Governança de Identidades e Acessos, ou IGA, é a disciplina que controla quem tem acesso a quais sistemas, por qual motivo, com qual aprovação e por quanto tempo. Também chamada de Identity Governance and Administration, ela conecta gestão de identidades, gestão de acessos, revisão de permissões, auditoria e compliance em um processo governado.
IGA vem de Identity Governance and Administration, termo traduzido no mercado como Governança e Administração de Identidades. A busca por esse tema cresceu porque empresas passaram a operar com muitos sistemas SaaS, diretórios, ERPs, CRMs, ambientes em nuvem, terceiros, fornecedores e identidades não humanas. Sem governança, o resultado costuma ser conhecido: acessos acumulados, contas órfãs, aprovações por e-mail, planilhas, chamados manuais e dificuldade para responder auditorias.
Este guia explica o que é IGA, como funciona, qual é a diferença entre IGA e IAM, quais processos fazem parte da governança de acessos e por que o tema se tornou central para segurança, compliance, LGPD e eficiência operacional.
IGA, governança de identidade e gestão de acessos são a mesma coisa?
Os termos aparecem juntos nas buscas, mas não significam exatamente a mesma coisa. Entender essa diferença ajuda a escolher a solução correta e evita confundir uma disciplina de governança com um controle técnico isolado.
| Termo | Significado prático | Como se relaciona com IGA |
|---|---|---|
| Governança de identidade | Define regras, responsabilidades e controles sobre identidades digitais. | É uma parte central da IGA, especialmente para ciclo de vida e accountability. |
| Gestão de acessos | Administra permissões, perfis, solicitações e remoções de acesso. | É operacionalizada pela IGA com aprovação, provisionamento e revisão. |
| Identity and Access Management (IAM) | Guarda-chuva de práticas e tecnologias para identidade e acesso. | IGA é uma disciplina dentro de IAM, com foco em governança e auditoria. |
| Identity Governance and Administration | Nome em inglês para governança e administração de identidades. | É o termo técnico completo por trás da sigla IGA. |
O que é Governança de Identidades e Acessos (IGA)?
Governança de Identidades e Acessos (IGA) é o conjunto de processos, políticas e tecnologias usado para administrar identidades digitais e governar seus acessos durante todo o ciclo de vida. Isso inclui criação de usuários, concessão de permissões, alteração de acessos, desligamento, revisão periódica, segregação de funções e geração de trilhas de auditoria.
Uma plataforma de IGA responde perguntas que são simples de formular, mas difíceis de responder quando a empresa depende de processos manuais:
- Quem tem acesso a cada sistema?
- Por que esse acesso foi concedido?
- Quem aprovou a permissão?
- O acesso ainda é necessário?
- Existem contas órfãs ou usuários desligados com acesso ativo?
- Há conflito de funções ou excesso de privilégios?
- Como provar para uma auditoria que os acessos foram revisados?
Por isso, IGA não deve ser vista apenas como uma ferramenta de TI. Ela é uma camada de governança que conecta RH, TI, Segurança da Informação, Compliance, Auditoria e gestores das áreas de negócio.
Resumo rápido: para que serve IGA?
| Função da IGA | O que resolve | Exemplo prático |
|---|---|---|
| Ciclo de vida da identidade | Cria, altera e remove acessos conforme eventos de RH. | Novo colaborador recebe acessos conforme cargo, área e unidade. |
| Solicitação e aprovação | Formaliza pedidos de acesso com rastreabilidade. | Gestor aprova uma permissão antes do provisionamento. |
| Provisionamento | Executa criação, alteração ou remoção de acessos nos sistemas. | Conta e perfil são criados automaticamente em um ERP. |
| Revisão de acessos | Confirma periodicamente se permissões ainda fazem sentido. | Gestores revisam acessos de suas equipes a cada ciclo. |
| Auditoria e compliance | Registra evidências de quem solicitou, aprovou, alterou e revisou. | Auditoria recebe histórico de aprovações e revogações. |
Como funciona uma plataforma de IGA?
Uma plataforma de IGA normalmente funciona como uma camada central entre fontes de identidade, regras de negócio e sistemas de destino. Ela recebe dados de origem, aplica políticas de governança e executa a administração dos acessos conforme fluxos aprovados.
1. Fonte de identidades
O ponto de partida costuma ser o RH, diretório corporativo ou outro sistema oficial de cadastro. Dados como nome, matrícula, cargo, departamento, centro de custo, gestor, tipo de contrato e status do colaborador ajudam a definir quais acessos devem existir.
2. Regras de acesso
A empresa define regras para transformar atributos em permissões. Por exemplo: colaboradores de uma área podem precisar de acesso a determinados sistemas; usuários de uma filial podem ter regras específicas; terceiros podem ter prazos de expiração; perfis de alto risco podem exigir aprovação adicional.
3. Fluxos de solicitação e aprovação
Quando o acesso não deve ser concedido automaticamente, a IGA organiza o fluxo de solicitação. O pedido pode passar pelo gestor, pelo dono do sistema, por Segurança da Informação ou por Compliance, dependendo do risco e da política interna.
4. Provisionamento e desprovisionamento
Depois da aprovação, a plataforma cria, altera ou remove acessos nos sistemas integrados. Esse processo reduz chamados manuais, acelera o onboarding e diminui o risco de acessos permanecerem ativos depois de uma mudança de função ou desligamento.
5. Revisão e certificação de acessos
A revisão de acessos é um dos pilares da governança. Em campanhas periódicas, gestores ou responsáveis por sistemas confirmam quais permissões devem continuar ativas e quais devem ser removidas. Isso ajuda a combater acumulação de privilégios, contas sem dono e acessos incompatíveis com a função atual.
Quais controles uma plataforma IGA deve oferecer?
Uma plataforma IGA não deve apenas listar usuários e permissões. Ela precisa transformar regras de negócio em controles executáveis, rastreáveis e auditáveis. Em empresas com muitos sistemas, o valor está em coordenar processos que antes ficavam espalhados entre RH, TI, Segurança, gestores e donos de aplicação.
| Controle | Por que importa | Resultado esperado |
|---|---|---|
| Provisionamento de acessos | Reduz criação manual de contas e permissões. | Acessos concedidos com base em regras, aprovações e integrações. |
| Desprovisionamento | Evita usuários desligados, terceiros ou contas órfãs com acesso ativo. | Revogação rápida e documentada quando a identidade muda ou sai. |
| Certificação de acessos | Confirma periodicamente se cada permissão continua necessária. | Campanhas de revisão com decisão, responsável e evidência. |
| Segregação de funções | Reduz conflitos de permissão e risco de fraude. | Alertas e fluxos de mitigação para combinações incompatíveis. |
| Trilha de auditoria | Mostra quem solicitou, aprovou, alterou, revisou ou removeu acesso. | Evidências prontas para auditoria, compliance e investigação. |
IGA, IAM, AM e PAM: qual a diferença?
IAM, ou Identity and Access Management, é o guarda-chuva maior da gestão de identidades e acessos. Dentro dele, IGA, AM e PAM resolvem problemas diferentes e complementares.
| Sigla | Nome | Papel principal |
|---|---|---|
| IAM | Identity and Access Management | Conjunto amplo de práticas e tecnologias para gerenciar identidades e acessos. |
| IGA | Identity Governance and Administration | Governar ciclo de vida, permissões, aprovações, revisões e evidências. |
| AM | Access Management | Controlar autenticação, SSO, MFA e sessão de acesso. |
| PAM | Privileged Access Management | Proteger contas privilegiadas, credenciais administrativas e sessões críticas. |
A diferença entre IAM e IGA é especialmente importante. IAM é a estratégia ampla. IGA é a disciplina que garante governança: quem deveria ter acesso, quem aprovou, se o acesso ainda é necessário e como provar isso em auditoria.
IGA, CIAM e ITDR: onde cada conceito se encaixa?
À medida que identidade se torna um eixo central de segurança, outros termos aparecem junto com IGA, como CIAM e ITDR. Eles são importantes, mas resolvem problemas diferentes. Incluir esses conceitos ajuda a entender melhor a arquitetura de identidade sem confundir governança com autenticação de clientes ou detecção de ameaças.
| Conceito | Foco principal | Exemplo de pergunta que responde |
|---|---|---|
| IGA | Governança de identidades corporativas, acessos, aprovações, revisões e auditoria. | Essa pessoa deveria ter esse acesso? Quem aprovou? O acesso ainda é necessário? |
| CIAM | Gestão de identidade e acesso de clientes, consumidores, pacientes, alunos ou usuários externos. | Como o cliente se cadastra, autentica, recupera senha e consente com o uso de dados? |
| ITDR | Detecção e resposta a ameaças baseadas em identidade. | Há comportamento suspeito, abuso de credenciais ou tentativa de ataque usando uma identidade válida? |
Em resumo, CIAM cuida da experiência e segurança de identidades externas, ITDR monitora ameaças que exploram identidade, e IGA governa o ciclo de vida e os direitos de acesso das identidades corporativas. Em ambientes maduros, essas capacidades podem coexistir dentro de uma estratégia maior de IAM.
Principais processos de Governança de Identidades e Acessos
Onboarding de colaboradores
No onboarding, a IGA ajuda a conceder acessos corretos desde o primeiro dia. Em vez de depender de uma sequência de chamados, a empresa pode criar contas e permissões com base em regras de cargo, área, unidade, centro de custo ou outros atributos do RH.
Mudança de cargo ou área
Quando uma pessoa muda de função, a IGA ajusta seus acessos. Esse ponto é crítico porque muitos riscos surgem quando usuários acumulam permissões antigas além das novas. A governança deve remover o que deixou de ser necessário e conceder apenas o que faz sentido para a nova responsabilidade.
Offboarding e desligamento
No desligamento, a remoção rápida de acessos reduz risco operacional e de segurança. A IGA ajuda a desprovisionar contas, revogar permissões e registrar evidências do processo, evitando que ex-colaboradores, terceiros ou contas sem dono continuem ativos.
Revisão periódica de acessos
Revisões periódicas permitem que gestores, donos de sistemas ou áreas de controle confirmem se cada acesso continua apropriado. Esse processo é essencial para empresas auditadas, ambientes regulados e organizações que precisam demonstrar controle sobre dados sensíveis.
Segregação de funções
Segregação de funções, ou SoD, evita combinações perigosas de permissões. Um usuário não deveria, por exemplo, criar um fornecedor e aprovar o pagamento para esse mesmo fornecedor sem controle adicional. A IGA ajuda a identificar conflitos e aplicar fluxos de mitigação.
Por que IGA é importante para segurança da informação?
Muitos incidentes de segurança exploram credenciais válidas, acessos excessivos ou contas esquecidas. IGA reduz essa superfície de ataque ao aplicar o princípio do menor privilégio, remover permissões desnecessárias e criar visibilidade sobre identidades digitais.
Em ambientes modernos, a identidade virou um ponto central de controle. Usuários acessam sistemas internos, aplicações SaaS, ambientes em nuvem, dados sensíveis e ferramentas de produtividade a partir de locais e dispositivos variados. Sem governança, a empresa perde clareza sobre o que cada identidade pode fazer.
Uma boa estratégia de IGA contribui para:
- Reduzir contas órfãs e acessos ativos após desligamento.
- Diminuir privilégios excessivos e acumulados.
- Padronizar aprovação de acessos sensíveis.
- Gerar histórico de decisões e evidências.
- Apoiar políticas de Zero Trust e menor privilégio.
- Dar visibilidade para Segurança, TI, RH e Compliance.
IGA, LGPD e auditoria: qual a relação?
A LGPD não usa a sigla IGA, mas exige que agentes de tratamento adotem medidas de segurança, técnicas e administrativas para proteger dados pessoais. A governança de identidades e acessos ajuda a demonstrar controle sobre quem pode acessar sistemas que tratam esses dados, por qual razão e com quais evidências.
Na prática, uma plataforma de IGA apoia programas de privacidade e compliance porque organiza controles como menor privilégio, revisão de acessos, rastreabilidade de aprovações e remoção de usuários desligados. Para ambientes auditados, isso facilita a resposta a perguntas como: quem acessa dados pessoais, quem aprovou esse acesso, quando a permissão foi revisada e quais acessos foram revogados.
Esse ponto também dialoga com a Lei Geral de Proteção de Dados, especialmente com a necessidade de medidas de segurança previstas no texto oficial da Lei nº 13.709/2018.
Quais sinais mostram que sua empresa precisa de IGA?
Uma empresa normalmente precisa evoluir sua governança de acessos quando passa a ter dificuldade para controlar permissões de forma manual. Alguns sinais são claros:
- Onboarding depende de muitos chamados e aprovações informais.
- Desligamentos não removem acessos de todos os sistemas com rapidez.
- Gestores não sabem exatamente quais permissões suas equipes possuem.
- Auditorias exigem evidências que precisam ser montadas manualmente.
- Existem contas compartilhadas, órfãs ou sem responsável claro.
- Usuários acumulam acessos após mudanças de cargo ou área.
- Permissões sensíveis não passam por fluxo formal de aprovação.
- TI gasta tempo operacional criando, alterando e removendo acessos.
Se esses sinais aparecem com frequência, vale avaliar uma plataforma especializada de Governança de Identidades e Acessos e estruturar um programa de IGA com fases bem definidas.
Benefícios de uma solução de IGA
Os benefícios de IGA aparecem em três frentes: segurança, compliance e eficiência operacional. O ganho não vem apenas da automação técnica, mas da capacidade de padronizar decisões de acesso e registrar evidências.
| Área | Benefício |
|---|---|
| Segurança | Menos acessos indevidos, contas órfãs, privilégios excessivos e permissões acumuladas. |
| Compliance | Evidências de aprovação, revisão, revogação e segregação de funções. |
| Operação | Redução de chamados manuais e maior velocidade em onboarding, mudanças e desligamentos. |
| Negócio | Menos atrito para usuários e gestores, com controles mais previsíveis e auditáveis. |
Como implementar IGA na prática?
Uma implantação de IGA deve começar por escopo e prioridade. Tentar governar todos os sistemas de uma vez pode aumentar complexidade e atrasar resultados. O caminho mais pragmático é escolher processos críticos e sistemas de maior risco.
1. Mapeie fontes de identidade
Identifique qual sistema é a fonte confiável para cada tipo de identidade: colaboradores, terceiros, fornecedores, parceiros, contas de serviço e identidades técnicas.
2. Priorize sistemas críticos
Comece por sistemas com dados sensíveis, impacto financeiro, exigência regulatória ou alto volume operacional. ERPs, diretórios, CRMs, sistemas de saúde, plataformas financeiras e ferramentas corporativas costumam ser candidatos naturais.
3. Defina perfis e regras
Construa perfis de acesso por cargo, área, localidade, centro de custo ou outros atributos relevantes. O objetivo é reduzir exceções e tornar a concessão de acesso mais previsível.
4. Formalize aprovadores
Determine quem aprova cada tipo de acesso: gestor direto, dono do sistema, responsável pela aplicação, Segurança da Informação, Compliance ou uma combinação desses papéis.
5. Automatize provisionamento
Integre a plataforma de IGA aos sistemas de destino para executar criação, alteração e remoção de acessos. A página sobre integrações de sistema no AccessOne aprofunda esse ponto.
6. Crie campanhas de revisão
Estabeleça ciclos de revisão por risco. Acessos sensíveis podem exigir revisões mais frequentes; sistemas de menor risco podem seguir ciclos mais espaçados.
Como escolher uma ferramenta de governança de identidades?
Ao avaliar uma ferramenta de governança de identidades, software de gestão de acessos ou plataforma IGA, o critério principal não deve ser apenas a lista de funcionalidades. O ponto mais importante é verificar se a solução consegue sustentar o processo completo: regra, solicitação, aprovação, execução, revisão e evidência.
Uma avaliação prática deve considerar:
- Integrações: capacidade de conectar diretórios, sistemas corporativos, ERPs, aplicações SaaS e sistemas legados.
- Automação: regras baseadas em atributos do RH, cargo, área, unidade, centro de custo e tipo de contrato.
- Governança: fluxos de aprovação, responsáveis por sistemas, segregação de funções e revisão periódica.
- Auditoria: histórico claro de solicitações, aprovações, concessões, alterações, revogações e certificações.
- Escalabilidade operacional: redução de chamados manuais e capacidade de manter o controle conforme a empresa cresce.
Esse cuidado é importante porque uma ferramenta que apenas autentica usuários ou centraliza login não resolve, sozinha, a pergunta principal da IGA: aquela pessoa deveria ter esse acesso, neste momento, com essa justificativa?
AccessOne e IGA
A AccessOne é uma plataforma brasileira especializada em Governança de Identidades e Acessos. Seu foco é ajudar empresas a automatizar concessão, alteração, remoção, revisão e auditoria de acessos em sistemas corporativos integrados.
Na arquitetura de IAM, a AccessOne atua principalmente na camada de IGA. Isso significa organizar processos como onboarding, offboarding, solicitação de acesso, aprovação, provisionamento, revisão periódica, segregação de funções e evidências para auditoria.
Para empresas que querem sair de planilhas e chamados manuais, a IGA da AccessOne ajuda a transformar regras de negócio em fluxos rastreáveis e automatizados. Para conhecer recursos, versões e possibilidades de evolução, veja também o guia sobre versões do AccessOne.
Perguntas frequentes sobre IGA
O que significa IGA em gestão de identidades?
IGA significa Identity Governance and Administration. Em português, o termo é usado como Governança e Administração de Identidades ou Governança de Identidades e Acessos. Ele se refere aos processos e tecnologias que controlam o ciclo de vida das identidades e seus acessos.
O que é Identity Governance and Administration?
Identity Governance and Administration é o nome em inglês para IGA. O conceito combina governança, administração de identidades, gestão de acessos, provisionamento, desprovisionamento, certificação de acessos e evidências de auditoria.
O que significa governança de identidades?
Governança de identidades é a capacidade de definir, aplicar, revisar e auditar regras sobre identidades digitais. Ela garante que usuários, terceiros e outras identidades tenham apenas os acessos adequados ao seu papel.
Qual a diferença entre governança de identidade e gestão de acessos?
Governança de identidade define regras, responsabilidades e controles sobre identidades digitais. Gestão de acessos administra permissões e perfis. IGA conecta as duas coisas em um processo auditável, com aprovação, provisionamento, revisão e revogação.
Qual a diferença entre IAM e IGA?
IAM é a disciplina ampla de gestão de identidades e acessos. IGA é uma parte desse universo, focada em governança, administração, aprovações, provisionamento, revisão de acessos, auditoria e compliance.
O que é IGA em cibersegurança?
Em cibersegurança, IGA é o conjunto de controles que reduz riscos ligados a acessos indevidos, contas órfãs, privilégios excessivos e falta de rastreabilidade. Ela ajuda a aplicar menor privilégio e a provar que acessos foram concedidos e revisados corretamente.
O que é revisão de acessos?
Revisão de acessos é o processo periódico em que gestores ou responsáveis por sistemas confirmam se permissões ativas ainda são necessárias. A revisão pode resultar em manutenção, revogação ou ajuste de acessos.
O que é certificação de acessos?
Certificação de acessos é uma forma estruturada de revisão em que responsáveis validam permissões ativas, registram decisões e geram evidências. O objetivo é provar que os acessos foram avaliados e que permissões indevidas foram removidas ou justificadas.
O que é uma plataforma IGA?
Uma plataforma IGA é um software usado para governar identidades e acessos em sistemas corporativos. Ela centraliza solicitações, aprovações, provisionamento, desprovisionamento, revisão de acessos, segregação de funções e relatórios de auditoria.
IGA substitui uma ferramenta de AM ou PAM?
Não. IGA complementa outras capacidades de IAM. AM cuida de autenticação e sessão, PAM protege acessos privilegiados e IGA governa o ciclo de vida, as permissões, as aprovações e as evidências.
Qual é o primeiro passo para implementar IGA?
O primeiro passo é mapear fontes de identidade, sistemas críticos e processos de maior risco, como onboarding, desligamento e acessos sensíveis. Depois, a empresa define regras, aprovadores, integrações e ciclos de revisão.
Conclusão
Governança de Identidades e Acessos (IGA) é uma base essencial para empresas que precisam controlar quem acessa seus sistemas, reduzir risco, automatizar operações e gerar evidências para auditoria. Mais do que uma tecnologia, IGA é uma prática de governança que conecta identidade, segurança, compliance e eficiência operacional.
Quando bem implementada, a IGA ajuda a garantir que cada identidade tenha o acesso certo, pelo motivo certo e pelo tempo certo. Esse é o caminho para sair de processos manuais e construir uma gestão de acessos mais segura, rastreável e preparada para crescimento.
.svg)
