Por Luiz Queiroz
Do blog Capital Digital
O Carnaval dos gestores de Segurança da Informação que atendem o Superior Tribunal de Justiça (STJ) foi estragado com um ataque hacker de um grupo que se autodenomina “Azael” (nome de origem hebraica e significa “Deus fez” ou “feito por Deus”). A extensão do dano ninguém sabe e dificilmente saberá, mas a página do STJ continua fora do ar, sendo espelhada pela Cloudfare, após verificação de segurança para evitar robôs que provocariam negação de serviço (DDoS).
O problema neste tribunal superior é mais uma prova de que “o barato sai caro” na Administração Pública Federal. Que continua priorizando um modelo de contratação que privilegia o preço em detrimento da qualificação técnica; uma praga que obriga gestores a assumirem riscos desnecessários. E isso, pelo visto, não vai acabar tão cedo, já que outros editais na Petrobras, na Caixa Econômica Federal (são dois) e na BBTS Tecnologia, seguem o mesmo padrão de contratação com sérios riscos futuros.
As condições de realização de novos editais para contratar mão-de-obra especializada em Segurança da Informação são tão apertadas no quesito preço/valor dos salários de referência, que mesmo empresas que costumam se candidatar a este tipo de edital têm evitado participar. É o caso ilustrado pelo STJ; que tem o Contrato n. 48/2023 a vencer este mês, na próxima quarta-feira (12), com a empresa ISH Tecnologia; sendo que a empresa sequer apareceu como participante entre as 25 empresas listadas no pregão eletrônico 90009/2025, concorrendo para um edital de R$ 9.227.122,68 com o valor de referência para contratar uma equipe de nove profissionais.
Leia mais
Pregão no STJ
Ainda na tarde desta quarta-feira de cinzas (5) o STJ deverá reabrir o pregão eletrônico n.90009/2025. O objeto é “a contratação da prestação de serviços continuados de operação de soluções de segurança da informação e defesa cibernética do STJ, em regime de dedicação exclusiva de mão de obra”. Esse pregão visa contratar uma nova empresa para substituir a ISH Tecnologia, cujo contrato se encerrará este mês, no próximo dia 12.
Este blog afirma que será mais um desastre de contratação feito pelo STJ, que continuará com uma espada sobre a sua cabeça, aguardando a hora em que será aplicado um novo golpe mortal, como o que ocorreu em pleno Carnaval.
Quem for escolhido no pregão, deverá trabalhar no sentido de adotar o uso intensivo das soluções coorporativas Microsoft pelo STJ. O tribunal espera um serviço de qualidade que proporcione a gestão de mais de 4.000 estações, 210 servidores de rede, 4.000 licenças do antivírus, 5.600 caixas de correio, além de ampla e complexa infraestrutura em nuvem.
Os serviços descritos no edital são:
1 – estações de trabalho e servidores Windows, a ampliação na aplicação de políticas de segurança;
2 – controle e melhoria do Active Directory (estrutura lógica de controle de domínio de rede de dados);
3 – controle e melhoria dos produtos Microsoft 365 (família de produtos de software de produtividade e serviços baseados em nuvem de propriedade da Microsoft) licenciadas para o uso do STJ
4 – ampliação do uso do Azure (plataforma de computação em nuvem operado pela Microsoft);
5 – Intune (serviço de gerenciamento de endpoint unificado baseado em nuvem da Microsoft para dispositivos corporativos e de propriedades do usuário);
6 – ampliação do uso do MS Defender (software de proteção em tempo real).
Fora da realidade salarial
O edital do pregão eletrônico n.90009/2025 contém uma série de problemas, que não precisa ser um especialista em compras para verificar que o tribunal vai errar novamente.
A começar pelos salários exigidos dos profissionais que serão contratados pela terceirizada em regime de CLT. O STJ, com base em pesquisas salariais no mercado e em função dos que já pagou em outros contratos, está estimando contratar analistas e todo o corpo técnico por uma bagatela, como se fosse possível no mercado adquirir os melhores profissionais numa faixa salarial completamente fora da realidade.
Vejam as estimativas de salário do tribunal para especialistas e analistas de Segurança da Informação:
Vejam as estimativas de salário para as demais funções e chefias na área:
O próprio tribunal ao buscar informações do mercado constatou que um analista sênior de Segurança da Informação não sairia por menos de R$ 32 mil reais. No entanto aplica uma média salarial de R$ 17 mil para todas as categorias, que não condiz com os salários pagos no mercado, ainda mais em se tratando de CLT (Consolidação das Leis do Trabalho – que exige carteira assinada e o pagamento de todos os benefícios trabalhistas).
Fora isso, a empresa terá de manter um quadro à disposição do STJ em regime híbrido, o que obriga os trabalhadores a darem expediente dentro e fora do tribunal. O mercado vem operando em regime de Home Office, o que barateia seus custos e encontra maior facilidade de contratações.
Para se ter uma ideia de como os gestores de TI do STJ não fazem a mínima ideia da realidade salarial dessa área no país, a média salarial de R$ 17 mil propostas por eles no caso das carreiras mais sólidas (com grau de experiência e certificações que chegam a serem pagas em até USD 4 mil pelos profissionais), é o mesmo que a Polícia Militar do Distrito Federal estima pagar num concurso para um tenente, que está em início de carreira e só precisa comprovar que encontra-se bem do ponto de vista físico e psicológico, além de ter uma vida pregressa sem máculas.
Apagão
O mercado de mão-de-obra especializada de Segurança da Informação no Brasil está vivendo um apagão de talentos. Nesse contexto, um órgão público, que deseja terceirizar seus serviços de defesa cibernética, necessita dimensionar seus orçamentos em editais de mão-de-obra prevendo salários altos e de “mercado” aos profissionais das equipes a serem contratadas por esta terceirização. Do contrário, o elemento humano da defesa cibernética, mal pago para tais condições de mercado, será sempre o elo mais fraco desta defesa.
Quem está bem empregado no mercado privado de Segurança da Informação, com salários na casa dos R$ 25 a 30 mil/mês (CLT), trabalhando em regime 100% remoto, sequer deseja ouvir sobre o pacote e participar de uma entrevista de RH para postos de trabalhos no regime híbrido ou presencial. Ou seja, não há como preencher novas vagas com profissionais de Segurança da Informação que sejam experientes e possuam treinamento/certificações à altura para deter ataques cibernéticos de média-alta sofisticação a que estão sujeitos os órgãos públicos.
No governo Lula 3, que sofre com questões de enxugamento do orçamento público, não há espaço para a realização de novos concursos públicos para mão-de-obra especializada em segurança da informação; onde jovens talentos, com certificações profissionais que custam entre USD 900-4.000 para serem obtidas, esperam pelo menos salários iniciais na casa de R$ 12 a 17 mil/mês; que é a faixa salarial oferecida para trabalho presencial ou híbrido no setor privado.
No pregão do STJ três empresas já foram desclassificadas por conta da sua documentação não atender as especificações do edital, embora seus valores propostos para o serviço estivessem abaixo do previsto pelo tribunal (R$ 9 milhões).
Outras quatro não foram desclassificadas, mas seus preços estão acima do proposto pelo STJ e, portanto, não devem conseguir o contrato. Tem ainda mais 18 empresas participando da disputa. Porém muitas seriam “fábricas de salsicha”, deverão cair na qualificação técnica.
Mas não importa quem será o vencedor. O fato é que o modelo de compras do STJ tem tudo para dar errado no futuro, assim como já deu no passado. O tribunal em novembro de 2020 sofreu um ataque de ransomware e o hacker conseguiu o controle dos bancos de dados. Depois pediu resgate para devolvê-los. O caso nunca foi esclarecido, se o STJ pagou ou não o resgate. A única coisa que se soube após o evento foi que a diretoria de TI do STJ caiu.
Leia menos
