Descubra como eliminar a lacuna de visibilidade das identidades não humanas e dos agentes de IA para proteger a sua infraestrutura de acessos sem comprometer a inovação.
Um colaborador com acesso administrativo permanente e sem supervisão a sistemas críticos sem registo de auditoria, sem um responsável claramente identificado e sem revisões periódicas de acessos geraria preocupação imediata na maioria das organizações.
No entanto, as identidades não humanas (NHIs) e os agentes de IA recebem frequentemente esse mesmo tipo de acesso persistente e amplamente privilegiado. À medida que a adoção da IA cresce, esta lacuna torna-se cada vez mais difícil de ignorar.
Atualmente, as NHIs abrangem muito mais do que contas de serviço e chaves de API tradicionais. Incluem também agentes de IA que tomam decisões autónomas, fluxos de trabalho automatizados com acesso a múltiplos sistemas e ferramentas de IA paralelas (“shadow AI”) implementadas por utilizadores de negócio.
As equipas de segurança acreditam estar preparadas para a adoção da IA em larga escala. Um estudo recente da Delinea revela que 87% das organizações consideram que a sua postura de segurança de identidades está preparada. Contudo, as NHIs operam com uma velocidade e padrões de comportamento para os quais os controlos tradicionais não foram concebidos. As equipas de TI reconhecem esta realidade: 46% dos inquiridos admitem que a sua governação de identidades de IA apresenta deficiências.
Esta discrepância representa um perigoso duplo critério na segurança empresarial.
Porque existe este duplo critério para as NHIs
Três fatores fundamentais impulsionam esta situação, reforçando-se mutuamente e criando um ciclo de governação de identidades comprometida.
Prioridade da velocidade em detrimento da governação
A pressão do negócio para implementar rapidamente iniciativas de IA leva frequentemente ao relaxamento ou à omissão de controlos de identidade. O estudo concluiu que 90% das organizações pressionam as equipas de segurança a flexibilizar os controlos de acesso para apoiar a automação impulsionada por IA.
Quando surgem conflitos entre os requisitos de segurança e a necessidade de rapidez do negócio, menos de uma em cada três organizações aplica os requisitos de segurança de forma consistente.
Monitorização insuficiente da Shadow AI
Os agentes não autorizados operam completamente fora de qualquer estrutura de governação. Um número significativo de organizações (53%) afirma encontrar regularmente ferramentas e agentes de IA não autorizados a aceder aos sistemas da empresa.
Estas implementações contornam os processos tradicionais de aprovisionamento, criando pontos de acesso não monitorizados que as equipas de segurança têm dificuldade em identificar.
Atividade das NHIs sem controlo
Os sistemas tradicionais de gestão de identidades baseiam-se em fluxos de trabalho previsíveis e centrados em utilizadores humanos. As soluções IAM legadas não possuem a velocidade nem as capacidades dinâmicas necessárias para governar agentes autónomos que tomam decisões independentes e solicitam privilégios elevados sem aviso prévio.
A realidade operacional torna este desafio ainda mais complexo. De acordo com os dados do estudo, 74% das organizações afirmam que o acesso permanente para NHIs e agentes de IA é necessário para garantir a disponibilidade dos serviços. Paralelamente, 59% indicam não dispor de alternativas viáveis ao acesso persistente para estas contas. Como resultado, as equipas de segurança acabam por aceitar conscientemente níveis de risco mais elevados devido à pressão operacional.
O que é necessário para reduzir a lacuna de risco associada às identidades de IA?
As organizações devem enfrentar o paradoxo da confiança na segurança da IA. Demonstrar um elevado nível de confiança na preparação para a IA, apesar de reconhecer lacunas fundamentais na governação de identidades relacionadas com esta tecnologia, resulta de informação incompleta. As equipas de segurança não conseguem proteger aquilo que não conseguem ver.
Considere o seguinte: 82% das organizações afirmam confiar na sua capacidade para identificar NHIs com acesso a sistemas de produção, mas menos de uma em cada três valida efetivamente a atividade das NHIs e dos agentes de IA em tempo real. A maioria dos decisores de TI inquiridos admite ter algum tipo de lacuna de visibilidade das identidades, sendo as NHIs o maior ponto cego.
Passo 1: Visibilidade
Antes de implementar novos controlos ou políticas de acesso, as organizações devem criar um inventário claro das NHIs existentes — incluindo casos de Shadow AI —, compreender a que sistemas têm acesso e identificar se esse acesso é permanente ou persistente.
Sem esta visibilidade fundamental, qualquer iniciativa de governação transforma-se em mera especulação, em vez de uma tomada de decisão baseada no risco.
Passo 2: Eliminar privilégios permanentes
O acesso just-in-time e os privilégios temporários representam o objetivo ideal, mesmo que ainda não sejam imediatamente alcançáveis para a maioria das organizações.
O estudo mostra que as organizações utilizam mais do dobro de credenciais de longa duração (34%) do que mecanismos modernos de autorização just-in-time (16%).
Como refere Gerry Auger, fundador da SimplyCyber:
“Considerarei uma vitória se conseguirmos simplesmente ter um inventário de todas as identidades que possuem acesso permanente.”
Recomendações práticas adicionais de governação
- Monitorize NHIs que solicitem privilégios elevados de forma inesperada, uma vez que isso pode indicar contas comprometidas ou automações mal configuradas.
- Identifique e reveja imediatamente contas sem proprietário definido ou sem justificação de negócio clara.
- Trate as revisões de acesso das NHIs com o mesmo rigor aplicado às revisões de acessos de utilizadores humanos, incluindo certificações periódicas e desativação de contas não utilizadas.
Desenvolver IA segura sem comprometer a inovação
Não é possível travar a adoção da IA. O objetivo realista é eliminar a lacuna de visibilidade que permite que padrões de acesso de risco permaneçam ocultos.
As organizações necessitam de ferramentas automatizadas de descoberta capazes de mapear identidades de máquina em ambientes cloud e híbridos em tempo real. Os modelos de governação devem operar à velocidade exigida pelo negócio, sem criar a fricção que leva as equipas a contornar os mecanismos de controlo.
Isto exige a modernização da infraestrutura de identidade para lidar com a velocidade e imprevisibilidade da IA agêntica. Desta forma, as equipas de segurança conseguem responder às exigências de rapidez do negócio sem abdicar da governação de identidades.
Para conhecer em detalhe os dados, as recomendações e o roteiro estratégico que sustentam estas conclusões, incluindo os resultados completos do estudo e as perspetivas de especialistas de referência na área da segurança, descarregue o relatório Delinea 2026 Identity Security Report: Uncovering the Hidden Risks of the AI Race.
