在需要共享时保护知识产权

在需要共享时保护知识产权

时间戳:31 年 2023 月 4 日下午 49:XNUMX
源节点: 2796495

当公司控制网络防御时,保护企业网络或云中的知识产权 (IP) 就已经很困难了,但当 IP 必须与业务合作伙伴共享时,威胁就会呈指数级增长。 虽然合同义务和保险可以为公司提供一些金钱上的补偿,但当公司秘密公开或落入竞争对手手中时,将众所周知的精灵放回瓶子里是不可能的。

从纯粹的技术角度来看,CISO 可以采用限制用户访问的技术,例如切换到 零信任网络架构 (ZTNA) 工具而不是传统的虚拟专用网络 (VPN) 远程访问,或者可能采用基于数据分类、标记化或其他安全控制的基于角色的访问控制 (RBAC)。 此外,通过身份访问管理 (IAM) 限制访问也很常见。

Foley & Lardner LLP 律师事务所技术交易、网络安全和隐私实践小组的合伙人 Aaron Tantleff 指出,并非所有 IP 都是相同的,也不是所有 IP 都需要相同的安全控制。

确定需要哪些控制以及控制到何种程度取决于知识产权的价值(无论是货币价值还是对公司运营的价值)。 坦特莱夫指出,知识产权保护很难一概而论,因为每个组织都有不同类型的知识产权,并以不同的方式保护它们。 他补充说,组织不一定要通过供应商培训来实施相同的安全控制,因为这些控制取决于关键 IP 而非价值较低的 IP。

安全共享

传统技术,甚至一些新兴的基于 ZT 的方法,确实有助于限制 IP 受到损害的可能性,但在必须与合作伙伴共享 IP 时,几乎无法提供安全性。 传统上,公司只共享其知识产权的一小部分,让不同的业务合作伙伴完成他们的工作,而无需访问产品的所有知识产权。 例如,业务合作伙伴可能会为较大的项目构建单个零件,但没有足够的知识来复制所有内容。 坦特莱夫说,在某些情况下,某些事情的运作方式中会包含错误的“步骤”,从而给公司共享的数据库加盐。

公司修改 IP 的另一种方法是混淆一些细节,例如项目代号,以使其在被无意查看的人获得时变得不那么有用。 人们可以重命名某些功能,例如重命名 编码,这是将视频从一种格式更改为另一种格式的核心功能。

网络安全与数据联合主席 Jennifer Urban 补充道,虽然控制共享数据的类型和数量是一种策略,但公司可以通过保留自己系统上的所有 IP 并允许其直接合作伙伴在本地访问他们所需的内容来限制漏洞。 Foley & Lardner 创新技术部门的隐私。

企业知识产权的一个主要漏洞是第三方风险管理(TPRM),即业务合作伙伴与他们自己的第三方共享您的知识产权。 “很难真正控制第三方、第四方或第五方的风险,因为它不在你的环境中,”她说。 一项建议“显然是尽可能不要发送任何 IP,并且当然要根据供应商收到的 IP 类型对他们进行优先级排序。”

理想情况下,公司将在其受保护的网络上保留 IP,并仅通过与公司网络的安全连接共享合作伙伴所需的部分。 根据需要和特定数据限制访问可以提高企业防御能力。

错误的期望

知识产权专家兼 Troutman Pepper 律师事务所合伙人 Peter Wakiyama 表示,许多 CISO 和企业高管在两个重要的知识产权问题上都犯了错误。

“首席信息安全官可能认为,如果没有造成伤害,[例如]数据泄露或丢失,就没有犯规。 那不是真的。 仅仅未能制定足够的保护措施可能会产生法律后果,因为商业秘密所有者必须始终如一地采取合理的努力来保护商业秘密和其他机密信息的安全,”他说。 “随着新威胁的出现,必须不断实施新的保护措施,确保商业秘密合法权益不受到损害。”

至于第二个,Wakiyama 指出,“许多 CISO 和其他 IT 专业人士认为,如果你为创建它付费,那么你就拥有它。 不对。 根据事实和情况,供应商/开发商可能保留发明(专利)和版权的重要知识产权所有权。

“例如,”他继续说道,“如果雇用一家供应商来设计、构建和实施定制安全程序,除非该供应商书面同意转让其所有知识产权,否则它将保留发明权和版权,并且可能会被自由使用并与他人分享这些权利。”

管理咨询公司 Sageable 的创始人安迪·曼 (Andi Mann) 表示,保护知识产权需要被视为一种 人类问题 与技术一样多。 虽然组织可以通过使用一系列监控和网络可视性工具来进行审计来跟踪 IP 的使用情况,但这通常归结为人员问题。

“你必须采取适当的控制措施,”他说。 技术部分很重要,但限制第三方可以了解和利用这些知识的合同协议仍然是基石。

“你必须提供激励措施。 你必须理解为什么人们会访问这些数据中的此类内容,就像我的一位工程师去查找我们的专利数据库或创新计划一样。 为什么? 跟我谈谈你为什么需要它。 你可以限制对某些数据和信息的访问,”曼恩说。

时间戳记:

更多来自 暗读