Protejarea proprietății intelectuale atunci când aceasta trebuie partajată

Protejarea proprietății intelectuale (IP) atunci când se află în rețeaua corporativă sau în cloud este destul de dificilă atunci când o companie deține controlul asupra apărării rețelei, dar atunci când IP-ul trebuie partajat cu un partener de afaceri, amenințările cresc exponențial. În timp ce obligațiile contractuale și asigurările pot rambursa o companie cu o oarecare scutire bănească, este imposibil să puneți proverbialul geniu înapoi în sticlă atunci când secretele corporative devin publice sau cad în mâinile concurenților.

Din punct de vedere al tehnologiei pur, CISO pot folosi tehnologii care limitează accesul utilizatorilor, cum ar fi trecerea la a arhitectura de rețea de încredere zero (ZTNA), mai degrabă decât accesul de la distanță la rețeaua privată virtuală (VPN) tradițională, sau poate folosi un control al accesului bazat pe rol (RBAC) bazat pe clasificarea datelor, tokenizare sau alt control de securitate. În plus, limitarea accesului prin gestionarea accesului la identitate (IAM) este comună.

Nu toată IP este aceeași și nici nu necesită aceleași controale de securitate, notează Aaron Tantleff, partener în grupurile de practică privind tranzacțiile tehnologice, securitate cibernetică și confidențialitate la firma de avocatură Foley & Lardner LLP.

Determinarea ce controale sunt necesare și la ce nivel depinde de valoarea IP, atât din punct de vedere monetar, cât și de operațiunile companiei. Este dificil de generalizat despre protecția IP deoarece fiecare organizație are diferite tipuri de IP pe care le protejează în mod diferit, notează Tantleff. Organizațiile nu ar implementa aceleași controale de securitate neapărat prin trenul furnizorului, deoarece controalele depind de IP critică față de IP cu valoare mai mică, adaugă el.

Partajarea în siguranță

Tehnologiile tradiționale – și chiar unele abordări emergente bazate pe ZT – ajută la limitarea posibilității de a compromite IP, dar nu fac nimic pentru a oferi securitate atunci când IP-ul trebuie partajat cu partenerii. În mod tradițional, companiile împărtășeau doar părți mici din IP-ul lor, având diferiți parteneri de afaceri care își fac munca fără a avea acces la toată IP-ul pentru un produs. De exemplu, un partener de afaceri ar putea construi o singură piesă pentru un proiect mai mare, dar nu are suficiente cunoștințe pentru a duplica totul. În unele cazuri, „pași” falși sunt incluși în modul în care funcționează ceva, sărând baza de date pe care compania a partajat-o, spune Tantleff.

Un alt mod în care companiile își pot modifica IP-ul pentru a-l face mai puțin util dacă este obținut de cineva care nu intenționează să îl vadă este să ofusca unele detalii, cum ar fi numele de cod ale proiectelor. Se poate redenumi anumite funcționalități, cum ar fi redenumirea codare, care este funcționalitatea de bază a schimbării unui videoclip de la un format la altul.

Deși controlul tipului și cantității de date partajate este o strategie, o companie poate limita vulnerabilitățile păstrând toate IP pe propriul sistem și permițând partenerilor lor direcți să acceseze ceea ce au nevoie la nivel local, adaugă Jennifer Urban, co-președinte pentru Cybersecurity & Data. Confidențialitate în sectorul tehnologiei inovatoare Foley & Lardner.

O vulnerabilitate majoră a IP-ului corporativ este managementul riscului de la terți (TPRM), în care partenerii de afaceri vă împărtășesc IP-ul cu propriii lor terți. „Este greu cu riscul de la o terță parte sau de la a patra sau de la a cincea parte să-l rețin cu adevărat, deoarece nu se află în mediul tău”, spune ea. O recomandare „este, evident, să nu trimiteți niciun IP în măsura în care puteți și, cu siguranță, să acordați prioritate vânzătorilor după tipul de IP pe care îl primesc”.

În mod ideal, o companie va păstra IP-ul în rețeaua protejată și va partaja doar părțile de care are nevoie un partener printr-o conexiune securizată la rețeaua corporativă. Limitarea accesului în funcție de nevoi și de date specifice îmbunătățește apărarea corporativă.

Așteptări false

Peter Wakiyama, expert în proprietate intelectuală și partener la firma de avocatură Troutman Pepper, spune că există două probleme importante de proprietate intelectuală pe care mulți CISO și directori de corporații le greșesc.

„CISO pot crede că, dacă nu există nicio vătămare, [cum ar fi] o încălcare sau o pierdere a datelor, nu există nicio greșeală. Nu este adevarat. Pur și simplu eșecul în adoptarea unor protecții adecvate poate avea consecințe legale, deoarece un proprietar de secret comercial trebuie să depună în mod constant eforturi rezonabile pentru a păstra secretele comerciale și alte informații confidențiale în siguranță”, spune el. „Pe măsură ce apar noi amenințări, noi protecții trebuie implementate în mod continuu pentru a se asigura că drepturile legale privind secretele comerciale nu sunt compromise.”

În ceea ce privește al doilea, Wakiyama notează: „Mulți CISO și alți profesioniști IT cred că dacă plătiți pentru crearea acestuia, îl dețineți. Neadevarat. În funcție de fapte și circumstanțe, vânzătorul/dezvoltatorul poate păstra drepturi semnificative de proprietate asupra invențiilor (brevete) și drepturilor de autor.

„De exemplu”, continuă el, „dacă un furnizor este angajat să proiecteze, să construiască și să implementeze un program de securitate personalizat, cu excepția cazului în care vânzătorul este de acord în scris să cedeze toate drepturile sale de proprietate intelectuală, acesta va păstra drepturile de invenție și drepturile de autor și poate fi liber să folosească și să împărtășească aceste drepturi cu alții.”

Andi Mann, fondatorul companiei de consultanță în management Sageable, a spus că protecția IP trebuie privită ca un problema umană la fel de mult ca unul tehnologic. În timp ce organizațiile pot face audituri pentru a urmări utilizarea IP-ului, folosind o gamă largă de instrumente de monitorizare și vizibilitate a rețelei, în mod normal se rezumă la o problemă cu oamenii.

„Trebuie să ai controale”, spune el. Componenta tehnologică este importantă, dar acordurile contractuale pentru a limita ceea ce o terță parte poate ști și face cu aceste cunoștințe sunt încă o piatră de temelie.

„Trebuie să oferi stimulente. Trebuie să înțelegeți de ce oamenii accesează acest tip de conținut în aceste date, de exemplu, dacă unul dintre inginerii mei merge și caută baza noastră de brevete sau planul de inovare. De ce? Vorbește-mi de ce ai nevoie. Și puteți restricționa accesul la unele dintre aceste date și unele dintre aceste informații”, spune Mann.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared