As seguradoras e os reguladores estão voltando a olhar para o que poderíamos chamar a "postura de identidade" das empresas: como gerem senhas, contas privilegiadas e mecanismos de autenticação. Não é uma surpresa: segundo o IBM Threat Intelligence Index 2025, uma de cada três intrusões passa por contas de empregados comprometidas. Esse dado transformou a gestão de identidades em um fator-chave na valorização do risco cibernético e na fixação de prémios de seguros.
O contexto económico não ajuda a relaxar. O custo médio global de uma filtragem de dados continua a ser muito elevado - oIBM situa esse valor em cerca de 4,4 milhões de dólares em 2025 - e muitas organizações procuram apólices para transferir parte desse risco ( IBM Cost of a Data Breach Report). Em países como o Reino Unido, o acesso à cobertura aumentou nos últimos anos, mas ao mesmo tempo as companhias seguradoras endurecem as exigências: onde antes bastava mostrar controlos básicos, hoje se pede provas de práticas contínuas e eficazes ( Cyber Security Breaches Survey 2025).
Por que a identidade pesa tanto na assinatura de apólices? A resposta é simples e técnica ao mesmo tempo: a maioria dos ataques eficazes começa por obter credenciais válidas. Desse ponto de apoio um atacante pode escalar privilégios, mover-se lateralmente e, se as defesas forem fracas, manter persistência. Para uma seguradora, uma boa governação de identidades reduz a probabilidade de que um único acesso inicial desencadeie uma catástrofe que termine numa reivindicação milionário.
Quando os avaliadores examinam uma organização, prestam atenção a questões práticas e mensuráveis. A higiene de palavras-passe permanece relevante porque, apesar do auge do MFA e das iniciativas sem senha, muitas autenticações dependem ainda de credenciais. O problema aparece quando há reutilização de senhas em contas críticas, protocolos antigos que permitem o roubo de credenciais com mais facilidade, contas inativas que conservam acesso ou contas de serviço com senhas que nunca expiram. Também preocupa o uso partilhado de credenciais administrativas: dificulta a rastreabilidade e multiplica o impacto de uma credencial roubada.
Outra área crítica é a gestão de privilégios. As contas com permissões elevadas, sejam administradores de domínio, administradores na nuvem ou contas de serviço com privilégios, costumam estar sobreasignadas e fora do controle central. Se um atacante pode converter uma conta normal em administrador com poucos movimentos, o risco será disparado e os prémios o refletirão. Por isso os assinantes revisam a composição dos grupos administrativos, a existência de privilégios sobreposições e a cobertura de registro e monitoramento nessas contas. Em ambientes com Active Directory e serviços na nuvem, as ferramentas que detectam contas inativas ou papéis sobreasignados ajudam a demonstrar que a organização controla seu perímetro de privilégios; a Microsoft por exemplo oferece guias para modernizar a autenticação e reduzir a dependência de protocolos herdados ( Microsoft: disable legacy authentication).
A cobertura e a aplicação efetiva de MFA (autenticação multifator) tornaram-se uma exigência recorrente. Não basta declarar que o MFA foi implantado: as companhias seguradoras procuram testes de aplicação consistente em acessos remotos, e-mail, administradores e rotas críticas. Excepções, contas não interativas ou protocolos antigos que esquivam o segundo fator criam atalhos que os atacantes exploram após obterem as credenciais iniciais. Neste ponto, a orientação técnica americana é instrutiva: o NIST SP 800-63B Contém recomendações sobre autenticação moderna que muitas avaliações de risco utilizam como referência.
Melhorar a postura de identidade não é uma tarefa de efeitos imediatos ou de “activar um interruptor”; é um processo de maturidade. Uma boa notícia: as seguradoras costumam valorizar o progresso documentado tanto ou mais que uma configuração perfeita desde o primeiro dia. Começar a medir, auditar e corrigir regularmente transmite intenção e reduz a probabilidade de surpresas. Ferramentas de auditoria para Active Directory e plataformas em nuvem permitem quantificar a exposição de senhas, identificar contas privilegiadas esquecidas e demonstrar que se aplicam políticas de autenticação robustas.
Remover senhas fracas e compartilhar credenciais É uma prioridade operacional. Adoptar padrões mínimos, evitar a reutilização em contas críticas e forçar rotações razoáveis reduz a superfície que os atacantes podem aproveitar após uma filtragem. Ao mesmo tempo, documentar e auditar-lo cria a evidência que as seguradoras buscam.
Aplicar MFA em todos os pontos críticos Deve deixar de ser uma recomendação e tornar-se norma: acesso remoto, administração cloud, correio corporativo e qualquer interface exposta que permita controle ou exfiltração de dados. Não se trata apenas de implantar MFA, mas de garantir que cobre todos os caminhos relevantes e que as excepções são justificadas e controladas.
Reduzir o acesso privilegiado permanente Por meio de modelos just-in-time ou acessos temporários limita a janela em que uma credencial comprometida pode causar danos. Menos contas sempre ativas com permissões máximas significa menos risco sistémico e, portanto, argumentos para negociar condições de seguro mais favoráveis.
Rever e certificar permissões periodicamente É a forma mais direta de encontrar contas órfãs, direitos obsoletos ou membros de grupos administrativos que não deveriam tê-los. As auditorias de acesso de rotina, com evidências de correções, são moeda de mudança nos processos de underwriting.
Para demonstrar este trabalho perante seguradoras e auditores, convém apoiar-se em padrões e em ferramentas que gerem métricas e rastros. Organismos e projectos como o OWASP documentaram como os ataques baseados em credenciais ocorrem em grande escala, e guias como as do NIST ou recomendações de fabricantes ajudam a projetar uma estratégia coerente. Existem também soluções comerciais que fornecem visibilidade sobre exposição de senhas no Active Directory e ajudam a priorizar remediações; por exemplo, Specops Password Auditor É uma das ferramentas usadas em ambientes Windows para esse fim.
No final do dia, a mensagem que estão a enviar os mercados de seguros é clara: a gestão de identidades deixou de ser uma questão puramente operacional para se tornar um critério fundamental de risco financeiro. As organizações que queiram melhores condições de garantia devem combinar controlos técnicos com processos de revisão contínuos e capacidade para evidenciar esse progresso. Não é uma moda: é uma adaptação a como os adversários atacam hoje e a como valorizam o risco que assumem a responsabilidade financeira quando algo sai mal.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...