O checklist completo de Offboarding de TI (com template)

Quando alguém sai da empresa, o TI tem 24 horas para revogar acessos, 14 dias para recuperar ativos e 30 dias para fechar o loop em cada ponta solta. Pule uma etapa e você criou uma brecha de segurança, uma constatação de conformidade ou uma surpresa de renovação. Aqui está o checklist que fecha tudo isso.

O Offboarding de TI é um daqueles processos que todo mundo tem, de alguma forma, mas poucos têm documentado. O resultado é execução desigual: usuários frequentes são processados corretamente, o contratado em outro fuso horário é esquecido, o gestor que tinha mais contexto não avisou o TI até o terceiro dia.

O checklist abaixo é a versão testada e sequenciada. Copie como está ou adapte para o seu stack — mas escreva em algum lugar que você mesmo do futuro consiga encontrar.

• RH notifica TI sobre a data de saída e o último dia útil.
• TI extrai o resumo de ativos e acessos do usuário no inventário.
• Gestor identifica conhecimentos/dados críticos que o usuário possui; plano de transição escrito.
• Gestor identifica substituição para relacionamentos com fornecedores e contratos de propriedade.
• Decisão: encaminhar e-mail para quem, texto de resposta automática, transferência de calendário, encaminhamentos de DM no Slack.
• Logística de devolução de ativos confirmada (presencial vs. kit de courier para funcionários remotos).

• Desabilitar conta no provedor de identidade (Google, Microsoft, Okta) ao final do expediente. Isso deve se propagar automaticamente para todos os SaaS conectados.
• Revogar tokens MFA, chaves de hardware (YubiKey) e sessões do aplicativo autenticador.
• Forçar logout de sessões SaaS ativas (Slack, Notion, Salesforce, etc.).
• Redefinir senhas de contas compartilhadas às quais o usuário tinha acesso.
• Revogar acesso a VPN, RDP, jump-box e chaves SSH.
• Remover das listas de acesso de produção (AWS IAM, GCP IAM, RBAC do Kubernetes, contas de banco de dados).
• Revogar acesso de admin ao Stripe, processadores de pagamento, contas de hospedagem, registradores de domínio.
• Configurar resposta automática de e-mail com contato de transferência; configurar encaminhamento para o gestor.
• Calendário transferido / propriedade de reuniões reatribuída.
• Devolução de ativos agendada com coleta confirmada ou etiqueta de envio enviada.

• Devolução de hardware rastreada: notebook, monitores, periféricos, celular, chaves de segurança, crachás. Cada item marcado no registro de ativos.
• Hardware devolvido com apagamento de dados para padrão de limpeza certificada. Certificado de limpeza armazenado no registro do ativo.
• Dispositivos marcados como "em pool / disponível para reatribuição" ou "na fila para aposentadoria" com base no status de garantia.
• Assentos SaaS pagos recuperados em todas as licenças que o usuário possuía. Isso deve acontecer automaticamente via propagação do IdP — verifique se ocorreu.
• Produtos com licença por nível (Microsoft E5, Salesforce Enterprise, Adobe Creative Cloud) explicitamente rebaixados ou reatribuídos.
• SaaS faturado separadamente (os não vinculados ao IdP) cancelado ou reatribuído manualmente.
• Contratos de propriedade reatribuídos a um novo responsável interno. Não deixe nenhum contrato voltar para "ti@empresa.com".
• Encaminhamento de e-mail mantido ativo por 30 dias para correspondências perdidas.
• Dados pessoais exportados conforme legislação trabalhista local (frequentemente 30 dias para fornecer mediante solicitação).

• Verifique cada sistema que poderia ter tido o usuário. Execute uma varredura de "encontrar por e-mail" em todo o portfólio SaaS. Qualquer coisa perdida é corrigida aqui.
• Verifique se o e-mail do usuário não aparece mais em nenhuma matriz de acesso ativa ou lista de permissões de pasta compartilhada.
• Confirme que o hardware está totalmente aposentado ou reatribuído; nada em "devolução pendente" após 30 dias.
• Relatório final de revogação de acesso gerado e armazenado no registro de Offboarding do usuário.
• Encaminhamento de e-mail desativado; caixa de entrada arquivada conforme política de retenção.
• Exclusão de dados pessoais executada se o usuário solicitou sob LGPD / GDPR / CCPA, com prova retida.
• Ticket de Offboarding fechado com a trilha de auditoria anexada.

As 5 métricas de Offboarding que vale rastrear

• Taxa de revogação de acesso no mesmo dia. Meta: 100% do acesso conectado ao IdP revogado no final do dia.
• Taxa de devolução de hardware em 14 dias. Meta: 90%+ para presencial, 80%+ para remoto.
• Tempo médio para recuperação de licença. Meta: mesmo dia para SaaS conectado ao IdP, 7 dias para standalone.
• Contagem de ativos fantasma. Dispositivos atribuídos a usuários desativados. Meta: 0.
• Constatações de auditoria em Offboarding. Meta: 0 por ciclo de auditoria.

Casos especiais

Contratados e agências

Frequentemente têm engajamentos mais curtos, mas os mesmos acessos. Marque contratos com datas de término no sistema; acione automaticamente o fluxo de Offboarding no fim do engajamento, não apenas no desligamento.

Desligamentos involuntários

A revogação de acesso ocorre antes da reunião que comunica a notícia. Recuperação de hardware planejada com antecedência. Resposta automática de e-mail configurada, mas o conteúdo revisado pelo RH e jurídico.

Fusões / aquisições / desinvestimentos

Offboarding em massa requer o mesmo playbook em escala. Execute lotes piloto primeiro; os casos excepcionais em escala são os mesmos da unidade, mas acontecem 100× em paralelo.

Falecimento de um funcionário

Trate com sensibilidade. A maioria das etapas ainda se aplica, mas em um prazo mais lento. Coordene de perto com o RH e a família para o tratamento de dados pessoais.

Ferramentas que fazem isso funcionar

O checklist funciona com pessoas sem ferramentas, mas a taxa de falha aumenta em cada etapa. A configuração certa:

• Um IdP (Google / Microsoft / Okta) que se propaga para todos os SaaS conectados.
• Uma plataforma de gestão de ativos de TI que rastreia SLAs de devolução de hardware.
• Um fluxo de ticket de Offboarding que bloqueia o fechamento até que cada etapa seja verificada.
• Uma reconciliação mensal que sinaliza fantasmas.

A InventorIA cobre as etapas 2 e 4 nativamente — no momento em que o IdP marca um usuário como inativo, os fluxos de recuperação de hardware, recuperação de licenças e reatribuição de contratos são acionados automaticamente. A trilha de auditoria se escreve sozinha.