Cristiano Abadia, coordenador de infraestrutura e produção do Superior Tribunal de Justiça (STJ), verificou os riscos de todos os equipamentos do datacenter em julho de 2008. Cristiano queria certificar o datacenter na ISO 27001, o grupo de normas sobre a administração da segurança da informação, e por isso criou relatórios de riscos e procedimentos diários. O auditor, diz Cristiano, analisaria os relatórios e observaria os 40 técnicos do datacenter, para ver se seguiam os procedimentos.
Como ainda faltava um mês até o auditor chegar, Cristiano precisava manter o datacenter igual: os técnicos não podiam acrescentar, retirar ou trocar nada. No entanto, os técnicos da TI do STJ precisavam entregar seus projetos e pressionavam os técnicos do datacenter para fazer mudanças, como trocar um switch de rede ou mudar o software de um servidor. “Se eu mudasse algo nesse período”, diz Cristiano, “os relatórios de risco não bateriam com a análise do auditor.”
Cristiano trabalha no STJ há quase sete anos. Ele decidiu adaptar o datacenter à ISO 27001 no final de 2007, porque o STJ recebia os primeiros processos por meios eletrônicos e muita gente não confia em eletrônica. “Conseguir a certificação”, diz Cristiano, “demonstraria que o STJ estava maduro, que as informações dos processos estão seguras.” Cristiano licitou o serviço de consultoria e começou a trabalhar no projeto em janeiro de 2008: escreveu normas e processos de segurança, analisou todos os equipamentos, desenvolveu uma política de segurança da informação e treinou os técnicos.
No entanto, todos os meses de trabalho para se adequar à norma e o investimento de R$ 100 mil para pagar a consultoria seriam desperdiçados se algum técnico trocasse algo de lugar no datacenter. Cristiano resolveu conversar pessoalmente com todos os técnicos, para explicar por que os técnicos do datacenter não atendiam aos pedidos; preparou uma apresentação e pediu que o secretário de informática participasse. “Eu ressaltava que o projeto beneficiaria a TI e, se eles não apoiassem, teríamos que refazer o trabalho.” Os técnicos da consultoria também explicaram os benefícios para os técnicos da TI. Ao final de muitas reuniões, Cristiano ganhou o apoio desejado. “Nenhum técnico se opôs ao projeto, mas cada um deles tinha suas demandas e eles enfrentaram dificuldades enquanto o datacenter ficou congelado.” Em agosto de 2008, o auditor analisou o datacenter do STJ; ele pediu para Cristiano corrigir alguns detalhes, mas concedeu o certificado ISO 27001.