Offboarding de TI: por que acessos de ex-colaboradores ficam abertos

Offboarding de TI: por que acessos de ex-colaboradores ficam abertos

Quando um colaborador é desligado, o processo formal costuma ser concluído pelo RH em poucas horas. Contrato encerrado, equipamento devolvido, crachá recolhido. Só que na maioria das empresas de médio porte, ninguém avisa a TI em tempo real — e é aí que o problema começa.

O acesso ao e-mail corporativo continua ativo. O login no sistema de gestão ainda funciona. A pasta compartilhada no SharePoint está acessível. Esse rastro digital pode ficar aberto por dias, semanas ou indefinidamente, dependendo de como os processos internos estão organizados.

O intervalo perigoso entre o desligamento e a revogação

Um cenário comum: colaborador desligado na sexta à tarde, com acesso revogado apenas na segunda seguinte quando alguém da TI é notificado. São 72 horas com credencial ativa, sem monitoramento e sem justificativa de negócio para isso.

Não é necessário supor má-fé para que esse intervalo cause problemas. Uma conta inativa é uma superfície de ataque. Se essa credencial vazar ou for reutilizada por terceiros, a empresa não tem como saber que a origem era um ex-colaborador.

Quais acessos costumam ficar abertos sem que ninguém perceba

O e-mail é o mais óbvio, mas está longe de ser o único ponto de atenção. Em ambientes Microsoft 365, uma conta ativa mantém acesso simultâneo ao SharePoint, ao OneDrive, ao Teams e a qualquer aplicativo integrado à mesma identidade. Isso inclui arquivos com dados de clientes, contratos e informações financeiras.

Além disso, é comum encontrar:

  • Acesso de VPN (rede privada virtual) funcionando com as credenciais antigas
  • Logins individuais em sistemas de ERP (gestão empresarial) ou CRM (gestão de clientes) que nunca foram desativados
  • Ferramentas SaaS (software como serviço) com planos pagos por usuário e contas esquecidas
  • Credenciais administrativas compartilhadas informalmente que o colaborador conhecia

O problema se agrava em empresas com alta rotatividade ou times híbridos, onde a dispersão de ferramentas é maior e o controle centralizado raramente acompanha o ritmo das mudanças.

O que pode acontecer quando esse acesso não é revogado

O cenário mais documentado é a exfiltração de dados por ex-colaboradores insatisfeitos. Estudos de segurança mostram que boa parte dos incidentes envolvendo dados corporativos tem origem interna, e uma parcela significativa ocorre após o desligamento, justamente porque o acesso não foi encerrado.

Há também outro risco menos óbvio: credenciais inativas são alvos atrativos para ataques externos. Uma conta que ninguém monitora pode ser comprometida e usada como ponto de entrada na rede sem levantar alertas imediatos.

Do ponto de vista de conformidade, esse cenário também é problemático. Frameworks como o CIS Controls V8 e as normas da família ISO 27.000 exigem controles claros sobre ciclo de vida de identidades. Quando dados de clientes são acessados por alguém sem vínculo ativo, a empresa pode enfrentar questionamentos legais que vão além do dano técnico.

Por que isso continua acontecendo mesmo em empresas organizadas

A causa mais frequente não é descuido, é falta de integração. O RH usa um sistema, a TI usa outro, e não existe um fluxo automático que conecte o desligamento formal à revogação de acessos. Quando o time de TI é enxuto, a ação depende de alguém ser notificado manualmente, e essa notificação frequentemente atrasa.

Ambientes com muitas ferramentas diferentes pioram o quadro. Cada sistema tem seu próprio painel de usuários, e revogar acesso em todos eles separadamente, sem uma lista centralizada, é um trabalho que tende a ficar incompleto.

Como estruturar um processo de offboarding de TI que funcione

O ponto de partida é ter um checklist mínimo de revogação acionado no momento do desligamento, não depois. Esse checklist precisa cobrir e-mail, sistemas críticos, VPN, ferramentas SaaS e qualquer credencial administrativa que o colaborador tenha utilizado.

Em ambientes Microsoft 365, centralizar o controle de identidade pelo Microsoft Entra ID (anteriormente Azure Active Directory) simplifica muito esse processo. Quando a identidade central é desativada, os acessos vinculados a ela são interrompidos em cascata, sem precisar entrar em cada sistema separadamente.

Ferramentas como o Microsoft Intune ajudam a controlar o que o colaborador acessa nos dispositivos corporativos. Já o Microsoft Information Protection permite rastrear e revogar o acesso a documentos específicos, mesmo que já tenham sido compartilhados ou copiados.

Registrar o que foi feito no momento do desligamento também é essencial. Ter um log com data, hora e quais acessos foram revogados não é burocracia: é a evidência que a empresa vai precisar se o problema aparecer depois.

Por onde começar se você ainda não tem esse processo

Uma varredura inicial de contas ativas sem vínculo atual já revela bastante. O ponto de partida prático é cruzar a lista de usuários nos principais sistemas com a base de colaboradores ativos. Qualquer conta sem correspondência merece revisão imediata.

A prioridade deve ser: acessos administrativos, sistemas com dados sensíveis e ferramentas com acesso a informações de clientes. Esses três grupos concentram o maior risco em caso de uso indevido.

Para empresas que nunca fizeram esse mapeamento, envolver um parceiro especializado acelera o processo sem exigir que o time interno interrompa a operação. A Aviti atua nesse tipo de avaliação em ambientes Microsoft 365, ajudando a identificar lacunas no controle de identidade e a estruturar políticas de ciclo de vida que acompanhem as mudanças do time.

Se você não sabe exatamente quais acessos estão ativos no seu ambiente hoje, esse já é o diagnóstico. Fale com um especialista da Aviti e descubra por onde começar a corrigir isso.

Perguntas frequentes

Quanto tempo uma conta de ex-colaborador pode ficar ativa na empresa sem ninguém perceber?

Pode ficar ativa por dias, semanas ou até indefinidamente, dependendo de como a empresa organiza o aviso do desligamento para a TI. Um caso comum é o desligamento na sexta e a revogação só na segunda, criando um intervalo de 72 horas com credenciais válidas.

Quais acessos devo checar primeiro quando alguém é desligado?

Priorize o que concentra mais risco: acessos administrativos, sistemas com dados sensíveis e ferramentas que dão acesso a informações de clientes. Na prática, isso inclui e-mail corporativo, identidade do Microsoft 365 (que impacta SharePoint, OneDrive e Teams), VPN, ERP/CRM e contas em ferramentas SaaS pagas por usuário.

Desativar o usuário no Microsoft 365 corta o acesso a tudo automaticamente?

Quando a empresa centraliza a identidade no Microsoft Entra ID, desativar essa identidade tende a interromper os acessos vinculados a ela em cascata, como SharePoint, OneDrive, Teams e aplicativos integrados. Mesmo assim, é importante validar sistemas fora desse controle e revisar credenciais administrativas que possam ter sido compartilhadas.

Como descobrir se existem contas ativas de ex-colaboradores no meu ambiente hoje?

Comece com uma varredura cruzando a lista de usuários dos principais sistemas com a base de colaboradores ativos. Qualquer conta sem correspondência deve ser revisada imediatamente, com foco inicial em perfis administrativos e sistemas que guardam dados sensíveis ou de clientes.

Você também pode se interessar

  • Zebra
  • Honeywell
  • HP Enterprise
  • Sato
  • HPE Networking
  • Datalogic
  • Cisco
  • Fortinet
  • AWS
  • Logitech
  • HP
  • Unitech
  • Dell
  • Lenovo
  • APC
  • Microsoft
© Aviti soluções em tecnologia - Todos os direitos reservados. Política de privacidade