IDENTITY GOVERNANCE & ADMINISTRATION (IGA)

Introdução

O objetivo deste documento é detalhar o retorno sobre o investimento (ROI) na implementação de uma solução de IGA. Diferente de ferramentas de acesso pontuais, o IGA foca na governança do ciclo de vida das identidades (colaboradores, terceiros e contas de serviço).

A ausência de uma governança automatizada gera custos invisíveis: tempo excessivo de TI em tarefas manuais, custos de licenças não utilizadas, demora na produtividade de novos funcionários e, principalmente, vulnerabilidades críticas de segurança que podem resultar em multas pesadas e danos à reputação.

O objetivo é fornecer uma metodologia padronizada para:

  • identificar fontes de geração de valor relacionadas ao IGA,
  • estruturar os componentes de custo e benefício,
  • demonstrar como os ganhos podem ser quantificados financeiramente,
  • apoiar processos de tomada de decisão e aprovação de investimento.

O modelo proposto é genérico e parametrizável, podendo ser adaptado conforme o porte, maturidade e contexto operacional da organização.

Escopo da Análise

A análise considera impactos financeiros e operacionais decorrentes da adoção de IGA, incluindo:

  • automação de gestão de acessos,
  • governança de identidades,
  • eficiência operacional,
  • redução de riscos,
  • melhoria de compliance regulatório.

Visão Geral de Identity Governance
and Administration

Identity Governance and Administration (IGA) consiste no conjunto de processos e tecnologias responsáveis por controlar e governar identidades digitais e seus acessos aos sistemas corporativos.

Entre suas principais capacidades estão:

  • provisionamento automático de acessos,
  • desprovisionamento baseado no ciclo de vida do usuário,
  • certificações periódicas de acesso,
  • segregação de funções (SoD),
  • trilhas de auditoria e governança contínua.

O valor de negócio do IGA é gerado principalmente por automação operacional, redução de exposição a riscos e aumento da eficiência organizacional.

Pilares de Valor Estratégico

Para calcular o retorno, dividimos o impacto da solução em três frentes:

  • Eficiência Operacional: Redução do trabalho braçal da TI e RH.
  • Redução de Riscos: Eliminação de acessos excessivos e contas órfãs.
  • Conformidade (Compliance): Automação de evidências para auditorias (LGPD, SOX, ISO 27001, SOC 2).

Metodologia de Cálculo e Detalhamento de Custos

Nesta seção, quantificamos o impacto financeiro direto da operação manual atual comparada à automação por IGA.

Eficiência Operacional da TI (Provisionamento Manual)

O custo de manter analistas realizando tarefas repetitivas de criação e remoção de contas.

CTI_Manual = Custo total da TI para realizar operações básicas de conceder e remover acessos de colaboradores.

TJoiner = Tempo médio gasto para criar todas as contas de um usuário nas aplicações em um processo de onboarding.

TMover = Tempo médio gasto para remover acessos antigos e conceder acessos novos de um colaborador que fez uma movimentação interna dentro da empresa.

TLeaver = Tempo médio gasto caçando todos os acessos do usuário para garantir que tudo tenha sido revogado.

NMovimentações = Volume médio de movimentações de colaboradores dentro da empresa em um ano. Exemplo: Se a empresa contrata 100 funcionários, promove 50 e demite 80 no ano, o número de movimentações é de 230.

CHora_TI = Custo médio da hora de analistas de TI que fazem a gestão de acessos na empresa.

Métrica de Mercado (sem IGA):

Em processos manuais, gasta-se em média de 30 a 60 minutos por usuário para configurar acessos em múltiplos sistemas de acordo com o Gartner 
(IAM Maturity Models & Market Guides).

Ganho IGA:

Com IGA, esse tempo cai para minutos (apenas supervisão).

Custo da Inatividade (Onboarding / Day One)

Um dos maiores ralos financeiros. Representa o salário pago a um novo colaborador que não consegue produzir por falta de acessos.

CInatividade = Custo total de inatividade de colaboradores recém contratados.

TEspera = Tempo médio, em horas, entre o primeiro dia de trabalho do colaborador até o momento que ele tem todos os acessos necessários para produzir.

CHora_Colaborador = Média salarial dos novos colaboradores (Total da folha / Total de horas)

NContratações = Volume anual de novos colaboradores, incluindo terceirizados.

Métrica de Mercado (sem IGA):

Sem IGA, um funcionário demora em média de 2 a 5 dias para ter todos os acessos. Se o colaborador custa R$ 100,00/hora para a empresa, cada dia parado custa R$ 800,00.

Ganho IGA:

O colaborador começa a produzir no minuto 1 do primeiro dia com a automatização do processo de onboarding feita pela solução de IGA.

Gestão de Licenciamento 
(O Custo das “Licenças Fantasmas”)

Licenças ativas de softwares (SaaS) que pertencem a ex-funcionários ou pessoas que mudaram de cargo e não utilizam mais a ferramenta.

CustosLicenças = Custo total anual no valor de licenças ociosas que não foram revogadas.

NLic_Ociosas = Volume de licenças pagas que não possuem login ativo há mais de 30/60 dias ou que pertencem a usuários já desligados. A média de mercado é de 30% do volume total de licenças.

VLicenças = Custo médio mensal das licenças de softwares.

Métrica de Mercado (sem IGA):

Estudos indicam que cerca de 30% das licenças SaaS em empresas sem IGA são desperdiçadas ou subutilizadas (Flexera, State of SaaS Management Report).

Ganho IGA:

O desprovisionamento automático corta o faturamento dessas licenças no momento exato do desligamento no RH ou na alteração de cargo.

Detalhamento da Recertificação de Acessos

CustosAuditoria = Custo total anual no processo de certificação de acessos sem IGA.

HPlanilha = Horas médias gastas por gestores da empresa uma ou duas vezes por ano para revisar quem tem acesso a quê.

NGestores = Número de gestores envolvidos nos processos de campanhas de revisão de acesso.

CGestor = Custo médio da hora dos gestores que realizam processos de revisão de acessos. Diferente da TI, o custo aqui é de coordenadores e diretores, sendo geralmente 2x a 3x maior que a hora técnica.

Métrica de Mercado (sem IGA):

Estudos da Forrester Research revelam que, em processos baseados em planilhas, cada gestor dedica entre 3 a 5 horas por ciclo de revisão apenas para decifrar siglas técnicas e validar acessos de sua equipe. Em uma empresa com 50 gestores realizando revisões semestrais, isso representa cerca de 500 horas de liderança desviadas de suas funções estratégicas para tarefas burocráticas anualmente.

Ganho IGA:

Redução de 80% no esforço de gestores e auditores de acordo com o estudo Forrester Consulting – “The Total Economic Impact™ of Modern IGA Solutions”. A solução consolida os dados automaticamente e permite a revogação de acessos indevidos em tempo real.

O Custo do Risco (Risk-Adjusted ROI)

Diferente do ROI operacional, o ROI de risco foca na Prevenção de Perdas. O IGA atua diretamente na redução da probabilidade de incidentes e na minimização do impacto financeiro caso eles ocorram.

Mitigação de Violação de Dados (Data Breach)

O IGA ataca os dois principais vetores: Contas Órfãs (ex-funcionários) e Privilégios Excessivos.

Cálculo da Perda Esperada (ALE):

ALE = SLE × ARO

SLE (Single Loss Expectancy) = Valor monetário perdido em um único evento (custo de resposta, multas, perda de clientes).

ARO (Annualized Rate of Occurrence) = Probabilidade de o evento ocorrer em um ano.

Métrica de Mercado (sem IGA):

Segundo o relatório Cost of a Data Breach da IBM/Ponemon Institute, o custo médio de um vazamento de dados global é de milhões de dólares. Credenciais comprometidas são a causa raiz mais comum e levam, em média, mais de 200 dias para serem identificadas em processos manuais.

Ganho IGA:

De acordo com a IBM, empresas com alta automação de segurança e governança de identidade reduzem o custo de um vazamento em até USD 1.5 milhão. O IGA diminui a probabilidade de acontecer um incidente ao eliminar contas órfãs e o impacto ao limitar o que um invasor pode acessar.

Conformidade e Multas Regulatórias 
(LGPD/ANPD)

A conformidade deixa de ser um “custo variável” e caótico para se tornar uma proteção de caixa previsível.

Métrica de Mercado (sem IGA):

Sob a LGPD, as multas podem chegar a 2% do faturamento bruto (limitadas a R$ 50 milhões). Além da multa, o Gartner aponta que empresas sem IGA gastam centenas de horas-homem em “Audit Fire Drills” (coleta emergencial de evidências), paralisando projetos estratégicos da TI por semanas.

Ganho IGA:

O IGA reduz em até 80% o tempo de preparação para auditorias (Fonte: Forrester). Ele transforma a conformidade em um custo fixo baixo através de relatórios nativos e automáticos, garantindo que as evidências de “quem tem acesso a quê” estejam prontas a qualquer momento, eliminando o risco de sanções por negligência.

Risco de Insider Threat (Ameaças Internas)

Previne o “Privilege Creep” (acúmulo de acessos), garantindo que colaboradores ou contas sequestradas não acessem dados fora de sua alçada.

Métrica de Mercado (sem IGA):

O relatório da Ponemon Institute sobre Insider Threats indica que o custo médio de um incidente causado por um “insider” aumentou significativamente, e o tempo médio para conter um incidente interno é de 77 dias. A falta de Segregação de Funções (SoD) é a principal causa de fraudes financeiras internas.

Ganho IGA:

Através do Princípio do Menor Privilégio e da automação de SoD (Segregation of Duties), o IGA garante conformidade sistêmica. A Forrester aponta que o IGA reduz a probabilidade de fraudes internas ao bloquear automaticamente conflitos de interesse em acessos (ex: o usuário que cria o fornecedor não pode ser o mesmo que aprova o pagamento), protegendo diretamente o patrimônio da empresa.

Conclusão

Baseado em benchmarks de mercado (Gartner, Forrester e IBM), a implementação de uma solução de IGA gera economias percentuais significativas em diversas frentes. Abaixo, resumimos a expectativa de redução de custos após a maturação do projeto:

Médias de Economia por Categoria

  • Gestão de Licenciamento: Redução de 20% a 30% nos custos com licenças ociosas ou esquecidas.
  • Eficiência Operacional da TI: Redução de 70% a 90% no tempo gasto com tarefas manuais de criação e remoção de acessos.
  • Service Desk: Redução de 40% a 50% no volume de chamados de suporte básicos.
  • Preparação para Auditorias: Redução de até 80% no tempo de coleta de evidências e resposta a auditores.
  • Custo de Violação de Dados: Organizações com automação de identidade economizam, em média, USD 1.5 milhão em custos de contenção e remediação comparadas a empresas com processos manuais.

Sumário Executivo Final

A adoção do IGA transcende a barreira da segurança cibernética; é uma decisão de otimização financeira e escalabilidade de negócio.

  • Retorno sobre o Investimento (ROI): De acordo com estudos da Forrester, uma solução de IGA madura entrega um ROI de até 250% a 300% em um período de 3 anos, com o projeto se pagando integralmente (Payback) na média de 6 meses.
  • Eficiência Operacional: O impacto na produtividade técnica é massivo, com redução de 70% a 90% no tempo gasto em provisionamento e uma queda de 80% no esforço manual de conformidade e auditoria (Fonte: Gartner/Forrester).
  • Recuperação Direta de Caixa (OPEX): A eliminação de “Licenças Fantasmas” gera uma economia imediata de até 33% nos gastos anuais com SaaS, transformando desperdício em orçamento disponível (Fonte: Flexera).
  • Proteção de Ativos e Marca: A automação reduz o custo de uma eventual violação de dados em mais de USD 1.5 milhão, atuando na causa raiz de 80% das brechas: a gestão de identidades (Fonte: IBM).
  • Escalabilidade: O IGA permite que a empresa suporte um crescimento acelerado no número de colaboradores e sistemas sem aumentar o quadro de funcionários de TI dedicado à administração de acessos.

Veredito

O investimento em IGA se paga não apenas pela automação, mas pela eliminação sistemática do desperdício de licenças e pela blindagem financeira contra incidentes de segurança e multas regulatórias.