IGA (Identity Governance and Administration) é a disciplina responsável por governar identidades e acessos dentro das organizações, garantindo que permissões concedidas sejam adequadas, justificadas, revisadas e alinhadas às políticas internas e às exigências regulatórias.
Enquanto o IAM viabiliza o acesso, o IGA garante controle, rastreabilidade e conformidade ao longo de todo o ciclo de vida da identidade. É essa camada que transforma acesso técnico em acesso governado.
Ou seja é um conjunto de processos, políticas e controles que asseguram que:
- Cada acesso tenha um motivo legítimo
- Exista um responsável (owner) pelo acesso
- Permissões sejam revisadas periodicamente
- Decisões sejam auditáveis
Sem IGA, acessos tendem a se acumular ao longo do tempo. Com IGA, o acesso passa a ser temporário, justificável e rastreável por padrão.
O problema que o IGA resolve
Em ambientes corporativos complexos, é comum encontrar:
- Acessos concedidos sem revisão periódica
- Usuários acumulando permissões ao longo do tempo (privilege creep)
- Dificuldade em comprovar quem aprovou determinado acesso
- Alto esforço operacional em auditorias e fiscalizações
Esses problemas raramente são causados por má intenção. Na maioria dos casos, são consequência direta da ausência de governança estruturada.
Identity Governance and Administration como pilar de governança e compliance
O IGA organiza e padroniza processos críticos, como:
- Onboarding e offboarding de usuários
- Revisões periódicas de acesso (access reviews / attestation)
- Aprovações baseadas em papéis, políticas e contexto
- Geração de evidências para auditorias internas e externas
Com isso, a empresa reduz riscos regulatórios, aumenta transparência e diminui a dependência de controles manuais e planilhas.
IGA dentro da estratégia de IAM
O IGA atua como a camada de governança dentro do Identity and Access Management.
- Sem IGA, o IAM tende a se tornar operacional: cria, altera e remove acessos, mas sem visão de risco e conformidade.
- Com IGA, o IAM se torna estratégico e sustentável, alinhado a políticas, auditorias e ao negócio.
Em resumo: IAM executa. IGA governa.
IGA como maturidade organizacional
Empresas maduras entendem que identidade não é apenas tecnologia. É processo, responsabilidade e governança.
O IGA representa esse nível de maturidade, onde:
- Acesso é tratado como risco controlado
- Decisões são rastreáveis
- Auditorias deixam de ser emergenciais
- Segurança e operação caminham juntas
Esses processos são o que transformam controle de acesso em governança contínua, e não em ações pontuais reagindo a incidentes ou auditorias.
Com IGA, a organização deixa de depender de memória ou controles manuais e passa a operar acessos com padrão, responsabilidade e evidência, exatamente o que reguladores, auditorias e áreas de risco esperam.
