado por decreto, com fiscalização a cargo da Agência Nacional de Proteção de Dados e multas que podem alcançar 10% do faturamento do grupo econômico no Brasil.
Em uma escola, um excesso de privilégio não expõe apenas uma transmissão de futebol; expõe notas, laudos, endereços e rotinas de crianças. Governança de identidades, nesse contexto, deixa de ser boa prática e passa a ser dever legal de proteção. O tema é tão denso, e as novas regras de aferição de idade que a ANPD prepara para os próximos meses tão decisivas, que voltarei a ele em um artigo dedicado aqui no Crypto ID. Fique atento.
Glossário
IAM (Identity and Access Management): conjunto de tecnologias e processos que autentica usuários e controla o acesso a sistemas e recursos.
IGA (Identity Governance and Administration): camada de governança que valida, revisa e audita os acessos concedidos, garantindo conformidade com políticas e regulações.
CIAM (Customer Identity and Access Management): gestão de identidade e acesso de clientes e usuários externos, com requisitos próprios de cadastro, consentimento, escalabilidade e isolamento do ambiente corporativo.
SoD (Segregation of Duties): segregação de funções; princípio que impede que um mesmo usuário concentre atribuições conflitantes, como iniciar e aprovar uma transação.
Certificação de acesso: revisão periódica e formal na qual gestores confirmam ou revogam os privilégios das suas equipes.
Identidade órfã: conta ativa que permanece nos sistemas após o desligamento ou a mudança de função do seu titular.
SCIM (System for Cross-domain Identity Management): protocolo aberto que automatiza o provisionamento e o desprovisionamento de usuários entre sistemas e aplicações.
CIEM (Cloud Infrastructure Entitlement Management): categoria de ferramentas que governa direitos e permissões no nível da infraestrutura de nuvem.
Como hackear a Copa do Mundo? Um hacker do bem conseguiu
Por que precisamos expandir o debate sobre credenciais verificáveisCredenciais verificáveis no Brasil: Workshop explica por que a confiança digital começa na fonte da verdade
Proteção de menores na era digital: o G7 deu o tom e o Brasil tem lei e tecnologia para responder
Infraestruturas críticas conectadas viram alvo de fraude e Brasil leva solução à Hannover Messe 2026

REGINA TUPINAMBÁ | CCO – Chief Content Officer – Crypto ID. Publicitária formada pela PUC Rio. Como publicitária atuou em empresas nacionais e internacionais atendendo marcas de grande renome entre elas Coca-Cola, Grupo L’Oréal, Nestlé, McDonald’s, Exxon, General Motors, Petrobras, Banco do Brasil, CAIXA e Ambev, participando da definição e implementação de estratégias de posicionamento, comunicação e construção de marca. Em 1999, migrou sua atuação para empresas do universo de segurança digital onde passou ser a principal executiva das áreas comercial e marketing em uma Autoridade Certificadora Brasileira. Acompanhou a criação da AC Raiz da ICP-Brasil e participou diretamente da implementação e homologação de inúmeras Autoridades Certificadoras. Foi, também, responsável pelo desenvolvimento do mercado de SSL no Brasil. É CEO da Insania Publicidade e como CCO do Portal Crypto ID dirige a área de conteúdo do Portal desde 2014. Acesse seu LinkedIn.
Leia outros artigos escritos por Regina, aqui!
Identidade é quem você é. Identificação digital é como você prova isso. O Crypto ID trata dessa distinção desde 2014 e sobre identificação de pessoas e identidades não humanas (NHIs) com abordagem técnica e acadêmica, você só lê aqui!
IAM: Segurança que vai além do acesso
Em um ambiente sem perímetro definido, é a identidade que define quem acessa, como acessa e até onde pode ir. E a disciplina se desdobra: o IGA governa e audita esses acessos, e o PAM protege os privilégios mais críticos. O Crypto ID, referência editorial em tecnologia e segurança digital, mantém conteúdo riquíssimo sobre IAM – Identity and Access Management e todo o seu ecossistema.
Acesse a coluna e confira.









