BRB

Em 2003, assim que nos mudamos para Brasília e eu comecei a trabalhar no BRB, fui alocado no time responsável por manter e dar suporte à infraestrutura de firewall do banco, e o time cuidava dos firewalls, dos servidores e dos switches que compunham esse ambiente. Essa estrutura já estava em operação havia algum tempo e era bastante estável, exigindo pouco esforço no dia a dia. Quando surgiam problemas, porém, eles costumavam ser difíceis de debutar.

O primeiro ponto importante era a arquitetura da rede: tratava-se de uma back-to-back DMZ. Isso significava que a DMZ, ou zona desmilitarizada, ficava posicionada entre dois equipamentos de firewall distintos. No caso do BRB, os servidores da DMZ tinham duas conexões de rede: uma ligada ao firewall externo e outra ao firewall interno. Não havia conexão direta entre os dois firewalls. Para sair da rede interna e acessar a internet, era necessário primeiro se conectar a um servidor da DMZ e, a partir dele, iniciar uma nova conexão para o mundo exterior. Essa configuração era considerada uma das mais seguras na época, mas trazia consigo uma complexidade adicional. Os protocolos da internet, em geral, são projetados para conexões de ponto a ponto, em que um cliente estabelece comunicação direta com um servidor. O modelo adotado no BRB quebrava essa premissa e tornava as conexões mais suscetíveis a problemas.

Outra característica marcante da rede do BRB era que os computadores dos usuários internos não tinham qualquer tipo de acesso à web. Quem precisava acessar a internet tinha que se levantar da mesa e ir até uma área específica, onde havia computadores conectados a uma rede separada, com acesso externo liberado. A ideia era manter uma segregação total entre a rede interna e a internet. Mais uma vez, tratava-se de uma decisão orientada por critérios de alta segurança. No entanto, já naquela época as pessoas começavam a desenvolver uma forte dependência da internet, especialmente profissionais como desenvolvedores e equipes de TI. O acesso a manuais, documentação e bases de conhecimento era muito mais prático via web. Para desenvolvedores, por exemplo, sites como o Stack Overflow faziam parte do fluxo de trabalho, pois reuniam perguntas e respostas sobre problemas técnicos que frequentemente já haviam sido enfrentados por outras pessoas.

O trabalho no BRB, de modo geral, não era muito demandante. A rede era estável e os gestores tendiam a evitar mudanças e novidades, o que reduzia ainda mais a ocorrência de incidentes. Somando isso à ausência de acesso à internet, era comum passarmos longos períodos no escritório sem muito o que fazer. Fora os raros momentos de crise, grande parte do tempo era preenchida com conversas entre colegas, estudos ou leitura de livros (ou até mesmo uma soneca). Ainda assim, houve aprendizado. Tive contato mais próximo com equipamentos da Cisco e com firewalls da marca Aker, uma empresa de Brasília especializada nesse tipo de solução.

Foi também durante o período no BRB que comecei a me aproximar mais das comunidades de profissionais de segurança da informação. Não sei dizer se o mercado em Brasília era mais dinâmico ou se se tratava de uma diferença cultural em relação à BMS, mas o fato é que participei de diversos eventos locais e conheci mais gente da área. Uma descoberta importante dessa época foi a lista de discussões CISSPBR. Criada inicialmente por um grupo de profissionais de Brasília como um grupo de estudos para a certificação CISSP, a lista acabou expandindo seu escopo e se transformando em um ponto de encontro virtual de profissionais de segurança de todo o Brasil. Passei a participar ativamente das discussões por e-mail e, com o tempo, conheci pessoalmente vários dos participantes, inclusive os fundadores, que acabaram se tornando amigos.

Como o trabalho no BRB era relativamente parado e eu não enxergava muito espaço para crescimento ali, comecei a pensar em como mudar de emprego. Influenciado em parte pelas discussões da lista CISSPBR, mas também pela percepção de que certificações ajudam a passar pelo primeiro filtro dos currículos, decidi que precisava obter a certificação CISSP. A participação na lista ajudava, mas não era suficiente. Comprei o livro mais conhecido na época e comecei a estudar por conta própria. Aproveitava os períodos mais tranquilos do trabalho — que eram frequentes — e também estudava um pouco em casa. O livro era extenso, mas cheguei ao final pronto para fazer a prova.

Naquele período, a prova de certificação não era aplicada em Brasília. Agendei então o exame em São Paulo, comprei passagens, organizei hospedagem e segui estudando até a data marcada. Poucos dias antes da viagem, porém, ao acessar o site, descobri que a data da prova havia sido alterada sem que eu tivesse recebido qualquer aviso. Foi uma confusão conseguir remarcar a viagem e lidar com multas e mudanças de passagem aérea, mas consegui chegar a São Paulo na nova data, fazer a prova e, semanas depois, recebi a confirmação de que havia sido aprovado. Toda essa confusão me deixou com um certo ranço da organização responsável pela certificação. Eles promoviam eventos e atividades, mas levei muitos anos até superar essa má impressão e tentar me aproximar novamente. De vez em quando ainda tento, mas nunca chegou a “dar liga”, como aconteceu com outras comunidades da área.

Depois de obter a certificação, comecei a procurar um novo emprego. Em Brasília, o caminho mais comum é focar em concursos públicos. Eu já tinha passado pela experiência de ser funcionário público em Lavras e, naquele momento, não tinha grande interesse em voltar ao funcionalismo. Por isso, direcionei minha busca para empresas privadas. Fiz algumas entrevistas até ter contato com a empresa que acabou me contratando, mas essa já é uma história para o próximo capítulo.