Identity & Access Gateway (IAG)

Simplificar e padronizar jornadas de autenticação/autorização para reduzir risco e acelerar delivery.

CybersecurityPlataforma internaEm evoluçãoCriticidade: Alta

PM: Rodolfo • Tech: Ana • Ops: Marcos

Atenção

Overview Usuários/Clientes Negócio Métricas Roadmap Execução Saúde Técnica Riscos Decisões

Propósito

Por que existe

Simplificar e padronizar jornadas de autenticação/autorização para reduzir risco e acelerar delivery.

Problema

Dor que resolve

Times implementam padrões diferentes de acesso, gerando inconsistência, retrabalho, falhas e auditorias custosas.

Não é

Anti-escopo

Não substitui o IAM corporativo; não é um WAF; não gerencia identidades humanas end-to-end.

Usuários

Quem usa no dia a dia

Engenheiros de software
SRE/Plataformas
SecOps

Clientes

Quem paga/decide/patrocina

Liderança de Segurança
Liderança de Engenharia

Jornadas

Caminhos principais

Onboarding de app
Proteção de API
Rotação de segredos
Evidências para auditoria

Objetivos de negócio

O que precisa mudar no negócio

Reduzir incidentes críticos relacionados a acesso
Aumentar velocidade de integração de controles de acesso
Reduzir custo de auditoria e retrabalho

Estratégia

Hipóteses e mecanismo de valor

Mecanismo de valor

Plataforma de integração self-service + padrões + observabilidade de segurança.

Hipóteses

Se padronizarmos a integração de controles por templates, então diminuímos variação e falhas
Se oferecermos métricas e guardrails por produto consumidor, então melhoramos accountability

Métricas

North Star, leading/lagging e guardrails (com definição, fonte, cadência, owner e metas).

North Star Metric

Métrica de valor principal

Integrações seguras ativas

Quantidade de aplicações/APIs usando o gateway com políticas ativas e monitoradas.

↗

Atual

Meta / limite

120 integrações

Fonte

Telemetria do gateway

Cadência • Owner

Semanal • PM

Leading indicators

Acionáveis (orientam a execução)

Tempo de onboarding

Tempo mediano do kickoff até o go-live de uma integração.

↘

Atual

13 dias

Meta / limite

≤ 10 dias

Fonte

Jira/Change

Cadência • Owner

Quinzenal • Ops

Cobertura de políticas padrão

% de integrações usando políticas padrão aprovadas (baseline).

↗

Atual

72%

Meta / limite

≥ 80%

Fonte

Config repo

Cadência • Owner

Semanal • Tech Lead

Lagging indicators

Resultados (confirma o impacto)

Incidentes críticos de acesso

Incidentes P1/P2 ligados a autenticação/autorização em apps integradas.

→

Atual

2/mês

Meta / limite

≤ 1/mês

Fonte

ITSM

Cadência • Owner

Mensal • SecOps

Guardrails

Qualidade / risco / experiência (semáforo)

Erro 5xx do gateway

Taxa de 5xx em requests no gateway.

↗

Atual

0.35%

Meta / limite

≤ 0.2%

Fonte

Observabilidade

Cadência • Owner

Diária • SRE

Faixas: Verde ≤0.2% · Amarelo 0.2–0.4% · Vermelho >0.4%

Roadmap

Now / Next / Later com outcome, outputs, métricas, dependências e riscos.

Now (0–4 semanas)

Outcome > Output, com dependências e riscos

Templates self-service v1

2026-03-31

Outcome: Reduzir tempo de onboarding e variação de implementação.

Outputs: CLI + docs, Template de policy baseline, Pipeline de validação

Status: DeliveryMétrica: Tempo de onboardingMétrica: Cobertura de políticas padrão

Dependências: Plataforma de CI

Riscos: Adoção baixa sem suporte aos times

Next (1–3 meses)

Outcome > Output, com dependências e riscos

Painel de guardrails por app

2026-05-15

Outcome: Dar visibilidade de risco e operação por consumidor.

Outputs: Dashboard, Alertas, Export de evidências

Status: DiscoveryMétrica: Erro 5xx do gatewayMétrica: Incidentes críticos de acesso

Dependências: Data platform

Riscos: Dados incompletos no início

Later (3–6 meses)

Outcome > Output, com dependências e riscos

Políticas adaptativas

2026-08-30

Outcome: Reduzir fraudes e abusos automatizados com menos fricção.

Outputs: Risk scoring, Rate limiting inteligente

Status: LaterMétrica: Incidentes críticos de acesso

Dependências: Threat intel

Riscos: Falsos positivos impactarem experiência

Features em execução

Tabela operacional para acompanhar andamento e bloqueios

Feature	Problema	Status	Progresso	Owner	Alvo	Bloqueios
Baseline policy pack	Variedade de controles	Build	60%	Ana	2026-03-10	Revisão de Compliance
SDK de integração	Onboarding lento	Discovery	25%	Marcos	2026-03-25	—

Indicadores técnicos (Engineering Health)

DORA, confiabilidade, qualidade, segurança e fluxo

DORA

Deployment frequency

2/semana

↗

Meta: ≥ 3/semana

Lead time for changes

5 dias

→

Meta: ≤ 3 dias

Change failure rate

12%

↘

Meta: ≤ 10%

MTTR

→

Meta: ≤ 1h

Confiabilidade

SLO

99.9%

SLI

99.82%

Error budget

45% restante (mês)

Incidentes (30d)

Qualidade

Bugs prod

Regressões

Escaped

Segurança & Fluxo

Vulns críticas

Vulns altas

MTTR patch

18 dias

WIP

Lead time

12 dias

Throughput

7/sem

Riscos, dívidas e trade-offs

O que pode travar ou degradar o produto

Dependência forte de pipeline de CI compartilhado
Dívida de observabilidade em integrações legadas
Trade-off: priorizar adoção vs robustez de automações

Stakeholders

Quem precisa estar alinhado

Risco
Compliance
Engenharia de Plataformas
Times consumidores

Decisões pendentes

O que precisa de direção (stakeholders/leadership)

Prioridade executiva para migrar 20 apps legadas até junho/2026
Definir padrão mínimo de evidência para auditoria (export)