Protegendo a propriedade intelectual quando ela precisa ser compartilhada

Proteger a propriedade intelectual (IP) quando está na rede corporativa ou na nuvem já é bastante difícil quando uma empresa tem o controle das defesas da rede, mas quando o IP deve ser compartilhado com um parceiro de negócios, as ameaças aumentam exponencialmente. Embora obrigações contratuais e seguros possam reembolsar uma empresa com algum alívio monetário, é impossível colocar o proverbial gênio de volta na garrafa quando os segredos corporativos se tornam públicos ou caem nas mãos dos concorrentes.

Do ponto de vista puramente tecnológico, os CISOs podem empregar tecnologias que limitam o acesso do usuário, como mudar para um arquitetura de rede de confiança zero (ZTNA) em vez do acesso remoto tradicional à rede virtual privada (VPN), ou talvez empregue um controle de acesso baseado em função (RBAC) com base na classificação de dados, tokenização ou outro controle de segurança. Além disso, limitar o acesso pelo gerenciamento de acesso à identidade (IAM) é comum.

Nem todo IP é igual, nem todo IP requer os mesmos controles de segurança, observa Aaron Tantleff, sócio dos grupos de prática de transações de tecnologia, segurança cibernética e privacidade do escritório de advocacia Foley & Lardner LLP.

A determinação de quais controles são necessários e em que nível depende do valor da PI, tanto monetariamente quanto para as operações da empresa. É difícil generalizar sobre a proteção de IP porque cada organização tem diferentes tipos de IP que protegem de maneira diferente, observa Tantleff. As organizações não estariam implementando os mesmos controles de segurança necessariamente por meio do treinamento do fornecedor porque os controles dependem de IP crítico versus IP de menor valor, acrescenta ele.

Compartilhando com segurança

As tecnologias tradicionais — e até mesmo algumas abordagens emergentes baseadas em ZT — ajudam a limitar a possibilidade de comprometer o IP, mas fazem pouco para fornecer segurança quando o IP deve ser compartilhado com parceiros. Tradicionalmente, as empresas compartilhavam apenas pequenas partes de seu IP, fazendo com que vários parceiros de negócios fizessem seu trabalho sem ter acesso a todo o IP de um produto. Por exemplo, um parceiro de negócios pode construir uma única peça para um projeto maior, mas não ter conhecimento suficiente para duplicar tudo. Em alguns casos, falsos “passos” são incluídos em como algo funciona, salgando o banco de dados compartilhado pela empresa, diz Tantleff.

Outra maneira pela qual as empresas podem modificar seu IP para torná-lo menos útil se obtido por alguém que não pretende vê-lo é ofuscar alguns detalhes, como nomes de código de projeto. Pode-se renomear certas funcionalidades, como renomear codificação, que é a principal funcionalidade de alterar um vídeo de um formato para outro.

Embora controlar o tipo e a quantidade de dados compartilhados seja uma estratégia, uma empresa pode limitar as vulnerabilidades mantendo todo o IP em seu próprio sistema e permitindo que seus parceiros diretos acessem o que precisam localmente, acrescenta Jennifer Urban, copresidente de Cibersegurança e Dados Privacidade no setor de tecnologia inovadora da Foley & Lardner.

Uma grande vulnerabilidade do IP corporativo é o gerenciamento de riscos de terceiros (TPRM), em que os parceiros de negócios compartilham seu IP com seus próprios terceiros. “É difícil com o risco de terceiros, quartos ou quintos realmente contê-lo porque não está em seu ambiente”, diz ela. Uma recomendação “é obviamente não enviar nenhum IP na medida do possível e certamente priorizar os fornecedores pelo tipo de IP que eles recebem”.

Idealmente, uma empresa manterá o IP em sua rede protegida e compartilhará apenas as partes que um parceiro precisa por meio de uma conexão segura com a rede corporativa. Limitar o acesso por necessidade e por dados específicos melhora as defesas corporativas.

Falsas Expectativas

Peter Wakiyama, especialista em propriedade intelectual e sócio do escritório de advocacia Troutman Pepper, diz que há duas questões importantes de propriedade intelectual que muitos CISOs e executivos corporativos erram.

“Os CISOs podem pensar que, se não houver dano, [como] violação ou perda de dados, não há falta. Isso não é verdade. O simples fato de não adotar as proteções adequadas pode ter consequências legais porque o proprietário de um segredo comercial deve consistentemente usar esforços razoáveis ​​para manter os segredos comerciais e outras informações confidenciais em segurança”, diz ele. “À medida que surgem novas ameaças, novas proteções devem ser continuamente implementadas para garantir que os direitos legais do segredo comercial não sejam comprometidos.”

Quanto ao segundo, Wakiyama observa: “Muitos CISOs e outros profissionais de TI acreditam que, se você paga para ser criado, você é o dono. Não é verdade. Dependendo dos fatos e circunstâncias, o fornecedor/desenvolvedor pode reter direitos significativos de propriedade de PI sobre invenções (patentes) e direitos autorais.

“Por exemplo”, ele continua, “se um fornecedor for contratado para projetar, construir e implementar um programa de segurança personalizado, a menos que o fornecedor concorde por escrito em ceder todos os seus direitos de PI, ele manterá os direitos de invenção e direitos autorais e poderá ser livre para usar e compartilhar esses direitos com outras pessoas”.

Andi Mann, fundador da empresa de consultoria de gestão Sageable, disse que proteger a propriedade intelectual precisa ser visto como um questão humana quanto tecnológico. Embora as organizações possam fazer auditorias para rastrear o uso de IP, empregando uma variedade de ferramentas de monitoramento e visibilidade de rede, isso normalmente se resume a uma questão de pessoas.

"Você tem que ter controles no lugar", diz ele. O componente de tecnologia é importante, mas os acordos contratuais para limitar o que um terceiro pode saber e fazer com esse conhecimento ainda é uma pedra angular.

“Você tem que fornecer incentivos. Você precisa entender por que as pessoas estão acessando esse tipo de conteúdo nesses dados, como se um de meus engenheiros procurasse nosso banco de dados de patentes ou plano de inovação. Por que? Fale comigo sobre por que você precisa disso. E você pode restringir o acesso a alguns desses dados e algumas dessas informações”, diz Mann.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared