Protezione della proprietà intellettuale quando deve essere condivisa

Proteggere la proprietà intellettuale (IP) quando si trova sulla rete aziendale o nel cloud è già abbastanza difficile quando un'azienda ha il controllo delle difese della rete, ma quando l'IP deve essere condiviso con un partner commerciale, le minacce aumentano in modo esponenziale. Mentre gli obblighi contrattuali e assicurativi possono rimborsare un’azienda con un certo sollievo economico, rimettere il proverbiale genio nella lampada quando i segreti aziendali diventano pubblici o cadono nelle mani dei concorrenti è impossibile.

Da un punto di vista puramente tecnologico, i CISO possono utilizzare tecnologie che limitano l’accesso degli utenti, come il passaggio a un architettura di rete Zero Trust (ZTNA) anziché il tradizionale accesso remoto alla rete privata virtuale (VPN), o magari impiegare un controllo degli accessi basato sui ruoli (RBAC) basato sulla classificazione dei dati, sulla tokenizzazione o su altri controlli di sicurezza. Inoltre, è comune limitare l'accesso mediante la gestione dell'accesso alle identità (IAM).

Non tutti gli IP sono uguali, né tutti gli IP richiedono gli stessi controlli di sicurezza, osserva Aaron Tantleff, partner dei gruppi di pratica Technology Transactions, Cybersecurity e Privacy presso lo studio legale Foley & Lardner LLP.

Determinare quali controlli sono richiesti e a quale livello dipende dal valore della proprietà intellettuale, sia in termini monetari che in termini di operazioni dell'azienda. È difficile generalizzare sulla protezione della proprietà intellettuale perché ogni organizzazione ha diversi tipi di proprietà intellettuale che protegge in modo diverso, osserva Tantleff. Le organizzazioni non implementerebbero gli stessi controlli di sicurezza necessariamente attraverso il treno dei fornitori perché i controlli dipendono dall'IP critico rispetto all'IP di minor valore, aggiunge.

Condividere in sicurezza

Le tecnologie tradizionali – e anche alcuni approcci emergenti basati sulla ZT – aiutano a limitare la possibilità di compromettere la proprietà intellettuale, ma fanno poco per fornire sicurezza quando la proprietà intellettuale deve essere condivisa con i partner. Tradizionalmente, le aziende condividevano solo piccole parti della propria proprietà intellettuale, lasciando che diversi partner commerciali svolgessero il proprio lavoro senza avere accesso a tutta la proprietà intellettuale di un prodotto. Ad esempio, un partner commerciale potrebbe costruire una singola parte per un progetto più ampio ma non avere le conoscenze sufficienti per duplicare tutto. In alcuni casi, nel funzionamento di qualcosa vengono inclusi “passi” falsi, che intasano il database condiviso dall’azienda, afferma Tantleff.

Un altro modo in cui le aziende possono modificare il proprio IP per renderlo meno utile se ottenuto da qualcuno che non intende vederlo è quello di offuscare alcuni dettagli, come i nomi in codice dei progetti. È possibile rinominare determinate funzionalità, come la ridenominazione codifica, che è la funzionalità principale per modificare un video da un formato a un altro.

Sebbene controllare il tipo e la quantità di dati condivisi sia una strategia, un'azienda può limitare le vulnerabilità conservando tutta la proprietà intellettuale del proprio sistema e consentendo ai propri partner diretti di accedere a ciò di cui hanno bisogno a livello locale, aggiunge Jennifer Urban, copresidente per Cybersecurity & Data Privacy nel settore delle tecnologie innovative di Foley & Lardner.

Una delle principali vulnerabilità dell’IP aziendale è la gestione del rischio di terze parti (TPRM), in cui i partner commerciali condividono l’IP con le proprie terze parti. "È difficile contenerlo davvero con il rischio di terze parti, o quarte o quinte parti, perché non è nel tuo ambiente", afferma. Una raccomandazione “è ovviamente quella di non inviare alcun IP nella misura in cui è possibile, e certamente di dare la priorità ai fornitori in base al tipo di IP che ricevono”.

Idealmente, un'azienda manterrà l'IP sulla propria rete protetta e condividerà solo le parti di cui un partner ha bisogno tramite una connessione sicura alla rete aziendale. Limitare l’accesso in base alle necessità e a dati specifici migliora le difese aziendali.

false aspettative

Peter Wakiyama, esperto di proprietà intellettuale e partner dello studio legale Troutman Pepper, afferma che ci sono due importanti questioni relative alla proprietà intellettuale su cui molti CISO e dirigenti aziendali fraintendono.

“I CISO potrebbero pensare che se non si verifica alcun danno, [come] una violazione o perdita di dati, non esiste alcun reato. Quello non è vero. La semplice mancata attuazione di protezioni adeguate può avere conseguenze legali perché il detentore di un segreto commerciale deve costantemente compiere sforzi ragionevoli per mantenere al sicuro i segreti commerciali e altre informazioni riservate”, afferma. “Man mano che emergono nuove minacce, è necessario implementare continuamente nuove protezioni per garantire che i diritti legali sui segreti commerciali non siano compromessi”.

Per quanto riguarda il secondo, Wakiyama osserva: “Molti CISO e altri professionisti IT credono che se paghi per crearlo, ne sei proprietario. Non vero. A seconda dei fatti e delle circostanze, il fornitore/sviluppatore può mantenere significativi diritti di proprietà intellettuale su invenzioni (brevetti) e diritti d'autore.

“Ad esempio”, continua, “se un fornitore viene assunto per progettare, costruire e implementare un programma di sicurezza personalizzato, a meno che il fornitore non accetti per iscritto di cedere tutti i suoi diritti di proprietà intellettuale, manterrà i diritti di invenzione e i copyright e potrebbe essere liberi di utilizzare e condividere tali diritti con altri”.

Andi Mann, fondatore della società di consulenza gestionale Sageable, ha affermato che la protezione della proprietà intellettuale deve essere vista come un questione umana quanto tecnologico. Sebbene le organizzazioni possano effettuare controlli per monitorare l’utilizzo della proprietà intellettuale, impiegando una serie di strumenti di monitoraggio e visibilità della rete, normalmente si tratta di una questione personale.

"Bisogna disporre di controlli", afferma. La componente tecnologica è importante, ma gli accordi contrattuali per limitare ciò che una terza parte può sapere e fare con tale conoscenza è ancora una pietra miliare.

“Bisogna fornire incentivi. Devi capire perché le persone accedono a questo tipo di contenuto in questi dati, ad esempio se uno dei miei ingegneri va a cercare il nostro database di brevetti o il nostro piano di innovazione. Perché? Parlami del motivo per cui ne hai bisogno. E puoi limitare l’accesso ad alcuni di questi dati e ad alcune di queste informazioni”, afferma Mann.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared