Trabalhar de graça?

A consultoria que prestamos para a Brasil Telecom envolveu vários projetos, distribuídos em diferentes contratos, mas era o principal foco da empresa em Brasília. Depois do projeto de análise de riscos, fomos chamados para ajudar em outro trabalho. A Brasil Telecom havia decidido aumentar a segurança dos e-mails usando o PGP Universal Server, a versão paga do PGP, que inclui uma série de funcionalidades úteis no contexto de uma grande organização.

Fizemos então a tradicional reunião de kickoff do projeto, na qual os representantes do cliente nos passaram as informações sobre o escopo. Eles nos entregaram uma lista das licenças que haviam sido adquiridas e definiram os entregáveis esperados. Em uma empresa grande como a Brasil Telecom, os sistemas de produção tinham acesso bastante restrito. O time de segurança não podia instalar nada diretamente nesse ambiente; era necessário produzir um manual de instalação, que seria entregue ao time de produção para execução. No caso do projeto do PGP, o principal objetivo era justamente a elaboração desse manual.

Fui escalado como consultor responsável pelo projeto. Peguei a lista dos softwares que haviam sido comprados, criei uma série de máquinas virtuais e comecei a instalar os produtos, gerando capturas de tela que seriam incluídas no manual. Durante esse trabalho, li com bastante atenção a documentação do software e comecei a desconfiar de que as licenças adquiridas não eram adequadas ao escopo de uso definido pela Brasil Telecom. Conversei com meu chefe e, como a nossa empresa também era representante da PGP, conseguimos entrar em contato com o fabricante para validar a lista de licenças que nos havia sido fornecida. Enquanto isso, finalizei o manual com base nas informações que tínhamos em mãos.

Com o manual praticamente pronto, faltando apenas algumas revisões finais, recebemos a confirmação da lista real de licenças adquiridas pela Telecom, e ela era totalmente diferente da lista inicial. Procurei então o responsável pelo projeto do lado do cliente. Mostrei a nova lista, apresentei o rascunho do manual e expliquei que havíamos validado que as licenças efetivamente compradas não correspondiam às informações que ele nos havia passado no início. Isso comprometia a validade do manual produzido, já que as telas e funcionalidades do produto licenciado eram diferentes daquelas documentadas. Seria necessário refazer parte significativa do material.

A reação dele foi imediata e tensa. Disse que teríamos de refazer tudo e que precisávamos entregar um manual plenamente adequado às necessidades da Brasil Telecom. A conversa escalou rapidamente e, diante da insistência de que nós deveríamos resolver um problema criado por informações incorretas fornecidas pelo próprio cliente, acabei reagindo com uma frase do tipo: “mas você quer que eu trabalhe de graça?”.

Obviamente, a resposta não foi bem recebida. Somada ao fato de ele não querer admitir o erro inicial, a situação acabou se transformando em um atrito entre nós. No dia seguinte, meu chefe me ligou informando que teríamos uma reunião de emergência na Brasil Telecom para tentar resolver a “confusão que eu tinha criado”.

A reunião começou em um clima bastante tenso. O gerente da área colocou sobre a mesa o que seriam, segundo ele, propostas de empresas dispostas a trabalhar de graça para a Brasil Telecom. Achei tudo aquilo bastante estranho, mas meu chefe conduziu a conversa em outra direção. Ele explicou objetivamente a situação: o time do cliente nos forneceu uma lista de licenças, fizemos o trabalho com base nela e, indo além do escopo contratado, identificamos que a lista estava incorreta. Para corrigir o manual já produzido, seriam necessários alguns dias adicionais de trabalho. Quando o gerente percebeu que a situação era, na verdade, uma tentativa do técnico de esconder o próprio erro, o tom da reunião mudou. Chegamos então a um acordo para a extensão do projeto, com a contratação de alguns dias extras de consultoria para produzir o manual adequado às necessidades reais da empresa. Mais tarde, alguns colegas da Brasil Telecom comentaram comigo que não era a primeira vez que aquele técnico tentava ocultar um erro, e que o gerente havia ficado bastante irritado com ele.

Outro projeto interessante que desenvolvemos para a Brasil Telecom foi a elaboração de cartilhas de segurança da informação. Eram pequenos manuais com orientações práticas para a execução de atividades de forma mais segura. Algumas tratavam de hardening de sistemas, como Windows ou Linux; outras eram voltadas a desenvolvedores, com recomendações para a criação de sistemas mais seguros. Uma das cartilhas que escrevi abordava segurança no desenvolvimento de sistemas em Java, um tema com o qual eu já tinha familiaridade e sobre o qual havia publicado um artigo com a Gisele durante o doutorado. Algum tempo depois, revisitei esse material e publiquei uma versão em java.sapao.net. Hoje o conteúdo certamente está desatualizado em alguns pontos, mas muitos dos princípios ainda devem permanecer válidos.

Apesar das dificuldades e das tensões típicas da relação entre consultorias e clientes, foi um período marcado por projetos interessantes e muito aprendizado. Os consultores com quem trabalhei eram bastante inteligentes, embora muito jovens — a empresa evitava contratar profissionais mais experientes, sob o argumento de que não queria “gente de cabelos brancos”.

Conselhos que ninguém pediu mas que vou escrever mesmo assim:

  • Tentar esconder erros é um erro. ;) Errar é humano e todos vamos cometer erros. Minha experiência me mostrou que admitir os erros e demonstrar vontade para consertar o que deu errado funciona muito melhor. Vou falar mais disso em outros capítulos.
Next: 1999 a 2012 › Capítulo 39.
Volta às Aulas
Previous: 1999 a 2012 › Capítulo 37.
Autenticação geométrica