Roller Coaster, Salou, Spain.

Como uma estratégia eficaz de Identity and Access Management (IAM) reforça a confiança e a consistência nos relatórios SOC

EY logo with black background
EY Global

Multidisciplinary professional services organization

Contributors

3 minute read 11 mar. 2026
Related topics
Assurance
Technology risk

A conformidade com os standards de reporte depende de práticas robustas de proteção de dados, de revisões regulares de acessos e da confirmação de que os controlos operam de forma consistente.

Sumário Executivo

  • As práticas de gestão de identidades e acessos têm um impacto direto na eficácia e fiabilidade dos controlos organizacionais.
  • As revisões periódicas do acesso dos utilizadores são o maior desafio na gestão da identidade e do acesso.
  • As práticas recomendadas incluem a revogação ou transferência atempada de acessos, a gestão centralizada, a automatização e a formação contínua.

Quando um utilizador sai de uma empresa ou muda de função, o seu acesso aos sistemas da empresa também é atualizado? Muitas vezes, não é esse o caso, e é mais difícil de gerir do que parece.

Políticas e procedimentos eficazes de gestão de identidades e acessos (IAM) ajudam a evitar acessos não autorizados, violações de dados e fraudes. Para o conseguir, as organizações têm de monitorizar todos os utilizadores internos e externos - os seus estados, funções e requisitos de acesso - em toda a empresa, ao mesmo tempo que acompanham as rápidas mudanças tecnológicas em ambientes de grande dimensão e complexidade, alojados internamente e na nuvem.

Tal como a sondagem da conferência ilustra, a revisão periódica do acesso dos utilizadores continua a ser um dos maiores desafios de IAM para muitas organizações. Num recente inquérito informal realizado durante a 13ª Conferência Virtual Anual da EY sobre System and Organization Controls (SOC), mais de metade dos participantes identificou estas revisões como o seu principal desafio em IAM Todos os acessos devem ser revistos pela direção adequada e as alterações necessárias devem ser implementadas conforme identificadas. Quaisquer casos de acesso não autorizado devem ser avaliados para determinar se esse acesso foi utilizado de forma inadequada. A revisão periódica dos acessos dos utilizadores continua a ser um dos maiores desafios de IAM para muitas organizações. Num inquérito informal realizado durante a 13.ª Conferência Virtual Anual da EY sobre System and Organization Controls (SOC), mais de metade dos participantes identificou estas revisões como o seu principal desafio em IAM.

Uma boa prática consiste em terminar ou transferir o acesso atempadamente, em todos os sistemas, após uma alteração do estatuto de RH. No entanto, algumas organizações têm centenas de sistemas chave com potencialmente milhares de permissões, o que se torna um desafio muito complexo de resolver.

Brandon Miller

EY Global and Americas Technology Risk System and Organization Controls, Attestation and Certification Leader

How EY can help

O papel do IAM nos relatórios SOC

A gestão de acessos continua a conduzir uma parte significativa dos desvios dos relatórios SOC. Numa análise interna recente a quase 4.000 relatórios SOC que suportam as auditorias financeiras de 2024 e 2025 dos clientes, 54% das desvios identificados nos relatórios SOC 1 e 41% dos desvios nos relatórios SOC 2 estavam relacionados com acessos lógicos.

 

O IAM é fundamental para os relatórios SOC porque tem impacto na eficácia, fiabilidade e capacidade de auditoria dos controlos de uma organização. Os relatórios SOC exigem que as organizações demonstrem que possuem controlos adequados, de modo a que apenas o pessoal adequado tenha acesso a sistemas e dados sensíveis e que o acesso seja regularmente revisto e atualizado.

 

Quando existem diferenças na forma como os sistemas e o acesso são geridos, as organizações são mais propensas a erros e inconsistências. As práticas recomendadas incluem a gestão centralizada do acesso (introduzindo a automatização sempre que possível), controlos integrados, revisões periódicas dos acessos (mais frequentes para os acessos privilegiados) e formação contínua.

 

No entanto, algumas organizações têm centenas de sistemas chave com potencialmente milhares de permissões, o que torna este desafio complexo. Mais de um em cada quatro participantes na 13ª Conferência Virtual Anual da EY sobre Relatórios SOC afirmou que o término atempado é a sua maior preocupação.

 

Para além dos relatórios SOC, muitas organizações também confiam em ferramentas de certificação para reforçar a consistência e a disciplina das suas práticas de gestão de identidades e acessos. Os requisitos de certificação enfatizam a governação padronizada, os processos documentados e a monitorização contínua, todos eles estreitamente alinhados com as expectativas de IAM da ISO27001:2022.

 

Embora a certificação não substitua o relatório SOC, pode reforçar a confiança no ambiente de controlo subjacente. As organizações com práticas de IAM alinhadas com os critérios de certificação estão frequentemente melhor posicionadas para demonstrar uma operação de controlo sustentada e uma propriedade de acessos mais claras e menos desvios relacionados com o acesso ao longo do tempo.

Os clientes preocupam-se com a forma como os seus dados são protegidos, o que leva a um elevado nível de interesse no processo de IAM, controlos e resultados de testes num relatório SOC. As organizações podem aumentar a confiança dos clientes na forma como os dados são protegidos através de responsabilidades claras e da automatização para facilitar a execução consistente dos controlos de IAM

Shelly Fliehe

EY Global Technology Risk Leader

Qual é o maior desafio de IAM que a sua organização está a enfrentar? 

51%
Revisão periódica de acessos
26%
Processamento atempado de saídas e transferencias
15%
Gestão de acessos em ambiente cloud
8%
Autenticação multifator (MFA)

Três prioridades de gestão de identidades e acessos para relatórios SOC mais sólidos

1. Amadurecer  o IAM para reduzir os desvios relacionados com o acesso

Reforçar os processos de aprovisionamento e remoção de acessos de acordo com as alterações de recursos humanos ajuda a garantir que os utilizadores têm apenas o acesso de que necessitam - e apenas durante o tempo necessário. Isto reduz diretamente o risco de desvios nos seus relatórios SOC.

2. Adotar modelos de acesso escaláveis que evoluam e sejam revistos com o negócio

O acesso baseado em funções e as permissões a pedido dão às organizações maior controlo e visibilidade. A revisão periódica ajuda a garantir que os acessos dos utilizadores permanecem adequados à medida que as funções, permissões, pessoal, tecnologias e perfis de risco mudam.

3. Incorporar a disciplina de IAM em todos os níveis da organização

Gerir de forma consistente as identidades internas e externas, em ambientes cloud e on premise, é fundamental para reduzir acessos não autorizados e evitar problemas de auditoria. Uma execução sólida do IAM apoia tanto a segurança operacional como auditorias SOC mais eficientes.

À medida que as organizações se tornam cada vez mais digitais, a identidade tornou-se o principal vetor de ataque. O IAM é a pedra angular da cibersegurança moderna, garantindo que os indivíduos certos têm o acesso certo aos recursos certos no momento certo; nem mais, nem menos. Num cenário de ameaças em que a identidade é o novo perímetro, um IAM robusto é essencial para proteger ativos críticos e manter a confiança

Jatin Sehgal

EY Global ISO Leader; EY CertifyPoint Managing Partner

How EY can help

  • Technology Risk

    Saiba mais sobre os serviços de Technology Risk e o seu papel em auditorias de elevada qualidade e outros serviços de garantia, atestação, certificação e avaliação.

    Read more

Resumo

Em organizações onde inúmeros colaboradores acedem diariamente a sistemas críticos, a gestão de identidades e acessos desempenha um papel crucial. Idealmente, qualquer saída ou alteração de  funções deveria resultar num ajuste imediato dos direitos de acesso. No entanto, para muitas organizações, monitorizar e gerir níveis de acesso adequados para todos os utilizadores continua a ser um desafio significativo. Políticas eficazes de IAM ajudam a mitigar os riscos de incidentes de segurança e de falhas de auditoria, reforçando a resiliência global da organização.

About this article

EY logo with black background
EY Global
Multidisciplinary professional services organization

Contributors

Related topics
Assurance
Technology risk

EY refere-se à organização global, e pode referir-se a uma ou mais firmas-membro da Ernst & Young Global Limited, cada uma das quais uma entidade juridicamente distinta. A Ernst & Young Global Limited, firma sedeada no Reino Unido, limitada por garantia, não presta serviços a clientes.