BMS - Mais projetos

Durante o meu período na BMS, participei de mais alguns projetos que valem ser mencionados porque foram importantes para a minha formação profissional.

Um deles foi o projeto de substituição do antivírus em todo o grupo Belgo-Mineira. Não me lembro exatamente qual solução era utilizada antes, mas havia um consenso claro de que era necessário migrar para algo mais moderno. Conversamos com representantes de vários fabricantes e acabamos optando pela Symantec, o antigo Norton. Entre os grandes fornecedores, foi a solução que pareceu mais adequada ao ambiente da empresa, sobretudo pelas ferramentas de gestão, muito superiores às que utilizávamos até então.

Participei das apresentações e da discussão técnica, e a decisão acabou sendo relativamente consensual. Saí desse processo com a impressão de que o time de operação, que já cuidava do antivírus, conduziria naturalmente o projeto. Para minha surpresa, pouco depois o diretor me chamou em sua sala e informou que queria que eu liderasse a implantação. Quando questionei se não faria mais sentido deixar o projeto com a equipe de operações, ele respondeu que não via motivo para isso se havia alguém “altamente qualificado”, com doutorado, disponível para assumir a responsabilidade. Foi a primeira vez que percebi com clareza como, em ambientes corporativos, títulos e credenciais às vezes se sobrepõem à discussão sobre papéis e funções. Nesse caso, acabou jogando a meu favor. E também não se tratava de um convite opcional…

Dimensionamos o projeto, que era grande mas não particularmente complexo, e entrei em contato com um dos principais revendedores de software de Belo Horizonte, que também atuava como representante da Symantec. Apresentei nossas necessidades e recebemos uma cotação baseada no número de licenças. O suporte para a instalação viria diretamente da Symantec, e já estávamos em contato com o time técnico deles.

Pouco depois, veio outra surpresa: a diretoria decidiu que a compra seria feita por intermédio da IBM. Como mencionei em outro capítulo, existia uma parceria muito forte entre a BMS e a IBM, e os vendedores usaram essa relação para se posicionarem como a melhor opção comercial. Na prática, a decisão já estava tomada e eu não teria qualquer influência sobre ela. O problema é que essa mudança chegou até a revenda que havia preparado a cotação inicial, e a reação foi, compreensivelmente, negativa. A vendedora me ligou diversas vezes para reclamar da troca no meio do processo. Tudo o que eu podia fazer era explicar que se tratava de uma decisão da diretoria, fora do meu alcance. Pediram o contato do diretor, que eu obviamente não podia fornecer. Acabei absorvendo boa parte do desgaste de uma situação sobre a qual eu não tinha controle.

Foi uma lição bastante concreta sobre o peso dos relacionamentos comerciais e sobre como decisões são efetivamente tomadas dentro das empresas. Ao mesmo tempo em que elogiaram minha capacitação ao me colocar como líder do projeto, minha opinião deixou de ser relevante quando entrou em jogo uma relação estratégica maior.

Mais ou menos na mesma época, começou a se falar com mais força sobre o conceito de Single Sign-On. A ideia é simples: em vez de exigir que o usuário digite uma senha diferente para cada sistema, cria-se um mecanismo central que autentica o usuário uma única vez e propaga essa informação para os demais sistemas. Do ponto de vista do usuário, bastaria se autenticar ao iniciar o expediente para ter acesso a todas as aplicações corporativas.

O que já funcionava razoavelmente bem era a autenticação integrada ao Windows, via Active Directory. Qualquer sistema que se integrasse a esse ecossistema podia se beneficiar desse mecanismo “por baixo dos panos”. O grande problema era o principal sistema da Belgo: o SAP, que não oferecia a opção de autenticação integrada.

Começaram então a surgir soluções alternativas. Uma delas, apresentada pela CA, consistia em uma aplicação Windows capaz de identificar telas de login e preencher automaticamente os campos de usuário e senha. Na época, classificamos aquilo como uma gambiarra: algo que talvez funcionasse, mas era arquiteturalmente errado. Ainda acho que era uma solução frágil, mas hoje vejo aquele produto como uma forma bastante primitiva de RPA. As ferramentas modernas de automação fazem essencialmente isso: leem o conteúdo da tela e simulam interações humanas com mouse e teclado. Tornaram-se extremamente populares justamente porque resolvem problemas reais, independentemente da elegância da arquitetura. Foi uma realidade que só consegui enxergar com mais clareza muitos anos depois.

O terceiro projeto — talvez o mais importante da área de segurança da informação no meu período na BMS — foi a criação de uma política de segurança da informação para todo o grupo Belgo-Mineira. Consegui convencer não apenas meu gerente, mas também a diretoria da BMS e o CIO do grupo de que uma política formal era necessária para orientar decisões e práticas nessa área. Ficou definida a contratação de uma consultoria externa, e a escolhida foi a KPMG.

Os consultores foram contratados para realizar um diagnóstico da situação de segurança do grupo e, a partir disso, definir um nível adequado de maturidade. Com base nesse levantamento, seria elaborada uma política de segurança adaptada à realidade da empresa. A KPMG solicitou que houvesse um técnico dedicado do lado da Belgo, e a BMS me indicou para assumir esse papel. Passei a colaborar diretamente com os consultores durante todo o processo.

Isso me deu acesso muito mais direto à diretoria da BMS e às diversas áreas da empresa, além de uma interação frequente com a auditoria interna, que ficou responsável por facilitar o acesso às unidades e usinas do grupo. A diretoria decidiu alocar uma sala específica no prédio da BMS para o projeto, onde eu deveria trabalhar durante os três meses do projeto. Os consultores estariam lá quase diariamente comigo. Houve até a determinação de que fosse servido um lanche todos os dias às quatro da tarde para os participantes do projeto. Como o consultor principal nem sempre estava presente, virou hábito chamar meus colegas de time para virem aproveitar o lanche. Certamente ninguém passou fome nesse período.

Após visitas a diversas unidades do grupo, os consultores apresentaram um relatório de [gap analysis(https://en.wikipedia.org/wiki/Gap_analysis), mostrando onde a empresa estava bem posicionada e onde precisava evoluir. Foi a primeira vez que tive contato com gráficos de teia de aranha e com comparações sistemáticas com [benchmarks(https://pt.wikipedia.org/wiki/Benchmarking) do setor. Acompanhando de perto esse trabalho, aprendi bastante sobre análise de risco e sobre a dimensão mais organizacional, e menos técnica, da segurança da informação.

A fase de escrita da política também foi instrutiva. Em vez de um texto criado do zero, os consultores partiram de uma política genérica bastante extensa, adaptaram-na com base no diagnóstico e depois conduziram sessões com executivos para ajustar o conteúdo à realidade da empresa. Foi meu primeiro contato próximo com esse tipo de consultoria estratégica. Ali aprendi, na prática, que Lavoisier estava certo: nada se cria, tudo se transforma.

Pouco depois da entrega da política de segurança para o grupo Belgo-Mineira, chegou a hora de tomar um rumo diferente — mas essa já é uma história para outro capítulo.