A lacuna de credenciais é onde toda grande violação começa.

81% das violações começam com uma credencial roubada ou comprometida. A MyCena fecha essa lacuna de forma estrutural — não por meio de políticas ou treinamentos, mas removendo completamente as credenciais do conhecimento humano.
0
Das violações envolvem credenciais roubadas ou comprometidas — o maior vetor de ataque individual.
0
Custo total médio de uma violação baseada em credenciais — IBM Cost of a Data Breach 2024.
0
Média de dias de permanência de um invasor antes que uma violação de credenciais seja detectada — IBM 2024.
0
Valor de uma credencial para um invasor quando o usuário nunca a possui — posicionamento estrutural da MyCena.
O risco em termos simples

Toda ferramenta que você tem deixa a mesma brecha aberta.

Colonial Pipeline. SolarWinds. Marks & Spencer. Change Healthcare. Todos começaram da mesma forma: um invasor obteve uma credencial que um humano conhecia. A resposta do setor — senhas mais longas, MFA, treinamento de conscientização — deixa a vulnerabilidade fundamental intacta. O usuário continua de posse da credencial. Tudo o que está em mãos humanas pode ser extraído.

A MyCena resolve isso na origem. A organização gera cada credencial centralmente e a injeta de forma invisível no login. Os usuários acessam todos os sistemas normalmente — eles simplesmente nunca veem, nunca conhecem e nunca ficam de posse da credencial. Não há nada para ser phishado, compartilhado ou roubado.

Colonial Pipeline — 2021
US$ 4,4 milhões
Uma única senha de VPN na dark web. 45% do fornecimento de combustível da Costa Leste dos EUA paralisado por 6 dias. Emergência nacional declarada.
Ponto de entrada: credencial de VPN comprometida
Change Healthcare — 2024
US$ 2,5 bilhões
Credencial Citrix roubada, sem MFA. Nove dias dentro do sistema. 190 milhões de registros de pacientes expostos. 94% das clínicas médicas dos EUA impactadas.
Ponto de entrada: credencial de acesso remoto roubada
Marks & Spencer — 2025
£300 milhões+
Acesso via credencial levou a um ransomware em sistemas de varejo e cadeia de suprimentos. Operações online suspensas. Ações caíram 15%.
Ponto de entrada: credencial de funcionário comprometida
A percepção fundadora
“No mundo físico, nenhum empregador pede a um funcionário para fabricar sua própria chave do escritório. Então por que pedimos exatamente isso a eles no mundo digital — todos os dias, para cada sistema?”
— Julia O’Toole, Co-CEO, MyCena Security
Governança do conselho

As três perguntas que o seu conselho deveria conseguir responder.

Essas são as perguntas que reguladores, auditores e seguradoras estão fazendo diretamente agora. Não são perguntas técnicas. São perguntas de governança.

Pergunta 1 de 3
“Se um funcionário for demitido hoje — o que acontece com o acesso dele e com que rapidez?”
Um único comando. Todos os sistemas. Revogado em segundos. Simultâneo em todos os sistemas conectados, registrado com data e hora, confirmado. Sem checklist manual, sem janelas de acesso residual de dias. O log de auditoria registra o tempo entre a demissão e o acesso zero para cada saída — exportável sob demanda para qualquer revisão regulatória.
Falhas de desligamento não são falhas de TI — são falhas de governança. Quando um ex-funcionário mantém acesso por semanas após a saída, a responsabilidade recai sobre o conselho. O Artigo 20 da NIS2 cria responsabilidade pessoal para gestores nomeados em operadores de serviços essenciais. A pergunta que os reguladores fazem não é se a equipe de TI tinha um processo. A pergunta é se o conselho tinha controle estrutural.
Pergunta 2 de 3
“Conseguimos demonstrar a reguladores e auditores exatamente quem acessou o quê e quando?”
Sim — em menos de 30 segundos. A MyCena gera uma trilha de auditoria completa e à prova de adulteração de cada evento de acesso: identidade do usuário, sistema, data e hora, dispositivo, IP de origem. Toda concessão de acesso é autorizada por administrador e registrada. Toda revogação tem data, hora e confirmação. Exportável para qualquer período de auditoria com 100% de cobertura.
GDPR, HIPAA, SOC 2, NIS2 e DORA exigem evidência demonstrável de responsabilização individual do usuário — não documentos de política. O ICO e o OCR deixaram claro que a pergunta em uma investigação pós-violação não é se uma política existia, mas se essa política produziu evidências. A MyCena gera essas evidências automaticamente para cada evento de acesso desde o primeiro dia de implantação.
Pergunta 3 de 3
“Como impedimos que funcionários ou fornecedores compartilhem ou vendam acesso aos nossos sistemas?”
Estruturalmente — não por meio de política. Os usuários não podem compartilhar ou vender o que nunca viram. As credenciais são geradas pela organização, distribuídas de forma criptografada e injetadas de forma invisível no login. Elas nunca aparecem em nenhuma forma que um usuário possa copiar, compartilhar ou entregar sob pressão de phishing.
A governança de credenciais baseada em política pressupõe comportamento em conformidade. Treinamentos, políticas de uso aceitável e requisitos de MFA operam todos na suposição de que o usuário está agindo de boa-fé. A ameaça interna, a credencial phishada e a compra na dark web contornam completamente a política. O controle estrutural — remover a credencial do conhecimento humano — fecha a brecha que a política não consegue fechar.

“Invasores não invadem. Eles fazem login. A credencial é o ponto de entrada — e ela ainda está nas mãos dos seus funcionários.”

O que muda

O que muda no nível da governança.

Antes da MyCena
A governança de acesso depende do comportamento do funcionário e da adesão à política
O desligamento é um checklist manual — janelas de acesso de dias ou semanas são comuns
O compartilhamento de credenciais é uma violação de política, não uma impossibilidade arquitetural
As evidências de auditoria são compiladas manualmente e frequentemente incompletas
Os reguladores recebem documentos de política, não prova estrutural
Uma credencial comprometida pode se propagar por todos os sistemas que o usuário acessou
O acesso do fornecedor persiste após o fim do contrato, a menos que alguém se lembre de revogá-lo
Depois da MyCena
A governança de acesso é arquitetural — a organização controla cada credencial
O desligamento é um único comando, simultâneo em todos os sistemas, registrado automaticamente
O compartilhamento de credenciais é estruturalmente impossível — os usuários nunca ficam de posse das credenciais
As evidências de auditoria são geradas automaticamente para cada evento de acesso, com 100% de cobertura
Reguladores e auditores recebem evidências, não políticas — exportáveis sob demanda
O comprometimento da credencial fica contido a uma única conta — sem propagação
As credenciais do fornecedor são controladas pela organização e revogadas instantaneamente ao final do contrato
Como funciona

Quatro etapas. Controle completo. Nenhuma mudança de infraestrutura.

A MyCena é implantada como uma camada de software. Sem alterações nos sistemas existentes, sem disrupção das operações. Operacional em duas semanas.

Etapa 01
Geração central — nenhum funcionário cria seu próprio acesso
Cada credencial — para funcionários, contratados e fornecedores — é gerada centralmente pela organização. Nenhum indivíduo cria uma senha para qualquer sistema. A titularidade da credencial é organizacional desde o momento da criação.
Etapa 02
Injeção invisível — basta clicar para conectar, nada para ser phishado
Os usuários clicam para se conectar a qualquer sistema. A MyCena injeta a credencial no momento da autenticação. Nada é exibido, digitado ou retido. A credencial não existe em nenhuma forma que um usuário possa ver, copiar ou compartilhar.
Etapa 03
Trilha de auditoria automática — evidências de conformidade geradas continuamente
Cada evento de acesso é registrado — qual usuário, qual sistema, data e hora até o segundo. As evidências de auditoria existem continuamente. Sem compilação manual. Sem preparação antes de uma inspeção. Evidência sob demanda, não sob solicitação.
Etapa 04
Revogação instantânea — funcionário ou fornecedor, todos os sistemas
Um funcionário é demitido: um comando, todo o acesso revogado em todos os sistemas em segundos. Um contrato de fornecedor termina: o mesmo comando, a mesma velocidade, revogação completa com log com data e hora. Uma possível violação detectada: revogação imediata antes que o movimento lateral se complete.
Panorama regulatório

Estruturas abordadas diretamente pela MyCena.

A MyCena gera automaticamente as evidências exigidas por essas estruturas — como subproduto da operação normal, não como um processo de conformidade separado.

SOC 2 Type II (AICPA TSC)
  • CC6.1 — Controles de acesso lógico
  • CC6.2 — Registro e autorização de usuários
  • CC6.3 — Acesso baseado em função e remoção
  • CC6.6 — Proteção contra ameaças externas
  • CC7.2 — Monitoramento de eventos de segurança
  • CC9.2 — Gestão de acesso de fornecedores
HIPAA · GDPR · NIS2 · DORA
  • Identificação única de usuário por sistema
  • Controles de auditoria — trilha de acesso de 100%
  • Segurança e autorização da força de trabalho
  • Autenticação de pessoa ou entidade
  • Integridade de dados via controle de acesso
  • Governança de acesso de terceiros
NIST CSF 2.0
  • PR.AA-01 — Gestão de identidade e credenciais
  • PR.AA-02 — Comprovação e vinculação de identidade
  • PR.AA-05 — Acesso de privilégio mínimo
  • DE.AE-02 — Detecção de anomalias
  • RS.MA-01 — Contenção de incidentes
  • GV.OC-01 — Governança e funções
Solicite uma reunião com o conselho
A brecha de credenciais é uma decisão de governança. A MyCena a transforma em um problema resolvido.
Agende uma reunião →
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.