O problema que ninguem esta contando
O relatorio anual de ciberseguranca da KPMG para 2026 traz uma constatacao que deveria tirar o sono de qualquer CTO ou CISO de media empresa: identidades nao humanas ja superam usuarios humanos na maioria das organizacoes, e a governanca sobre elas e praticamente inexistente.
Estamos falando de contas de servico do Kubernetes, tokens de API de pipelines CI/CD, credenciais de maquina para integracoes entre sistemas, service accounts de bancos de dados e, cada vez mais, agentes autonomos de IA que operam sem intervencao humana direta. Segundo o relatorio, a gestao dessas identidades e agora a prioridade numero 1 entre os oito desafios criticos que CISOs enfrentam neste ano.
Por que a governanca tradicional nao funciona
A maioria das empresas construiu seus processos de gestao de identidade e acesso (IAM) em torno do ciclo de vida de um funcionario humano: contratacao, atribuicao de permissoes, revisao periodica, desligamento. Esse modelo simplesmente nao escala para o volume e a velocidade com que identidades nao humanas sao criadas.
Um unico cluster Kubernetes pode gerar dezenas de service accounts automaticamente. Pipelines de CI/CD criam e descartam tokens a cada deploy. Agentes de IA solicitam credenciais para acessar APIs externas. O resultado e um inventario invisivel de identidades com permissoes ativas que ninguem monitora de forma sistematica.
A KPMG destaca que muitas dessas identidades sao criadas por desenvolvedores ou equipes de automacao sem passar pelo crivo de seguranca, frequentemente com permissoes excessivas e sem prazo de expiracao definido.
O que o relatorio recomenda
A recomendacao central da KPMG e direta: antes de escalar qualquer iniciativa de seguranca autonoma ou adocao de agentes de IA, as organizacoes precisam estabelecer controles basicos para identidades nao humanas. O relatorio detalha tres pilares fundamentais:
- Donos registrados: toda conta de servico, token e credencial de maquina precisa ter um responsavel humano identificado. Se ninguem sabe quem criou ou por que existe, o risco e inaceitavel.
- Proposito documentado: cada identidade nao humana deve ter uma justificativa clara e registrada. “O dev que saiu criou” nao e documentacao.
- Fim de ciclo de vida: identidades nao humanas precisam de data de expiracao ou gatilho de revisao. Contas de servico criadas para um projeto que terminou ha seis meses nao deveriam estar ativas.
As demais prioridades do relatorio incluem preparar equipes para seguranca autonoma, proteger sistemas de IA contra manipulacao, iniciar a transicao para criptografia pos-quantica e ampliar o papel do CISO para o nivel de conselho executivo.
O cenario em empresas brasileiras de medio porte
Para CTOs e CISOs de empresas brasileiras com 50 a 2.000 funcionarios, o desafio e ainda mais agudo. Equipes de seguranca menores significam que a criacao de service accounts e tokens frequentemente acontece sem revisao centralizada. Ambientes hibridos (on-premises com cloud) multiplicam o numero de credenciais de maquina necessarias.
Ferramentas de monitoramento como Wazuh e Zabbix conseguem detectar atividade anomala em contas de servico, como logins em horarios incomuns ou acessos a recursos fora do padrao. Porem, deteccao e apenas metade da equacao. A outra metade e governanca: saber o que existe, quem e responsavel e quando deve ser desativado.
“Se voce nao consegue listar todas as identidades nao humanas do seu ambiente em menos de uma hora, voce tem um problema de governanca, nao de ferramental.”
O que observar daqui para frente
A tendencia e clara: com a adocao acelerada de agentes de IA e automacao, o volume de identidades nao humanas so vai crescer. A LGPD e regulacoes setoriais brasileiras ja exigem rastreabilidade de acessos, e auditorias estao cada vez mais atentas a contas de servico com privilegios excessivos. O momento de organizar esse inventario e agora, antes que a proxima auditoria ou incidente revele o tamanho da lacuna. Comece pelo basico: liste, atribua donos, defina prazos e revise com frequencia.