Protección de la propiedad intelectual cuando es necesario compartirla

Proteger la propiedad intelectual (IP) cuando está en la red corporativa o en la nube es bastante difícil cuando una empresa tiene el control de las defensas de la red, pero cuando la IP se debe compartir con un socio comercial, las amenazas aumentan exponencialmente. Si bien las obligaciones contractuales y el seguro pueden reembolsar a una empresa con algún alivio monetario, es imposible volver a meter al genio proverbial en la botella cuando los secretos corporativos se hacen públicos o caen en manos de los competidores.

Desde un punto de vista puramente tecnológico, los CISO pueden emplear tecnologías que limitan el acceso de los usuarios, como cambiar a un arquitectura de red de confianza cero (ZTNA) en lugar del acceso remoto tradicional de red privada virtual (VPN), o tal vez emplee un control de acceso basado en roles (RBAC) basado en la clasificación de datos, tokenización u otro control de seguridad. Además, es común limitar el acceso mediante la administración de acceso de identidad (IAM).

No todas las IP son iguales, ni todas las IP requieren los mismos controles de seguridad, señala Aaron Tantleff, socio de los grupos de prácticas de Transacciones tecnológicas, Ciberseguridad y Privacidad del bufete de abogados Foley & Lardner LLP.

Determinar qué controles se requieren ya qué nivel depende del valor de la PI, tanto monetariamente como para las operaciones de la empresa. Es difícil generalizar sobre la protección de la propiedad intelectual porque cada organización tiene diferentes tipos de propiedad intelectual que protegen de manera diferente, señala Tantleff. Las organizaciones no estarían implementando los mismos controles de seguridad necesariamente a través del tren de proveedores porque los controles dependen de la IP crítica frente a la IP de menor valor, agrega.

Compartir de forma segura

Las tecnologías tradicionales, e incluso algunos enfoques emergentes basados ​​en ZT, ayudan a limitar la posibilidad de comprometer la propiedad intelectual, pero hacen poco para brindar seguridad cuando la propiedad intelectual se debe compartir con los socios. Tradicionalmente, las empresas compartían solo pequeñas partes de su propiedad intelectual y varios socios comerciales hacían su trabajo sin tener acceso a toda la propiedad intelectual de un producto. Por ejemplo, un socio comercial puede construir una sola pieza para un proyecto más grande pero no tener el conocimiento suficiente para duplicar todo. En algunos casos, se incluyen "pasos" falsos en el funcionamiento de algo, lo que afecta la base de datos compartida por la empresa, dice Tantleff.

Otra forma en que las empresas pueden modificar su IP para que sea menos útil si la obtiene alguien que no pretende verla es ofuscar algunos detalles, como los nombres de los códigos de los proyectos. Se puede cambiar el nombre de ciertas funciones, como cambiar el nombre codificación, que es la funcionalidad principal de cambiar un video de un formato a otro.

Si bien controlar el tipo y la cantidad de datos compartidos es una estrategia, una empresa puede limitar las vulnerabilidades manteniendo toda la IP en su propio sistema y permitiendo que sus socios directos accedan a lo que necesitan localmente, agrega Jennifer Urban, copresidenta de Ciberseguridad y Datos. Privacidad dentro del sector de tecnología innovadora de Foley & Lardner.

Una vulnerabilidad importante de la propiedad intelectual corporativa es la gestión de riesgos de terceros (TPRM), en la que los socios comerciales comparten su propiedad intelectual con sus propios terceros. “Es difícil contener el riesgo de terceros, cuartos o quintos porque no está en su entorno”, dice. Una recomendación "es obviamente no enviar ninguna IP en la medida de lo posible, y ciertamente priorizar a los proveedores por el tipo de IP que reciben".

Idealmente, una empresa mantendrá la IP en su red protegida y solo compartirá las partes que un socio necesita a través de una conexión segura a la red corporativa. Limitar el acceso por necesidad y por datos específicos mejora las defensas corporativas.

Falsas expectativas

Peter Wakiyama, experto en propiedad intelectual y socio del bufete de abogados Troutman Pepper, dice que hay dos cuestiones importantes de propiedad intelectual en las que muchos CISO y ejecutivos corporativos se equivocan.

“Los CISO pueden pensar que si no hay daño, [como] una violación o pérdida de datos, no hay falta. Eso no es verdad. El simple hecho de no promulgar las protecciones adecuadas puede tener consecuencias legales porque el propietario de un secreto comercial debe hacer esfuerzos razonables de manera constante para mantener seguros los secretos comerciales y otra información confidencial”, dice. “A medida que surgen nuevas amenazas, se deben implementar continuamente nuevas protecciones para garantizar que los derechos legales de los secretos comerciales no se vean comprometidos”.

En cuanto al segundo, Wakiyama señala: “Muchos CISO y otros profesionales de TI creen que si pagas para que se cree, te pertenece. No es verdad. Según los hechos y las circunstancias, el proveedor/desarrollador puede retener importantes derechos de propiedad de propiedad intelectual sobre invenciones (patentes) y derechos de autor.

“Por ejemplo”, continúa, “si se contrata a un proveedor para diseñar, construir e implementar un programa de seguridad personalizado, a menos que el proveedor acuerde por escrito ceder todos sus derechos de propiedad intelectual, conservará los derechos de invención y los derechos de autor y puede ser libre de usar y compartir esos derechos con otros”.

Andi Mann, fundador de la firma de asesoría de gestión Sageable, dijo que la protección de la propiedad intelectual debe verse como un problema humano tanto como uno tecnológico. Si bien las organizaciones pueden realizar auditorías para rastrear el uso de IP, empleando una variedad de herramientas de monitoreo y visibilidad de la red, normalmente se trata de un problema de personas.

“Tienes que tener controles en su lugar”, dice. El componente tecnológico es importante, pero los acuerdos contractuales para limitar lo que un tercero puede saber y hacer con ese conocimiento siguen siendo una piedra angular.

“Tienes que proporcionar incentivos. Debe comprender por qué las personas acceden a este tipo de contenido en estos datos, como si uno de mis ingenieros buscara nuestra base de datos de patentes o nuestro plan de innovación. ¿Por qué? Háblame de por qué lo necesitas. Y puede restringir el acceso a algunos de estos datos y parte de esta información”, dice Mann.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared