Os controles de acesso são as políticas, ferramentas e processos que regem o acesso do usuário a dados confidenciais, sistemas de computador, locais e outros recursos.
Os controles de acesso físico (como portões e portas trancadas) controlam o acesso a locais físicos.Os controles de acesso lógicos, como sistemas de detecção e prevenção de intrusão, controlam o acesso aos sistemas de computador. Este artigo lida principalmente com controles de acesso lógicos.
Em termos de gerenciamento de acesso, as entidades que precisam de acesso são conhecidas como "sujeitos". Esses assuntos incluem usuários humanos e identidades não humanas, como bots, aplicações, cargas de trabalho automatizadas e agentes de IA.
Na verdade, à medida que essa última categoria explode, impulsionada pela proliferação da infraestrutura em nuvem, pela ascensão do DevOps e pela adoção de ferramentas avançadas de inteligência artificial, usuários não humanos estão se tornando um foco chave do controle de acesso.
As coisas que os sujeitos precisam acessar, interfaces de programação de aplicativos (APIs), configurações do sistema operacional, informações confidenciais em um banco de dados na nuvem, são chamadas de "objetos".
A implementação de controles de acesso em uma rede corporativa normalmente envolve a criação e aplicação de políticas de controle de acesso, que definem os direitos de acesso de cada titular em um sistema. As políticas de controle de acesso definem se um titular pode acessar um objeto (como um documento) e suas permissões em relação a esse objeto (no caso de um documento: somente leitura, leitura e gravação, controle administrativo total).
Os controles de acesso são um pilar fundamental da segurança de identidade.Por exemplo, as arquiteturas de rede zero trust dependem de controles de acesso robustos para evitar o acesso não autorizado e, ao mesmo tempo, simplificar o acesso para os usuários autorizados. Nas redes nativas da nuvem, onde a identidade é o novo perímetro, os controles de acesso são vitais para os esforços de cibersegurança em geral.
Ao mesmo tempo, os controles de acesso são um ponto fraco para muitos sistemas.Controles de acesso falhos são o item número 1 na lista OWASP Top 10 dos riscos de segurança mais críticos para aplicações web.E, de acordo com o Índice X-Force Threat Intelligence da IBM, os ataques baseados em identidade, nos quais agentes de ameaça sequestram contas de usuários válidas para abusar de seus privilégios de acesso, representam quase um terço das violações de segurança.
Portanto, embora o gerenciamento de acesso desempenhe um papel fundamental nas posturas de segurança organizacional, os dados disponíveis sugerem que há espaço para melhorias.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Os controles de acesso geralmente são baseados em políticas.Os administradores de sistema, em colaboração com outros stakeholders, quando apropriado, elaboram políticas de controle de acesso que detalham as permissões dos sujeitos. Os sistemas de controle de acesso, como as plataformas de gerenciamento de acesso e identidade (IAM) e o gerenciamento de acesso privilegiado (PAM), aplicam automaticamente essas políticas de segurança.
Os sistemas de controle de acesso utilizam um processo de autenticação e autorização em duas etapas para garantir que somente os sujeitos verificados possam acessar os objetos e que esses sujeitos só possam agir de maneiras aprovadas.
As políticas de acesso determinam os objetos que um sujeito pode acessar: os buckets S3 que um desenvolvedor pode ver, as APIs que uma aplicação pode chamar, os conjuntos de dados que um grande modelo de linguagem (LLM) pode ingerir.Eles também, de forma crucial, ditam o que os usuários individuais podem fazer com um objeto. O LLM consegue escrever no conjunto de dados? O desenvolvedor pode alterar as configurações de um bucket S3?As políticas de acesso determinam as respostas a essas perguntas.
Embora as políticas inevitavelmente variem de sistema para sistema e de recurso para recurso, a maioria das organizações segue um modelo de controle de acesso estabelecido, como controle de acesso baseado em função (RBAC) ou controle de acesso baseado em atributo (ABAC).(Para obter mais informações, consulte "Tipos de controle de acesso".)
Independentemente do modelo, muitas políticas de acesso de muitas organizações seguem o princípio do privilégio mínimo: a ideia de que os usuários devem ter apenas o nível mais baixo de permissões necessárias para realizar seus trabalhos, e as permissões devem ser revogadas quando uma tarefa termina.
As políticas de acesso podem ser "armazenadas" em um sistema de várias maneiras.
Quando um sujeito deseja acessar um recurso protegido por um sistema de controle de acesso, ele primeiro verifica sua identidade por meio de um processo de autenticação.
Para os usuários humanos, a autenticação geralmente envolve a apresentação de um conjunto de credenciais, como uma combinação de nome de usuário e senha.No entanto, as senhas são consideradas algumas das credenciais mais fracas porque os agentes da ameaça podem facilmente adivinhá-las ou roubá-las.
Atualmente, a maioria dos sistemas depende de medidas mais substanciais, como biometria e autenticação multifator (MFA). A MFA exige duas ou mais evidências para comprovar a identidade de um usuário (como a digitalização da impressão digital e uma senha de uso único gerada por um aplicativo de autenticação).
Dispositivos, cargas de trabalho, agentes de IA e outras identidades não humanas normalmente usam credenciais como certificados e chaves de criptografia para se verificarem. Embora sujeitos não humanos não possam usar a MFA, as soluções de gerenciamento de segredos podem ajudar a proteger suas credenciais por meio de armazenamento seguro, rotação automatizada e outras medidas.
A autorização é o processo de concessão a um sujeito verificado o nível apropriado de acesso.
A forma como a autorização ocorre depende do sistema de controle de acesso implementado.
Por exemplo, se um sistema utiliza uma ACL, ele verifica a lista e atribui ao sujeito as permissões encontradas lá.
Se o sistema usar um mecanismo de políticas, o mecanismo concederá privilégios de usuário com base no contexto da solicitação de acesso.
Em um sistema que utiliza o protocolo OAuth, um framework de autorização de padrão aberto que dá às aplicações acesso seguro aos recursos protegidos do usuário final, a autorização é concedida por meio de tokens.
Embora cada objeto individual em uma rede possa ter seu próprio sistema de controle de acesso, isso geralmente não é considerado uma melhor prática. Lacunas e discrepâncias entre esses sistemas podem criar vulnerabilidades para exploração pelos invasores e impedir que os usuários autorizados realizem seus trabalhos.
Em vez disso, organizações como o Instituto Nacional de Padrões e Tecnologia (NIST) e a OWASP recomendam a implementação de um sistema centralizado de controle de acesso, geralmente como parte de uma malha de identidade holística.
Esses sistemas centralizados dependem de tecnologias e ferramentas como:
As soluções de IAM podem simplificar e automatizar as principais tarefas de controle de acesso.Os recursos podem variar, mas funcionalidades comuns de IAM incluem serviços de diretório, fluxos de trabalho de autenticação e autorização, gerenciamento de credenciais e governança de identidade.
As ferramentas de PAM viabilizam o acesso seguro para contas de usuários altamente privilegiadas, como administradores de sistema. As ferramentas PAM empregam recursos como cofres de credenciais e protocolos de acesso just-in-time para proteger essas contas privilegiadas contra uso indevido acidental, ameaças internas mal-intencionadas e agentes de ameaças externas.
O logon único (SSO) é um esquema de autenticação que permite que os usuários façam login uma vez usando um único conjunto de credenciais e acessem várias aplicações durante a mesma sessão. O logon único simplifica a autenticação do usuário, melhora a experiência e, quando implementado corretamente, reforça a segurança.
Algumas organizações exigem que os usuários façam login em uma VPN corporativa para acessar dados, software e outros recursos da empresa.Nesse caso, a VPN atua como um controle de acesso: os usuários podem acessar objetos corporativos somente por meio dessa rede específica, não da internet pública.
Um ZTNA é, de certo modo, a versão zero trust de uma VPN.Ela fornece acesso remoto a aplicações e serviços, mas conecta os usuários somente aos recursos que eles têm permissão para acessar, em vez de conectá-los a toda a rede.
Assim como em outras áreas, as organizações estão incorporando ferramentas de IA generativa e agêntica em seus controles de acesso.
Por exemplo, os chatbots de IA generativa podem ser usados para simplificar os processos de gerenciamento de identidade, como o provisionamento.Ao treinar um chatbot de LLM em políticas de controle de acesso organizacional e conectá-lo com documentação e recursos apropriados, uma organização pode criar uma ferramenta de IAM segura e de autoatendimento.Quando novos usuários precisam de acesso a um sistema ou usuários existentes precisam de permissões atualizadas, eles podem fazer a solicitação por meio do chatbot.
Digamos que uma organização precise criar e impor controles de acesso para um banco de dados confidencial contendo dados de clientes.
Primeiro, o administrador do sistema e outros stakeholders relevantes determinariam quais sujeitos (pessoas, aplicações, agentes de IA) deveriam ter acesso ao banco de dados.Talvez eles decidam que qualquer pessoa com uma função de vendas ou marketing deve poder acessar os dados, assim como o software de gerenciamento de relacionamento com o cliente (CRM) e marketing. Todos os agentes de IA de propriedade de usuários humanos autorizados também podem obter acesso.
Em seguida, os stakeholders determinam quais ações cada usuário autorizado pode realizar dentro do banco de dados.Talvez os representantes de vendas precisem de acesso de leitura e escrita porque eles constroem e mantêm relacionamentos com esses clientes ao longo do tempo. Enquanto isso, as funções de marketing só podem ler o banco de dados porque simplesmente usam dados demográficos de clientes para realizar as campanhas.Talvez todos os agentes de IA, independentemente do proprietário, tenham acesso somente leitura para ajudar a garantir que um ser humano esteja sempre ciente durante o processo de atualização do banco de dados.
Para impor essa política de acesso, a organização usa um mecanismo de políticas centralizado, com uma lógica de controle de acesso detalhada.Além da identidade do usuário, o mecanismo considera fatores contextuais ao determinar se deve conceder uma solicitação de acesso.
Por exemplo, digamos que um representante de vendas queira acessar o banco de dados para atualizar o endereço de e-mail de um cliente.Primeiro, o representante de vendas comprova sua identidade fornecendo os fatores de autenticação corretos. Em seguida, sua solicitação é avaliada pelo mecanismo de políticas, que considera:
Com base nesses fatores, a solicitação de acesso do representante de vendas é concedida.
As organizações podem implementar diferentes tipos de modelos de controle de acesso com base em suas necessidades.Os tipos comuns incluem:
Os sistemas de controle de acesso discricionário (DAC) permitem que os proprietários de recursos definam regras de acesso para esses recursos. Os proprietários de objetos podem até passar privilégios de nível administrativo para outros usuários no modelo DAC. Se o proprietário de um objeto conceder privilégios de administrador a outro usuário, esse usuário também poderá definir regras de acesso para o objeto.
Os sistemas de controle de acesso obrigatório (MAC) aplicam políticas de controle de acesso definidas de forma centralizada para todos os usuários.
Muitas vezes, eles operam por meio de níveis de autorização, como no governo ou nas forças armadas. Cada sujeito recebe um nível de liberação, e cada objeto tem uma classificação de liberação ou nível de classificação correspondente. Os titulares podem acessar qualquer objeto igual ou inferior ao seu nível de autorização.
Embora todos os controles de acesso sejam obrigatórios no sentido de que todo sujeito deva cumpri-los, o "obrigatório" no MAC refere-se ao fato de que os usuários individuais não podem alterar nem atribuir permissões. O MAC é contrastado com o modelo DAC discricionário, em que os proprietários de objetos têm controle sobre as regras de acesso a seus objetos.
No controle de acesso baseado em função (RBAC), os privilégios dos usuários são baseados em suas funções dentro da organização.
As funções em um sistema RBAC não são o mesmo que os cargos, embora possam corresponder individualmente em algumas implementações. Mas, neste contexto, "função" se refere ao que a pessoa faz na organização e às permissões de que ela precisa para fazer essas coisas. As funções do RBAC são baseadas em vários critérios, incluindo cargos, níveis de habilidade, responsabilidades e muito mais.
Por exemplo, digamos que os administradores do sistema estejam definindo permissões para um firewall de rede. Um representante de vendas não teria acesso algum.Um analista de segurança de nível júnior pode ser capaz de consultar as configurações de firewall, mas não alterá-las, enquanto um analista de nível sênior pode ter acesso administrativo.Uma API para um sistema integrado de gerenciamento de informações e eventos de segurança (SIEM) pode ser capaz de ler os registros de atividade do firewall.
O RBAC é um dos dois modelos de controle de acesso recomendados pelo OWASP.
O segundo modelo de controle de acesso recomendado pelo OWASP, o controle de acesso baseado em atributos (ABAC) utiliza um motor de políticas para analisar os atributos de cada solicitação de acesso em tempo real. Somente as solicitações que atendem aos critérios adequados são atendidas.
Em termos gerais, "atributos" são as características dos sujeitos, objetos e ações envolvidos em uma solicitação. Os atributos podem incluir informações como o nome de usuário e função, o tipo de recurso, o nível de risco da ação solicitada e a hora do dia da solicitação.
Por exemplo, em um sistema ABAC, os usuários podem acessar dados confidenciais somente durante o horário de trabalho e somente se tiverem um certo nível de senioridade.
A diferença entre RBAC e ABAC é que o ABAC determina dinamicamente as permissões de acesso no momento de cada solicitação com base em vários fatores contextuais. O RBAC, por outro lado, concede permissões estritamente de acordo com as funções de usuário predefinidas.
O controle de acesso baseado em regras (RuBAC) é um sistema em que o acesso é baseado em regras condicionais e contextuais. Por exemplo: se uma solicitação vier do sujeito X no momento Y, ela será permitida.
"Controle de acesso baseado em regras" é um termo impreciso e um tanto obsoleto. Muitas vezes, é usado como sinônimo de ABAC ou como designação para formas anteriores e menos sofisticadas de ABAC. Às vezes, é usado para designar sistemas RBAC que executam solicitações de acesso por meio de uma camada adicional de lógica (função + regras).
Os controles de acesso estão no centro da segurança empresarial de várias maneiras. O OWASP os lista como o maior risco quando desregulado e o principal controle proativo quando funcionam.
Controles de acesso eficazes podem ajudar a proteger os ativos organizacionais, liberar o valor total dos dados corporativos e proteger e capacitar as tecnologias emergentes de agentes de IA.Controles de acesso defeituosos podem comprometer todos esses esforços e deixar as portas abertas para os hackers.
Os controles de acesso são fundamentais para a própria cibersegurança porque a identidade é o núcleo dos esforços de segurança atualmente.
A rede corporativa média hospeda um número crescente de usuários humanos e não humanos, distribuídos em vários locais, que precisam de acesso seguro a aplicações e recursos locais e baseados na nuvem.
As medidas de segurança baseadas em perímetro são ineficazes nesses ambientes. Em vez disso, as organizações concentram seus controles de segurança em usuários e recursos individuais, ou em termos de gerenciamento de acesso, sujeitos e objetos.
Por exemplo, considere a abordagem zero-trust para segurança de rede. Em vez de autenticar um usuário uma vez, o zero trust autentica cada solicitação de acesso de cada usuário. Em outras palavras: toda solicitação passa pelo painel de controle de acesso.
Considere, também, como os controles de acesso apoiam a tríade CIA de segurança da informação:
Os controles de acesso também podem ajudar as organizações a extrair mais valor dos dados proprietários, mantendo a segurança dos dados.
De acordo com o Estudo de CDO de 2025 do IBM Institute for Business Value, 78% dos CDOs afirmam que aproveitar os dados proprietários é um objetivo estratégico de negócios para diferenciar sua organização. Além disso, 82% dos CDOs acreditam que os dados estão "sendo desperdiçados" se os funcionários não puderem usá-los facilmente para tomar decisões baseadas em dados.
E o acesso a dados se torna ainda mais importante à medida que os agentes de IA se juntam à força de trabalho digital. Os agentes precisam de dados corporativos para atuar de forma eficiente e eficaz.
Controles de acesso eficazes ajudam os usuários humanos e os agentes de IA a acessar com segurança os dados corporativos para usos aprovados. De acordo com o Estudo de CDOs, os CDOs de organizações que apresentam um maior ROI em investimentos em IA e dados comumente usam medidas de segurança como o RBAC para controlar o acesso do usuário aos dados corporativos.
Em um episódio do podcast Security Intelligence da IBM, Dave McGinnis, parceiro global do grupo de ofertas de gerenciamento de ameaças cibernéticas da IBM, chamou os agentes de IA de "as ameaças internas mais úteis". McGinnis estava se referindo à capacidade dos agentes de produzir tanto vantagens incríveis quanto danos incríveis.
Para realizar um trabalho significativo, os agentes precisam de um acesso altamente privilegiado aos sistemas e dados da empresa.Mas os agentes também não são determinísticos e, sem as proteções adequadas, podem usar seu acesso de maneiras novas e não totalmente autorizadas.
Como explicou Seth Glasgow, consultor executivo do ambiente cibernético da IBM , no Security Intelligence, o uso criterioso de controles de acesso é fundamental para habilitar o agente de IA e, ao mesmo tempo, mitigar os riscos de uso indevido de privilégios:
A implementação padrão de [um agente de IA] é que ele pode ver tudo, certo?É um agente para governar tudo, na falta de uma expressão melhor. ... Mas, ali mesmo, eu criei um ativo de altíssimo valor.Essa aplicação foi configurada para acessar uma grande quantidade de dados confidenciais.
Portanto, a primeira coisa que precisamos fazer do ponto de vista do IAM é começar a segmentar isso.Não precisamos de um agente que possa fazer tudo isso.Ele precisa estar mais alinhado com o caso de uso específico e ter permissões que correspondam diretamente ao que o agente deve fazer.
Três fatores principais contribuem para falhas nos controles de acesso: privilégios excessivos, falta de centralização e falhas de projeto.
É comum que as organizações concedam aos sujeitos níveis de permissão mais altos do que os estritamente necessários para garantir que eles não se deparem com nenhum obstáculo ao tentar trabalhar.A atribuição excessiva de privilégios é especialmente comum em identidades não humanas usadas para automatizar fluxos de trabalho, já que as organizações normalmente precisam que elas exijam o mínimo de intervenção possível.
Controles de acesso eficazes, como RBAC e ABAC, podem ajudar a harmonizar a experiência do usuário, as operações de negócios e as necessidades de segurança. Em vez de privilégios excessivos, as organizações adaptam o acesso precisamente aos níveis de que cada titular precisa; nem mais, nem menos.
Em sistemas que não possuem controles de acesso centralizados, objetos diferentes podem ter sistemas de controle diferentes. As lacunas entre esses sistemas podem impedir que os sujeitos acessem os recursos de que precisam, e basta um sistema fraco para comprometer toda a rede.
Ao implementar uma malha de identidade holística e utilizar ferramentas de orquestração de identidade para integrar sistemas díspares, as organizações podem eliminar lacunas de segurança e, ao mesmo tempo, otimizar o acesso para usuários autorizados.
Por fim, como observa o OWASP, as aplicações geralmente têm falhas de projeto em seus sistemas de controle de acesso. Essas falhas podem incluir problemas como a capacidade de contornar os controles modificando o URL de uma página, controles de API ausentes e tokens JSON Web não seguros e vulneráveis a adulteração.
A capacitação de desenvolvedores, requisitos mais rigorosos de controle de acesso e práticas de DevSecOps podem ajudar as organizações a incorporar a segurança de identidade diretamente nas aplicações.