Autenticação geométrica

Em meados de 2004, minha participação e os contatos que fiz por meio da lista CISSPBR renderam uma conversa com o pessoal de uma empresa do Rio de Janeiro que queria estabelecer um escritório em Brasília. A empresa atuava na área de segurança da informação, com foco principal na prestação de serviços, especialmente consultoria.

Tive um primeiro contato por telefone com um dos sócios e, em seguida, fui convidado para um jantar em um restaurante de Brasília, que funcionou como uma espécie de entrevista informal. Algum tempo depois, eles entraram em contato novamente e fizeram uma proposta. O contrato ainda seria no modelo PJ, sem carteira assinada, com uma remuneração mais ou menos equivalente à que eu recebia no BRB. Pedi que incluíssem alguns dias de férias, o que representaria uma vantagem em relação ao meu contrato anterior, e eles concordaram informalmente, embora isso não constasse explicitamente no contrato.

A proposta me pareceu interessante. Eu sairia de um ambiente bastante parado no BRB para uma empresa especializada exatamente na área em que eu queria construir carreira. Não haveria uma diferença significativa de salário, mas eu passaria a ter férias remuneradas. Depois de refletir um pouco, aceitei a proposta e combinamos uma data para início. Seria minha primeira experiência como consultor. Até então, eu havia lidado com consultores sempre do lado do cliente; agora teria uma vivência direta do outro lado dessa relação.

A primeira surpresa em relação aconteceu dois dias antes do início oficial. Fui convidado para um almoço com o restante do time que já estava em Brasília, com a ideia de nos conhecermos melhor antes do trabalho começar. Foi nesse momento que informaram que a empresa exigia uma jornada de nove horas diárias, em vez das tradicionais oito. Naquele ponto, já não havia muito espaço para voltar atrás. Resolvi seguir em frente e começar da melhor forma possível. Apenas combinei que precisaria de uma pausa adequada no horário de almoço, não só para comer, mas também para levar meus filhos à escola.

Quando entrei na empresa, eles tinham um contrato bastante grande com a Brasil Telecom, a operadora de telefonia que atendia Brasília e a região Centro-Oeste e que, mais tarde, seria incorporada pela Oi. O projeto envolvia uma análise de risco com um escopo bastante amplo. Já havia dois consultores e um dos sócios, vindos do Rio de Janeiro, trabalhando nesse contrato. Eu passei a ser a quarta pessoa dedicada à análise de risco. Como a empresa não tinha escritório físico em Brasília, todo o trabalho era realizado presencialmente na sede da Brasil Telecom. Chegávamos a brincar que o acesso ao campus da empresa funcionava por “autenticação geométrica”: se o carro tivesse um círculo verde no pára-brisa (adesivo) e a pessoa tiver um retângulo azul no peito (crachá), podia entrar.

O trabalho de análise de risco cobria diversos processos de TI da empresa. Uma das partes mais interessantes em que atuei foi a análise de risco das operações de call center da Brasil Telecom. A empresa mantinha vários centros espalhados pelo país, responsáveis tanto pelo serviço de auxílio à lista telefônica, o conhecido 102, quanto pelo atendimento a clientes corporativos, como bancos e grandes empresas. Nosso processo de trabalho incluía entrevistas com os responsáveis pela área, baseados em Brasília, e visitas presenciais a dois desses centros: um em Campo Grande e outro em Curitiba.

Fui escalado para visitar ambos os locais e produzir os relatórios de riscos identificados. Aprendi bastante sobre o funcionamento dos call centers e sobre os sistemas de informação utilizados nesses ambientes. Um dos episódios mais curiosos ocorreu durante a visita a Campo Grande. Logo na entrada do prédio, vi uma maquete de Brasília. Perguntei o motivo, e me explicaram que aquele centro atendia o serviço de auxílio à lista para o Distrito Federal. Os atendentes precisavam ter alguma noção da organização da cidade para conseguir responder melhor às ligações. Um exemplo era entender que “SQN 106” corresponde à “Superquadra Norte 106” ou “106 Norte”. Para isso, era necessário oferecer aos atendentes um treinamento básico sobre Brasília e o Plano Piloto. Ou seja, pessoas em Campo Grande precisavam aprender como funcionavam os endereços de Brasília para prestar o serviço corretamente.

Além da análise de riscos dos call centers, o escopo do projeto incluía o ambiente de business intelligence da Brasil Telecom. Após as conversas iniciais com os responsáveis, ficou claro que havia pouco ou nenhum controle sobre a origem dos dados e sobre quem podia acessá-los. A impressão era de que informações provenientes de diversos sistemas da empresa eram misturadas e utilizadas para gerar relatórios para as mais variadas áreas de negócio, sem mecanismos adequados de controle de acesso ou rastreabilidade. Não existia uma forma simples de identificar a origem exata dos dados utilizados em cada relatório. Do ponto de vista de segurança da informação, aquilo era um pesadelo: uma ausência quase total de controle.

Chegamos a discutir a criação de um framework que permitisse rastrear a origem dos dados e controlar melhor os acessos, mas rapidamente ficou claro que se tratava de algo extremamente complexo e custoso de implementar. Hoje, olhando em retrospecto, acredito que o custo seria alto demais para praticamente qualquer empresa, exceto em ambientes que exigem níveis extremamente elevados de segurança.

O projeto na Brasil Telecom foi um grande aprendizado e gerou muitas discussões interessantes e intermináveis com os colegas, especialmente sobre conceitos como risco, vulnerabilidade e ameaça. Não sei ao certo até que ponto o resultado final do trabalho teve impacto prático, já que o contexto político interno da área envolvida na Brasil Telecom era bastante complicado. Depois desse projeto, vieram outros, mas essa já é uma estória para o próximo capítulo.

Conselhos que ninguém pediu mas que vou escrever mesmo assim:

• A negociação dos termos de um contrato de trabalho é um processo delicado que exige atenção. É importante perceber se a empresa está “colocando as cartas na mesa” ou se existem termos e expectativas que não foram faladas nas conversas iniciais. Fazer perguntas e entender os termos do contrato é essencial. Eu sei que às vezes dá um pouco de receio de ser mal visto por querer entender todos os detalhes mas, se isso acontecer, é muito mais um sinal negativo com relação à empresa do que um erro do candidato ao emprego.