Visibilidade antes da governança
Após três dias na Gartner IAM Summit 2025 em Grapevine, Texas, uma coisa estava clara. O mercado de governança de identidade está se fragmentando e consolidando ao mesmo tempo, e os vencedores serão as equipes que dominarem a visibilidade logo antes da governança.
O momento do IVIP chegou
A Gartner formalizou uma nova categoria de mercado chamada Plataformas de Visibilidade e Inteligência de Identidade (IVIP). Isso valida a abordagem que adotamos com a Zluri desde o primeiro dia. A definição é semelhante à nossa ficha técnica do produto: “produtos que oferecem integração rápida e visibilidade para dados relevantes para IAM, normalmente combinados com capacidades avançadas de análise.”
O que torna o IVIP diferente do IGA tradicional? É a sequência. Fornecedores de IGA tradicionais construíram primeiro fluxos de trabalho de governança e adicionaram visibilidade como um pensamento tardio. Eles presumiam que as organizações sabiam quais aplicações tinham, que acesso existia e quem possuía o quê. Na realidade, cerca de 60% das aplicações SaaS na média de empresas existem fora do escopo de SSO e sistemas tradicionais de identidade.

Na Zluri, construímos descoberta e visibilidade primeiro, porque você não pode governar o que não pode ver. Nosso motor de descoberta patenteado encontra aplicações que os fornecedores tradicionais de IGA nem sequer sabem que existem. É exatamente isso que o IVIP exige.
IA na Identidade: Onde Realmente Funciona
As sessões da Gartner sobre casos de uso de IA no IAM ofereceram uma estrutura sóbria. Nem todas as aplicações de IA são iguais, e a conferência alertou explicitamente contra “espalhar sua equipe tentando 25 coisas.”
Quatro casos de uso surgiram como realmente de alto valor:
- Modelagem de acesso para regras de autorização: Descobrir as políticas que devem governar o acesso, não apenas recomendar decisões de aprovação/negação
- Mitigação de tomada de conta (take takeover): O ATO continua sendo o principal vetor de ataque, e análises comportamentais baseadas em IA podem detectar abuso de credenciais
- Identificação de questões de postura: Agora conhecida como ISPM, Gerenciamento de Postura de Segurança de Identidade, que monitora continuamente desvios de configuração e permissões excedentes.
- Geração de relatórios: Uso de IA para reunir insights entre sistemas por meio de consultas em linguagem natural
Cada uma delas é específica do sistema. Um modelo de IA treinado para entender padrões de acesso no Salesforce não funcionará automaticamente para o Workday. Isso tem implicações profundas para a arquitetura do produto. Precisamos de uma IA componível que se adapte a cada integração, não de modelos monolíticos que afirmam funcionar em todos os lugares.
O Problema 82:1: A Explosão da Identidade Não Humana
Talvez a estatística mais marcante da conferência: identidades não humanas agora superam as identidades humanas em 82 para 1 na média das empresas. Em ambientes nativos da nuvem, essa proporção pode chegar a 40.000:1. E 99% das contas de serviço são excessivamente autorizadas.

Este é o tsunami do NHI (Identidade Não Humana) que todo fornecedor de IGA está correndo para enfrentar. O OWASP NHI Top 10, lançado em 2025, codifica riscos que temos acompanhado: offboarding inadequada, vazamento secreto, credenciais de longa duração e violações de isolamento ambiental.
Para garantir segurança robusta, as empresas devem expandir a governança de identidade além dos humanos, incluindo identidades não humanas.
ISPM e a Transição para a Segurança de Identidade Contínua
A Gestão da Postura de Segurança de Identidade surgiu como uma disciplina distinta na conferência. É onde o IVIP encontra operações de segurança. ISPM não é um produto; É um arcabouço de avaliação contínua que cobre:
- Políticas de MFA mal configuradas
- Contas superprivilegiadas que violam o privilégio mínimo
- Relatos dormentes que expandem a superfície de ataque
- Permissões órfãs de offboarding incompleta
- Violações de SoD que criam risco de conformidade

A palavra-chave é contínua. O IGA tradicional funciona em ciclos, como revisões trimestrais de acesso e certificações anuais. O ISPM funciona em tempo real. Essa mudança se encaixa bem com uma arquitetura de descoberta sempre ativa que a Zluri oferece.
Por que o Tempo Rápido para Valorizar as Vitórias
A Gartner compartilhou estatísticas de implantação que deveriam constranger todo fornecedor de IGA tradicional: organizações relatam filas de integração de aplicações de 600+ aplicativos com prazos projetados de 8+ anos. Apenas 10% conseguem o novo provisionamento de acesso em 2 dias.
A conferência recomendou explicitamente estratégias de “Desdobramento Mínimo Viável”. Comece com 5-10 aplicações de alto valor, prove valor e expanda. É assim que a Zluri já trabalha com seus clientes. Não exigimos implementações de 18 meses com exércitos de consultores. Conseguimos que os clientes valorizem em semanas.
Isso não é apenas uma vantagem de entrada no mercado; É uma decisão de arquitetura técnica. Integrações nativas da nuvem, API-first e pré-construídas são o que possibilita uma implantação rápida.
A Mudança para a Autorização Moderna
O AuthZen, o novo padrão de autorização da OpenID Foundation, demonstrou interoperabilidade com 15 fornecedores na cúpula. Ele está sendo posicionado como “o OpenID Connect para autorização” – uma forma padronizada para os aplicativos solicitarem e receberem decisões de acesso detalhadas.
A maioria das equipes já entende autenticação. O OIDC resolveu um problema claro. Respondeu a uma pergunta simples – Quem é você?
A autorização tem sido mais difícil. Isso responde a uma pergunta mais complexa. Quem ou o que pode fazer o quê, em qual recurso e sob quais condições? Historicamente, isso tem sido fragmentado, inconsistente e profundamente enraizado nas aplicações.
Essa abordagem não escala mais porque:
- As arquiteturas são distribuídas e orientadas por APIs
- Identidades não humanas, como serviços, pipelines e agentes, agora superam em número os humanos
- Decisões de acesso são de alta frequência e dependem do contexto
- Segurança e conformidade exigem explicabilidade e auditabilidade
Essa é a lacuna que a AuthZen está tentando fechar.
Também estamos vendo o próprio modelo de autorização evoluir além do RBAC básico (controle de acesso baseado em papéis). Estamos vendo convergência em torno de:
- ABAC (baseado em atributos) para decisões contextuais
- ReBAC (baseado em relacionamento) para permissões hierárquicas
- PBAC (baseado em políticas) como o padrão arquitetônico que os unifica
Plataformas nativas de autorização estão ganhando força ao tornar os dados de autorização visíveis e governáveis.
Atuação estratégica da WebSIA
A WebSIA pode apoiar empresas na transição para uma governança de identidade baseada em visibilidade, inteligência e controle contínuo. Com Zluri, é possível mapear aplicações, identidades humanas e não humanas, priorizar riscos e construir uma governança mais moderna e escalável.
Quer avaliar como essa abordagem pode ser aplicada na sua operação? Fale com a WebSIA para mapear oportunidades, definir arquitetura, integrar soluções e criar uma jornada segura de adoção tecnológica.