la propiedad intelectual (P. I.) es el alma de todas las organizaciones. Antes no lo era. Como resultado, ahora más que nunca, es un objetivo, puesto directamente en la mira por varias formas de ataque cibernético. Sea testigo de la larga lista de hacks sobre la propiedad intelectual de Hollywood y la industria del entretenimiento, incluyendo «piratas del Caribe» y más recientemente «juego de tronos» de HBO.»
la P. I. de su empresa, ya sean patentes, secretos comerciales o simplemente conocimientos técnicos de los empleados, puede ser más valiosa que sus activos físicos., Los profesionales de la seguridad deben comprender las fuerzas oscuras que están tratando de obtener esta información de su empresa y armarla de una manera útil. Algunas de estas fuerzas vienen bajo la apariencia de investigadores de «inteligencia competitiva» que, en teoría, se rigen por un conjunto de directrices legales y éticas cuidadosamente forjadas por la Sociedad de profesionales de Inteligencia Competitiva (SCIP). Otros son espías contratadas por competidores, o incluso gobiernos extranjeros, que no se detendrán ante nada, incluidos sobornos, robos o incluso una grabadora activada por presión oculta en la silla de su CEO.,
la protección de la P. I. es un deber complejo, con aspectos que entran dentro del ámbito de competencia de los departamentos jurídicos, de TI, de Recursos Humanos y otros. En última instancia, un director de seguridad (CSO) o un comité de riesgos a menudo sirve para unificar los esfuerzos de protección de la propiedad intelectual. Con la protección contra ataques cibernéticos ahora crítica, el director de seguridad de la información (CISO) ahora juega un papel importante.
este manual abarca desde el establecimiento de políticas básicas hasta los procedimientos para la protección de la PI.
¿qué es la propiedad intelectual?,
la P. I. Puede ser cualquier cosa, desde un proceso de fabricación en particular hasta planes para el lanzamiento de un producto, un secreto comercial como una fórmula química o una lista de los países en los que están registradas sus patentes. Puede ayudar pensar en ella como información intangible de propiedad. La definición formal de P. I. de la Organización Mundial de la propiedad intelectual (OMPI) es la creación de la mente: invenciones, obras literarias y artísticas, símbolos, nombres, imágenes y diseños utilizados en el comercio.,
IP se divide en dos categorías: la propiedad Industrial incluye pero no se limita a las patentes de invención, marcas, diseños industriales e indicaciones geográficas. Los derechos de autor abarcan obras literarias como novelas, poemas y obras de teatro, películas, música y obras artísticas, por ejemplo dibujos, pinturas, fotografías, esculturas, páginas de sitios web y diseño arquitectónico. Los derechos relacionados con el derecho de autor incluyen los de los artistas intérpretes o ejecutantes en sus interpretaciones o ejecuciones, los productores de fonogramas en sus grabaciones y los organismos de radiodifusión en sus programas de radio y televisión.,
para muchas empresas, como las del sector farmacéutico, la P. I. es mucho más valiosa que cualquier activo físico. El robo de propiedad intelectual cuesta a las empresas estadounidenses hasta 6 600 mil millones al año, según la Comisión de robo de Propiedad Intelectual.
Las cuatro categorías legalmente definidas de propiedad intelectual por las que el robo puede ser perseguido son:
Las patentes otorgan el derecho legal de excluir a cualquier otra persona de la fabricación o comercialización de sus cosas tangibles únicas., También se pueden registrar en países extranjeros para ayudar a evitar que los competidores internacionales descubran lo que está haciendo su empresa. Una vez que tenga una patente, otros pueden solicitar la licencia de su producto. Las patentes pueden durar 20 años.
Las Marcas comerciales son nombres, frases, sonidos o símbolos utilizados en asociación con servicios o productos. Una marca a menudo conecta una marca con un nivel de calidad sobre el cual las empresas construyen una reputación. La protección de la marca tiene una duración de 10 años después del registro y puede renovarse a perpetuidad.,
el Copyright protege las expresiones escritas o artísticas fijadas en un medio tangible — novelas, poemas, canciones o películas. Un derecho de autor protege la expresión de una idea, pero no la idea misma. El propietario de una obra con derechos de autor tiene derecho a reproducirla, a hacer obras derivadas de ella (como una película basada en un libro), o a vender, representar o mostrar la obra al público. No es necesario registrar su material para tener un copyright, pero el registro es un requisito previo si decide demandar por infracción de copyright. Un copyright dura la vida del autor más otros 50 años.,
Los secretos comerciales pueden ser una fórmula, patrón, dispositivo o compilación de datos que otorga al usuario una ventaja sobre los competidores es un secreto comercial. Están cubiertos por la ley estatal, en lugar de federal. Para proteger el secreto, una empresa debe demostrar que agrega valor a la empresa — que es, de hecho, un secreto — y que se han tomado medidas apropiadas dentro de la empresa para salvaguardar el secreto, como restringir el conocimiento a un puñado selecto de ejecutivos.
IP can puede ser simplemente una idea también., Si el jefe de su departamento R&D tiene un momento eureka durante su ducha matutina y luego aplica su nueva idea en el trabajo, eso también es propiedad intelectual.
¿cómo se mantiene la propiedad intelectual segura?
si su IP es robada por ne’er-do-wells, atraparlos es difícil, procesarlos es más difícil, y recuperar la información robada — poner al gato proverbial de nuevo en su bolsa — generalmente es imposible. En esta área, un poco de paranoia es bastante útil, porque la gente realmente está fuera de ti., Por eso es importante que el CSO, el CISO y el director de riesgos (CRO) participen en la protección de la propiedad intelectual. Considere estos ejemplos de la vida real.
- Un ingeniero almorzaba regularmente con un ex jefe que ahora trabajaba para un rival, y se consideraba un héroe por reunir inteligencia competitiva. La información que estaba renunciando a cambio hizo que su empleador, anteriormente el líder del mercado, perdiera tres ofertas importantes en 14 meses.,
- científicos inmigrantes de Europa del Este que estaban trabajando en una defensa estadounidense recibieron invitaciones no solicitadas de sus países de origen para hablar en seminarios o servir como consultores pagados. Las invitaciones les atrajeron como científicos: querían compartir información sobre su trabajo con sus compañeros. Los países consideraban que este tipo de recopilación de inteligencia era más barata que la investigación y el desarrollo.
los pasos a continuación son los mínimos que debe realizar para mantener su IP segura.,
sepa qué propiedad intelectual tiene
si todos los empleados entienden lo que debe protegerse, pueden comprender mejor cómo protegerlo y de quién protegerlo. Para ello, las OSC deben comunicarse de manera continua con los ejecutivos que supervisan el capital intelectual. Reúnase con el CEO, COO y representantes de Recursos Humanos, marketing, Ventas, servicios legales, producción y R&D al menos una vez al trimestre. El liderazgo empresarial debe trabajar de consuno para proteger adecuadamente la P. I.,
sepa dónde está su propiedad intelectual
si centra sus esfuerzos en sus sistemas de ti principales para proteger la IP, pasará por alto otras áreas donde podría almacenarse o procesarse. Estos incluyen:
- impresoras, copiadoras, escáneres y máquinas de fax: sus dispositivos de entrada / salida almacenan los documentos que procesan, y generalmente están conectados en red y conectados a sistemas de administración remota. Deben existir políticas y procedimientos adecuados para purgar estos documentos y protegerlos contra el acceso no autorizado.,
- Aplicaciones en la nube y servicios de intercambio de archivos: estos pueden ser administrados por la empresa O shadow IT. Debe saber qué están utilizando sus empleados para poder restringir los servicios en la nube no autorizados y asegurarse de que los servicios autorizados por la empresa estén configurados y protegidos correctamente.
- dispositivos personales de los empleados: un empleado puede enviar un documento por correo electrónico a casa, normalmente por razones benignas. Eduque a sus empleados sobre el manejo adecuado de la IP y cuente con sistemas de monitoreo para rastrear dónde se envía su IP.,
- Sistemas de terceros: la IP a menudo se comparte con socios comerciales, proveedores o clientes. Asegúrese de que sus contratos con esas partes definen cómo esos terceros deben proteger su IP y tienen controles establecidos para garantizar que se cumplan esos términos.
priorice su propiedad intelectual
las OSC que han estado protegiendo la P. I. Durante años recomiendan hacer un análisis de riesgo y costo-beneficio. Haga un mapa de los activos de su empresa y determine qué información, si se pierde, perjudicaría más a su empresa. Luego considere cuáles de esos activos están en mayor riesgo de ser robados., Juntar esos dos factores debería ayudarte a determinar dónde gastar mejor tus esfuerzos de protección (y dinero).
etiqueta propiedad intelectual valiosa
si la información es confidencial para su empresa, ponga un banner o etiqueta que lo diga. Si los datos de su empresa son de propiedad exclusiva, ponga una nota a tal efecto en cada pantalla de inicio de sesión. Esto parece trivial, pero si termina en la corte tratando de probar que alguien tomó información que no estaba autorizado a tomar, su argumento no se sostendrá si no puede demostrar que dejó en claro que la información estaba protegida.,
Proteja su propiedad intelectual tanto física como digitalmente
la protección física y digital es una necesidad. Bloquee las salas donde se almacenan datos confidenciales, ya sea la granja de servidores o la sala de archivos de papel mohoso. Lleva un registro de quién tiene las llaves. Utilice contraseñas y Limite el acceso de los empleados a bases de datos importantes.
educar a los empleados sobre la propiedad intelectual
la capacitación en sensibilización puede ser eficaz para tapar y prevenir fugas de IP, pero solo si está dirigida a la información que un grupo específico de empleados necesita proteger., Cuando hablas en términos específicos sobre algo en lo que los ingenieros o científicos han invertido mucho tiempo, están muy atentos. Como suele ser el caso, los humanos son a menudo el eslabón más débil de la cadena defensiva. Es por eso que un esfuerzo de protección de PI que cuente con firewalls y derechos de autor, pero que no se centre también en la sensibilización y capacitación de los empleados, está condenado al fracaso.
en la mayoría de los casos, IP abandona una organización por accidente o por negligencia. Asegúrese de que sus empleados sean conscientes de cómo podrían exponer involuntariamente la IP.,tant aplicaciones de mensajería como Whatsapp (35 por ciento)
con el correo electrónico, la IP puede enviarse a la persona equivocada porque:
- El remitente usó una dirección incorrecta The por ejemplo, Outlook insertó automáticamente una dirección de correo electrónico para alguien que no sea el destinatario deseado
- El destinatario reenvió el correo electrónico
- Un archivo adjunto contenía contenido oculto, como en una pestaña de Excel
- Los datos se reenviaron a una cuenta de correo electrónico personal
conozca sus herramientas para proteger la propiedad intelectual
una creciente variedad de herramientas de software están disponibles para el seguimiento de documentos y otras tiendas de IP., Las herramientas de prevención de pérdida de datos (DLP) son ahora un componente central de muchas suites de seguridad. No solo localizan documentos confidenciales, sino que también realizan un seguimiento de cómo se utilizan y quién los utiliza.
cifrar IP en algunos casos también reducirá el riesgo de pérdida. Los datos de la encuesta de Egress muestran que solo el 21 por ciento de las empresas requieren cifrado cuando comparten datos confidenciales externamente, y solo el 36 por ciento lo requiere internamente.,
tome una vista general
si alguien está escaneando la red interna y su sistema de detección de intrusos se apaga, alguien de él generalmente llama al empleado que está haciendo el escaneo y le dice que se detenga. El empleado ofrece una explicación plausible, y ese es el final de la misma. Más tarde, el vigilante nocturno ve a un empleado llevando a cabo documentos protegidos, y su explicación es » Oops…No me di cuenta de que se metió en mi maletín.,»Con el tiempo, el grupo de recursos humanos, el grupo de auditoría, los colegas del individuo y otros notan incidentes aislados, pero nadie los Junta y se da cuenta de que todas estas infracciones fueron perpetradas por la misma persona. Esta es la razón por la que las brechas de comunicación entre infosecurity y grupos de seguridad corporativa pueden ser tan dañinas. La protección IP requiere conexiones y comunicación entre todas las funciones corporativas. El departamento jurídico debe desempeñar un papel en la protección de la PI. También lo hace recursos humanos, TI, R& D, Ingeniería, Diseño gráfico, etc.,
aplicar una mentalidad de contrainteligencia
Si estuviera espiando a su propia empresa, ¿cómo lo haría? Pensar en estas tácticas le llevará a considerar proteger las listas de teléfonos, triturar los papeles en los contenedores de reciclaje, convocar a un consejo interno para aprobar sus publicaciones científicas r&d, u otras ideas que puedan valer la pena para su negocio en particular.,
Think globally
a lo largo de los años, Francia, China, América Latina y los estados de la antigua Unión Soviética han desarrollado reputaciones como lugares donde el espionaje industrial es ampliamente aceptado, incluso fomentado, como una forma de promover la economía del país. Muchos otros países son peores. Un buen recurso para evaluar la amenaza de hacer negocios en diferentes partes del mundo es el índice de percepción de la corrupción publicado cada año por Transparency International., En 2016, el índice de percepción de la corrupción clasificó a los siguientes 12 países como «percibidos como los más corruptos»: Somalia, Sudán Del Sur, Corea del Norte, Siria, Yemen, Sudán, Libia, Afganistán, Guinea-Bissau, Venezuela, Irak y Eritrea.
cómo funcionan los espías IP y los ladrones
Leonard Fuld, un experto en Inteligencia Competitiva, dice que la seguridad laxa de una empresa causa más daño que los ladrones. Todos los datos que los ladrones pueden recopilar de los ejemplos a continuación le dicen a un competidor lo que está haciendo su empresa.,
los ladrones de IP trabajan los teléfonos
John Nolan, historias increíbles de lo que la gente le dirá por teléfono., Las personas como él son la razón por la que las listas aparentemente benignas de nombres de empleados, títulos y extensiones telefónicas, o boletines internos que anuncian jubilaciones o promociones, deben guardarse de cerca. Eso es porque cuanto más sepa Nolan sobre la persona que contesta el teléfono, mejor podrá trabajar con esa persona para obtener información. «Me identifico y digo:’ Estoy trabajando en un proyecto, y me dicen que eres la persona más inteligente cuando se trata de rotuladores amarillos. ¿Es un buen momento para hablar?'», dice Nolan, describiendo sus métodos.,
«Cincuenta de cada 100 personas están dispuestos a hablar con nosotros con ese tipo de información.»¿Los otros 50? Preguntan Qué es Phoenix Consulting Group. Nolan responde (y esto es cierto) que Phoenix es una empresa de investigación que trabaja en un proyecto para un cliente que no puede nombrar debido a un acuerdo de confidencialidad. Quince personas generalmente cuelgan, pero las otras 35 comienzan a hablar. No es una mala tasa de aciertos.
Nolan comienza a tomar notas que eventualmente se abrirán camino en dos archivos., El primer archivo es información para su cliente, y el segundo es una base de datos de 120,000 fuentes anteriores, incluida información sobre su experiencia, lo amigables que eran y detalles personales como sus pasatiempos o dónde fueron a la escuela de posgrado. A menudo, los recolectores de inteligencia de negocios usan tácticas bien practicadas para obtener información sin pedirla directamente, o insinuando que son alguien que no son.
esta táctica se conoce como «ingeniería social».,»Tales estafas también pueden incluir llamadas de «pretexto» de alguien que pretende ser un estudiante que trabaja en un proyecto de investigación, un empleado en una conferencia que necesita papeleo, o la Secretaria de un miembro de la junta que necesita una lista de direcciones para enviar tarjetas de Navidad. La mayoría de esas llamadas no son ilegales. Los abogados dicen que si bien es ilegal pretender ser otra persona, no es ilegal ser deshonesto.
Ir al campo
durante el auge de la tecnología, un vuelo temprano en la mañana de Austin a San José se ganó el apodo de «El pájaro nerd».,»Al trasladar a los empresarios de un centro de alta tecnología a otro, ese vuelo y otros similares se convirtieron en excelentes lugares para que los profesionales de inteligencia competitiva escucharan las discusiones entre compañeros de trabajo o echaran un vistazo a la presentación de PowerPoint o la hoja de cálculo financiera de un compañero de viaje.
cualquier lugar público donde los empleados van, los fisgones también pueden ir: aeropuertos, cafeterías, restaurantes y bares cerca de las oficinas y fábricas de la empresa y, por supuesto, ferias comerciales., Un operativo que trabaja para la competencia puede acorralar a uno de sus investigadores después de una presentación, o hacerse pasar por un cliente potencial para tratar de obtener una demostración de un nuevo producto o aprender sobre los precios de su equipo de ventas. Ese operativo podría simplemente quitarse su placa antes de acercarse a su stand en una feria comercial. Los empleados deben saber no hablar de negocios sensibles en lugares públicos, y cómo trabajar con el Departamento de marketing para asegurarse de que los riesgos de revelar información privilegiada en una feria comercial no superen los beneficios de impulsar el negocio.,
Las entrevistas de trabajo son otra posible filtración. Los competidores atrevidos pueden arriesgarse a enviar a uno de sus propios empleados a una entrevista de trabajo, o podrían contratar a una empresa de inteligencia competitiva para hacerlo. Por el contrario, un competidor podría invitar a uno de sus empleados a una entrevista de trabajo sin otro propósito que recoger información sobre sus procesos.
junte las piezas
de alguna manera, los secretos comerciales son fáciles de proteger. Robarlos es ilegal bajo la Ley de espionaje económico de 1996., Los empleados generalmente saben que son valiosos, y los acuerdos de confidencialidad pueden proteger aún más a su empresa. Lo que es más complicado es ayudar a los empleados a comprender cómo los detalles aparentemente inocuos se pueden unir en una imagen más grande, y cómo una simple lista de teléfonos de la compañía se convierte en un arma en manos de fisgones como John Nolan.
considere este escenario: Nolan una vez tuvo un cliente que quería que averiguara si algún rival estaba trabajando en cierta tecnología., Durante su investigación de Registros Públicos, se encontró con nueve o 10 personas que habían estado publicando artículos sobre esta área especializada desde que eran estudiantes de posgrado juntos. De repente, todos dejaron de escribir sobre la tecnología. Nolan hizo algunos trabajos de fondo y descubrió que todos se habían mudado a cierta parte del país para trabajar para la misma empresa.
nada de eso constituía un secreto comercial o incluso, necesariamente, información estratégica, pero Nolan vio una imagen formándose., «Lo que eso nos dijo fue que se habían detenido porque reconocieron que la tecnología había llegado a un punto en el que probablemente iba a ser rentable», dice Nolan. Luego, al llamar a la gente por teléfono, ir a reuniones donde hablaban sobre otros temas y preguntarles después sobre la investigación de la que ya no hablaban públicamente, la firma de Nolan pudo averiguar cuándo la tecnología llegaría al mercado. Esta información, dice, le dio a su cliente un aviso de dos años sobre los planes de la competencia.,
ir más allá de las zonas grises
otros países pueden tener pautas éticas y legales muy diferentes para la recopilación de información. Casi todo lo que hemos hablado hasta ahora es legal en los Estados Unidos, o al menos podría decirse que está en manos de un abogado inteligente. Hay otro ámbito de la investigación corporativa, el uso de insectos, sobornos, robo e incluso extorsión que se practica ampliamente en otros lugares.
en sus días como consultor de seguridad global, Bill Boni, vicepresidente de seguridad de la información de T-Mobile USA, vio que sucedían varias cosas que probablemente no sucederían en los Estados Unidos., Un banco en América del Sur que sospechaba Espionaje trajo una consultora de seguridad para barrer el lugar de los insectos. Cuando la pérdida de información continuó, el banco contrató un equipo de seguridad diferente. «Encontraron 27 dispositivos diferentes», Recuerda Boni. «Toda la suite ejecutiva estaba conectada para el movimiento y el sonido. El primer equipo que vino a buscar errores probablemente los estaba instalando.»
El espionaje a veces es sancionado-o incluso llevado a cabo-por gobiernos extranjeros, que pueden ver ayudar a las empresas locales a controlar a los rivales extranjeros como una forma de impulsar la economía del país., Es por eso que ningún conjunto de directrices para proteger la propiedad intelectual funcionará en todas partes del mundo. El trabajo de las OSC es evaluar los riesgos para cada país en el que la compañía hace negocios y actuar en consecuencia. Algunos procedimientos, como recordar a las personas que protejan sus computadoras portátiles, siempre serán los mismos. Algunos países requieren más precauciones. Los ejecutivos que viajan a Pakistán, por ejemplo, pueden necesitar registrarse bajo seudónimos, hacer que sus habitaciones de hotel o espacios de trabajo revisen para detectar errores, o incluso que los guardias de seguridad ayuden a proteger la información.,
Use el Internet de las Cosas (IoT)
uno de los entornos más vulnerables es la industria del cuidado de la salud. En muchos hospitales, cada cama puede tener hasta 15 dispositivos biomédicos IoT, con la mitad potencialmente conectada a internet. Los Hackers se están dando cuenta del hecho de que el valor de la información de salud protegida (PHI) es mucho más valioso que la información de identificación personal (PII).
La debilidad en una red hospitalaria a través de estos dispositivos IoT lo convierte en un objetivo más fácil que en el pasado., Se vuelve críticamente peligroso para los pacientes si el hacker comienza a cambiar los protocolos de administración de medicamentos en una bomba conectada a Internet IoT.
La mayoría estará de acuerdo en que los fabricantes de IoT se han apresurado a comercializar sus dispositivos para satisfacer la demanda, sin pensar en cómo protegerlos. Entre los problemas: los procesadores en estos dispositivos son demasiado pequeños para albergar ID, y pocos dispositivos se pueden actualizar. Los fabricantes están trabajando para que los dispositivos sean fáciles de actualizar o se puedan actualizar automáticamente, ya que muchos consumidores no se molestan en realizar actualizaciones por su cuenta.,
dicho esto, la mayoría de los hackers no están lo suficientemente cerca geográficamente como para permanecer dentro del alcance del dispositivo y apuntar al eslabón más débil, el servidor final. Las organizaciones deben desarrollar e implementar sus propias estrategias que podrían incluir la protección de los servidores finales, los servidores centrales y los puntos de acceso inalámbricos, ya que es más probable que sean el objetivo de un robo.
infiltrarse en redes corporativas sin ser detectados y vivir allí durante largos períodos de tiempo
R. P., Eddy, CEO de Ergo, una firma de inteligencia global, dice: «he trabajado en varios equipos de M&A y recomiendo encarecidamente a mis clientes que realicen una auditoría de todas sus protecciones IP, cibernéticas y de otro tipo, para ver qué tan bien protegida está realmente y si realmente la poseen. Si se filtra a China, Rusia o un competidor, tendrá un factor significativo en las finanzas en una adquisición, y no de una buena manera.,»No tenía ningún cliente que aceptara la oferta hasta la adquisición de Verizon/Yahoo, donde más de 500 millones de cuentas de usuario fueron comprometidas por un actor patrocinado por el estado. El precio del acuerdo tuvo que ser reestructurado debido a la credibilidad golpe Yahoo tomó.
para obtener más datos sobre el impacto del robo cibernético de la propiedad intelectual, descargue la infografía a continuación, que es de una encuesta reciente realizada por Bitdefender.
Leave a Reply