O que o Gartner IAM 2025 revelou sobre o futuro da governança de identidade

Visibilidade antes da governança

Após três dias na Gartner IAM Summit 2025 em Grapevine, Texas, uma coisa estava clara. O mercado de governança de identidade está se fragmentando e consolidando ao mesmo tempo, e os vencedores serão as equipes que dominarem a visibilidade logo antes da governança.

O momento do IVIP chegou

A Gartner formalizou uma nova categoria de mercado chamada Plataformas de Visibilidade e Inteligência de Identidade (IVIP). Isso valida a abordagem que adotamos com a Zluri desde o primeiro dia. A definição é semelhante à nossa ficha técnica do produto: “produtos que oferecem integração rápida e visibilidade para dados relevantes para IAM, normalmente combinados com capacidades avançadas de análise.”

O que torna o IVIP diferente do IGA tradicional? É a sequência. Fornecedores de IGA tradicionais construíram primeiro fluxos de trabalho de governança e adicionaram visibilidade como um pensamento tardio. Eles presumiam que as organizações sabiam quais aplicações tinham, que acesso existia e quem possuía o quê. Na realidade, cerca de 60% das aplicações SaaS na média de empresas existem fora do escopo de SSO e sistemas tradicionais de identidade.

Na Zluri, construímos descoberta e visibilidade primeiro, porque você não pode governar o que não pode ver. Nosso motor de descoberta patenteado encontra aplicações que os fornecedores tradicionais de IGA nem sequer sabem que existem. É exatamente isso que o IVIP exige.

IA na Identidade: Onde Realmente Funciona

As sessões da Gartner sobre casos de uso de IA no IAM ofereceram uma estrutura sóbria. Nem todas as aplicações de IA são iguais, e a conferência alertou explicitamente contra “espalhar sua equipe tentando 25 coisas.”

Quatro casos de uso surgiram como realmente de alto valor:

  1. Modelagem de acesso para regras de autorização: Descobrir as políticas que devem governar o acesso, não apenas recomendar decisões de aprovação/negação
  2. Mitigação de tomada de conta (take takeover): O ATO continua sendo o principal vetor de ataque, e análises comportamentais baseadas em IA podem detectar abuso de credenciais
  3. Identificação de questões de postura: Agora conhecida como ISPM, Gerenciamento de Postura de Segurança de Identidade, que monitora continuamente desvios de configuração e permissões excedentes.
  4. Geração de relatórios: Uso de IA para reunir insights entre sistemas por meio de consultas em linguagem natural

Cada uma delas é específica do sistema. Um modelo de IA treinado para entender padrões de acesso no Salesforce não funcionará automaticamente para o Workday. Isso tem implicações profundas para a arquitetura do produto. Precisamos de uma IA componível que se adapte a cada integração, não de modelos monolíticos que afirmam funcionar em todos os lugares.

O Problema 82:1: A Explosão da Identidade Não Humana

Talvez a estatística mais marcante da conferência: identidades não humanas agora superam as identidades humanas em 82 para 1 na média das empresas. Em ambientes nativos da nuvem, essa proporção pode chegar a 40.000:1. E 99% das contas de serviço são excessivamente autorizadas.

Este é o tsunami do NHI (Identidade Não Humana) que todo fornecedor de IGA está correndo para enfrentar. O OWASP NHI Top 10, lançado em 2025, codifica riscos que temos acompanhado: offboarding inadequada, vazamento secreto, credenciais de longa duração e violações de isolamento ambiental.

Para garantir segurança robusta, as empresas devem expandir a governança de identidade além dos humanos, incluindo identidades não humanas.

ISPM e a Transição para a Segurança de Identidade Contínua

A Gestão da Postura de Segurança de Identidade surgiu como uma disciplina distinta na conferência. É onde o IVIP encontra operações de segurança. ISPM não é um produto; É um arcabouço de avaliação contínua que cobre:

  • Políticas de MFA mal configuradas
  • Contas superprivilegiadas que violam o privilégio mínimo
  • Relatos dormentes que expandem a superfície de ataque
  • Permissões órfãs de offboarding incompleta
  • Violações de SoD que criam risco de conformidade

A palavra-chave é contínua. O IGA tradicional funciona em ciclos, como revisões trimestrais de acesso e certificações anuais. O ISPM funciona em tempo real. Essa mudança se encaixa bem com uma arquitetura de descoberta sempre ativa que a Zluri oferece.

Por que o Tempo Rápido para Valorizar as Vitórias

A Gartner compartilhou estatísticas de implantação que deveriam constranger todo fornecedor de IGA tradicional: organizações relatam filas de integração de aplicações de 600+ aplicativos com prazos projetados de 8+ anos. Apenas 10% conseguem o novo provisionamento de acesso em 2 dias.

A conferência recomendou explicitamente estratégias de “Desdobramento Mínimo Viável”. Comece com 5-10 aplicações de alto valor, prove valor e expanda. É assim que a Zluri já trabalha com seus clientes. Não exigimos implementações de 18 meses com exércitos de consultores. Conseguimos que os clientes valorizem em semanas.

Isso não é apenas uma vantagem de entrada no mercado; É uma decisão de arquitetura técnica. Integrações nativas da nuvem, API-first e pré-construídas são o que possibilita uma implantação rápida.

A Mudança para a Autorização Moderna

O AuthZen, o novo padrão de autorização da OpenID Foundation, demonstrou interoperabilidade com 15 fornecedores na cúpula. Ele está sendo posicionado como “o OpenID Connect para autorização” – uma forma padronizada para os aplicativos solicitarem e receberem decisões de acesso detalhadas.

A maioria das equipes já entende autenticação. O OIDC resolveu um problema claro. Respondeu a uma pergunta simples – Quem é você?

A autorização tem sido mais difícil. Isso responde a uma pergunta mais complexa. Quem ou o que pode fazer o quê, em qual recurso e sob quais condições? Historicamente, isso tem sido fragmentado, inconsistente e profundamente enraizado nas aplicações.

Essa abordagem não escala mais porque:

  • As arquiteturas são distribuídas e orientadas por APIs
  • Identidades não humanas, como serviços, pipelines e agentes, agora superam em número os humanos
  • Decisões de acesso são de alta frequência e dependem do contexto
  • Segurança e conformidade exigem explicabilidade e auditabilidade

Essa é a lacuna que a AuthZen está tentando fechar.

Também estamos vendo o próprio modelo de autorização evoluir além do RBAC básico (controle de acesso baseado em papéis). Estamos vendo convergência em torno de:

  • ABAC (baseado em atributos) para decisões contextuais
  • ReBAC (baseado em relacionamento) para permissões hierárquicas
  • PBAC (baseado em políticas) como o padrão arquitetônico que os unifica

Plataformas nativas de autorização estão ganhando força ao tornar os dados de autorização visíveis e governáveis.

Atuação estratégica da WebSIA

A WebSIA pode apoiar empresas na transição para uma governança de identidade baseada em visibilidade, inteligência e controle contínuo. Com Zluri, é possível mapear aplicações, identidades humanas e não humanas, priorizar riscos e construir uma governança mais moderna e escalável.

Quer avaliar como essa abordagem pode ser aplicada na sua operação? Fale com a WebSIA para mapear oportunidades, definir arquitetura, integrar soluções e criar uma jornada segura de adoção tecnológica.