
Quando um colaborador é desligado, o processo formal costuma ser concluído pelo RH em poucas horas. Contrato encerrado, equipamento devolvido, crachá recolhido. Só que na maioria das empresas de médio porte, ninguém avisa a TI em tempo real — e é aí que o problema começa.
O acesso ao e-mail corporativo continua ativo. O login no sistema de gestão ainda funciona. A pasta compartilhada no SharePoint está acessível. Esse rastro digital pode ficar aberto por dias, semanas ou indefinidamente, dependendo de como os processos internos estão organizados.
Um cenário comum: colaborador desligado na sexta à tarde, com acesso revogado apenas na segunda seguinte quando alguém da TI é notificado. São 72 horas com credencial ativa, sem monitoramento e sem justificativa de negócio para isso.
Não é necessário supor má-fé para que esse intervalo cause problemas. Uma conta inativa é uma superfície de ataque. Se essa credencial vazar ou for reutilizada por terceiros, a empresa não tem como saber que a origem era um ex-colaborador.
O e-mail é o mais óbvio, mas está longe de ser o único ponto de atenção. Em ambientes Microsoft 365, uma conta ativa mantém acesso simultâneo ao SharePoint, ao OneDrive, ao Teams e a qualquer aplicativo integrado à mesma identidade. Isso inclui arquivos com dados de clientes, contratos e informações financeiras.
Além disso, é comum encontrar:
O problema se agrava em empresas com alta rotatividade ou times híbridos, onde a dispersão de ferramentas é maior e o controle centralizado raramente acompanha o ritmo das mudanças.
O cenário mais documentado é a exfiltração de dados por ex-colaboradores insatisfeitos. Estudos de segurança mostram que boa parte dos incidentes envolvendo dados corporativos tem origem interna, e uma parcela significativa ocorre após o desligamento, justamente porque o acesso não foi encerrado.
Há também outro risco menos óbvio: credenciais inativas são alvos atrativos para ataques externos. Uma conta que ninguém monitora pode ser comprometida e usada como ponto de entrada na rede sem levantar alertas imediatos.
Do ponto de vista de conformidade, esse cenário também é problemático. Frameworks como o CIS Controls V8 e as normas da família ISO 27.000 exigem controles claros sobre ciclo de vida de identidades. Quando dados de clientes são acessados por alguém sem vínculo ativo, a empresa pode enfrentar questionamentos legais que vão além do dano técnico.
A causa mais frequente não é descuido, é falta de integração. O RH usa um sistema, a TI usa outro, e não existe um fluxo automático que conecte o desligamento formal à revogação de acessos. Quando o time de TI é enxuto, a ação depende de alguém ser notificado manualmente, e essa notificação frequentemente atrasa.
Ambientes com muitas ferramentas diferentes pioram o quadro. Cada sistema tem seu próprio painel de usuários, e revogar acesso em todos eles separadamente, sem uma lista centralizada, é um trabalho que tende a ficar incompleto.
O ponto de partida é ter um checklist mínimo de revogação acionado no momento do desligamento, não depois. Esse checklist precisa cobrir e-mail, sistemas críticos, VPN, ferramentas SaaS e qualquer credencial administrativa que o colaborador tenha utilizado.
Em ambientes Microsoft 365, centralizar o controle de identidade pelo Microsoft Entra ID (anteriormente Azure Active Directory) simplifica muito esse processo. Quando a identidade central é desativada, os acessos vinculados a ela são interrompidos em cascata, sem precisar entrar em cada sistema separadamente.
Ferramentas como o Microsoft Intune ajudam a controlar o que o colaborador acessa nos dispositivos corporativos. Já o Microsoft Information Protection permite rastrear e revogar o acesso a documentos específicos, mesmo que já tenham sido compartilhados ou copiados.
Registrar o que foi feito no momento do desligamento também é essencial. Ter um log com data, hora e quais acessos foram revogados não é burocracia: é a evidência que a empresa vai precisar se o problema aparecer depois.
Uma varredura inicial de contas ativas sem vínculo atual já revela bastante. O ponto de partida prático é cruzar a lista de usuários nos principais sistemas com a base de colaboradores ativos. Qualquer conta sem correspondência merece revisão imediata.
A prioridade deve ser: acessos administrativos, sistemas com dados sensíveis e ferramentas com acesso a informações de clientes. Esses três grupos concentram o maior risco em caso de uso indevido.
Para empresas que nunca fizeram esse mapeamento, envolver um parceiro especializado acelera o processo sem exigir que o time interno interrompa a operação. A Aviti atua nesse tipo de avaliação em ambientes Microsoft 365, ajudando a identificar lacunas no controle de identidade e a estruturar políticas de ciclo de vida que acompanhem as mudanças do time.
Se você não sabe exatamente quais acessos estão ativos no seu ambiente hoje, esse já é o diagnóstico. Fale com um especialista da Aviti e descubra por onde começar a corrigir isso.
Pode ficar ativa por dias, semanas ou até indefinidamente, dependendo de como a empresa organiza o aviso do desligamento para a TI. Um caso comum é o desligamento na sexta e a revogação só na segunda, criando um intervalo de 72 horas com credenciais válidas.
Priorize o que concentra mais risco: acessos administrativos, sistemas com dados sensíveis e ferramentas que dão acesso a informações de clientes. Na prática, isso inclui e-mail corporativo, identidade do Microsoft 365 (que impacta SharePoint, OneDrive e Teams), VPN, ERP/CRM e contas em ferramentas SaaS pagas por usuário.
Quando a empresa centraliza a identidade no Microsoft Entra ID, desativar essa identidade tende a interromper os acessos vinculados a ela em cascata, como SharePoint, OneDrive, Teams e aplicativos integrados. Mesmo assim, é importante validar sistemas fora desse controle e revisar credenciais administrativas que possam ter sido compartilhadas.
Comece com uma varredura cruzando a lista de usuários dos principais sistemas com a base de colaboradores ativos. Qualquer conta sem correspondência deve ser revisada imediatamente, com foco inicial em perfis administrativos e sistemas que guardam dados sensíveis ou de clientes.
Reduza ataques internos com segmentação invisível CiscoDescobrir que uma ameaça interna, quase imperceptível, explorou brechas entre setores da sua rede tudo sem disparar alertas tradicionais, consegue imaginar essa situação? Isso ainda é ...Ler notícia
Como a automação Cisco transforma o time de TIPensa numa segunda-feira típica: chamados acumulados, alertas de performance, demandas de usuários e, no meio disso tudo, a necessidade de manter a rede corporativa estável e segura. ...Ler notícia
Hiperconvergência: o que é e quais são os benefíciosÀ medida que as empresas geram, armazenam e processam mais dados em suas operações diárias, a demanda sobre suas infraestruturas de TI aumenta significativamente. Junto com esse ...Ler notícia 
