Ao olharmos para 2025, as lições de 2024 servem como um lembrete claro do cenário de gerenciamento de identidade e acesso (IAM) em rápida evolução. Os números contam a história: o último relatório do Identity Theft Resource Center indica que os consumidores experimentaram um aumento de 21 pontos percentuais na vitimização por crimes de identidade entre julho de 2023 e junho de 2024. Enquanto isso, o Thales 2024 Data Threat Report destaca o desafio de gerenciar com segurança o acesso de terceiros e contratados, um número que deve aumentar à medida que os ecossistemas se tornam cada vez mais interconectados.
Paralelamente, a rápida adoção de tecnologias de IA generativas trouxe não apenas ganhos de produtividade sem precedentes, mas também riscos complexos, com apenas 11% das empresas admitindo que implementaram salvaguardas adequadas para sistemas orientados por IA. Essas tendências deixam claro: em 2025, o IAM não é mais uma preocupação de back-office — é o eixo da confiança digital, resiliência empresarial e inovação.
Líderes de segurança abordarão identidades B2B:
Empresas, tanto públicas quanto privadas, estão trabalhando muito mais com terceiros — de fornecedores a contratados, clientes corporativos e muito mais. Essas identidades logo superarão as identidades internas de funcionários em 3:1. Enquanto isso, ataques à cadeia de suprimentos também estão aumentando, com muitas instâncias resultando de ataques de terceiros que se espalham pelos clientes.
Ataques cada vez mais visíveis à cadeia de suprimentos provam a necessidade de entender melhor as identidades Business-to-Business (B2B), uma área que historicamente não se encaixa nos casos de uso de identidade da força de trabalho convencional. Com os líderes de segurança continuando a supervisionar um número crescente de identidades externas dentro de mais processos digitais, incluindo acesso a seus dados e aplicativos internos, proteger identidades B2B se tornará uma prioridade máxima em 2025.
2025 trará o efeito cascata da adoção da chave de acesso:
As conversas em andamento sobre um futuro sem senhas dominam a indústria há muito tempo. No entanto, no último ano, grandes empresas, incluindo a Microsoft mais recentemente, anunciaram seus planos de introduzir suporte a chaves de acesso para eliminar senhas completamente. As chaves de acesso já estão ganhando força, com 30% dos consumidores implementando esse método de autenticação sem senhas.
Em 2025, veremos um efeito cascata no uso de chaves de acesso, principalmente visível no setor bancário, devido ao uso crescente em aplicativos de serviços bancários móveis, como o Apple Pay. As chaves de acesso oferecem autenticação de nível bancário, permitindo que as organizações FinServ atendam à conformidade regulatória e, ao mesmo tempo, aprimorem a experiência do usuário final. Essa demanda contínua impulsionará ainda mais a adoção de chaves de acesso em outros lugares, o que significa que 2025 será o ano em que a conversa sobre chaves de acesso começará a dar certo.
As conversas sobre privacidade de dados serão o palco principal nos EUA:
Os EUA precisam alcançar outros países no estabelecimento de regulamentação em nível federal em torno da privacidade de dados; normalmente, isso tem sido tratado em uma base estado por estado, com alguns, como a Califórnia, introduzindo seu próprio tipo de atos de privacidade. Em 2024, vimos a introdução do American Privacy Rights Act (APRA) , que ainda aguarda aprovação, trazendo a regulamentação federal para mais perto de uma realidade.
O futuro da APRA é atualmente incerto e, embora não seja possível prever como as regulamentações emergentes podem se desenrolar, esperamos que a APRA e a privacidade de dados permaneçam centrais nas discussões no próximo ano nos EUA. Isso forçará a privacidade de dados a ficar ainda mais em evidência e colocará em questão como a dinâmica de dados pode mudar para as empresas, desde como elas armazenam, compartilham e olham seus dados sob a lente da privacidade. Por sua vez, isso impacta os requisitos de IAM, pois eles são forçados a mudar com a mudança da legislação e adaptar continuamente os métodos para atender aos novos requisitos.
Riscos de deepfake impulsionarão a adoção de IAM em 2025:
Já estamos testemunhando o uso crescente de ferramentas de IA que geram rapidamente conteúdo sintético, incluindo imagens e vídeos. Essas ferramentas também reúnem dados de identidade pessoal que vão além da identificação básica, abrangendo preferências, informações de estilo de vida e dados sociais. No entanto, essas ferramentas também levam a falsificações de identidade cada vez mais realistas que abrem novas contas de forma fraudulenta. Isso é particularmente preocupante para os serviços financeiros, que têm um requisito obrigatório para combater e eliminar essa fraude.
Em 2025, testemunharemos uma adoção crescente de carteiras de identidade digital, bem como verificação de documentos com tecnologia de IA e aprendizado de máquina e verificação de identidade biométrica no setor de serviços financeiros. Essa tendência responderá ao uso crescente de deepfakes por fraudadores que tentam abrir novas contas usando identidades roubadas ou completamente fabricadas. À medida que os documentos de identidade física se tornam digitalizados, os métodos de verificação de credenciais continuarão a ganhar popularidade, especialmente com o suporte de regulamentações como o eIDAS 2.0 na UE, que impulsionará essa transformação.
O futuro do IAM:
O cenário de gerenciamento de identidade e acesso deve se adaptar ou perecer na complexa rede atual de tecnologias, serviços, identidades de nuvem e regulamentações de conformidade caleidoscópicas.
Por causa de sua intersecção com tendências humanas falíveis, identidades são um alvo cobiçado entre agentes de ameaças que buscam maneiras mais fáceis de comprometer redes bem protegidas. Como as ferramentas de detecção e resposta elevaram o nível de sofisticação necessário para um ataque bem-sucedido, a área na qual o erro humano, a fraqueza e o julgamento ainda desempenham um papel fundamental – a criação e execução de nosso próprio acesso baseado em credenciais – está atraindo cada vez mais atenção de pessoas de fora maliciosas.
Os terceiros distantes e as ferramentas de produtividade destinadas a trazer proximidade e conveniência ao trabalho moderno também deixam as organizações à beira do perigo, pois o progresso rápido ameaça ultrapassar a segurança mais uma vez. Por outro lado, a crescente proeminência da segurança na consciência pública trouxe mudanças positivas, como o aumento da legislação de privacidade e a necessidade de abandonar credenciais vulneráveis por algo que os humanos não podem estragar — pelo menos, não tão facilmente.
O Verizon 2024 DBIR observa que uma em cada duas violações de dados pode ser rastreada até recursos de gerenciamento de identidade e acesso ruins (“credenciais comprometidas”). As tendências de segurança no horizonte do IAM sugerem que, no próximo ano, esses números têm o potencial de mudar para melhor. Embora, dada a força de entidades multiplicadoras de força, como suítes de produtividade orientadas por IA e cadeias de suprimentos hiperconectadas, isso não será sem luta.
Danny de Vreeze
Vice-presidente, Gestão de Identidade e Acesso.
Comments