Proteção à propriedade intelectual: 10 dicas para manter a PI segura

A propriedade intelectual da sua empresa - sejam patentes, segredos comerciais ou apenas o know-how dos funcionários - pode ser mais valiosa do que seus ativos físicos. Aqui está o estabelecimento de políticas e procedimentos básicos para proteção de PI.

A propriedade intelectual da sua empresa – sejam patentes, segredos comerciais ou apenas o know-how dos funcionários – pode ser mais valiosa do que seus ativos físicos. Aqui está o estabelecimento de políticas e procedimentos básicos para proteção de PI.

A propriedade intelectual (PI) é a força vital de todas as organizações. Não costumava ser. Como resultado, agora mais do que nunca, é um alvo, colocado diretamente na mira por várias formas de ataque cibernético. Testemunhe a longa lista de invasões em Hollywood e na PI da indústria do entretenimento, incluindo “Pirates of the Caribbean” e, mais recentemente, “Game of Thrones” da HBO.

A propriedade intelectual da sua empresa, sejam patentes, segredos comerciais ou apenas o know-how dos funcionários, pode ser mais valiosa do que seus ativos físicos. Os profissionais de segurança devem compreender as forças das trevas que estão tentando obter essas informações de sua empresa e reuni-las de maneira útil. Algumas dessas forças vêm na forma de pesquisadores de “inteligência competitiva” que, em teoria, são regidos por um conjunto de diretrizes legais e éticas cuidadosamente elaboradas pela Society of Competitive Intelligence Professionals (SCIP). Outros são espiões diretos contratados por concorrentes, ou mesmo por governos estrangeiros, que não vão parar por nada, incluindo subornos, roubos ou até mesmo um gravador ativado por pressão escondido na cadeira de seu CEO.

A proteção de PI é um dever complexo com aspectos que caem sob a alçada dos departamentos jurídico, TI, recursos humanos e outros. Em última análise, um diretor de segurança (CSO) ou comitê de risco muitas vezes serve para unificar os esforços de proteção à propriedade intelectual. Com a proteção contra ataques cibernéticos agora crítica, o diretor de segurança da informação (CISO) agora desempenha um papel importante.

O que é propriedade intelectual?

A propriedade intelectual da sua empresa - sejam patentes, segredos comerciais ou apenas o know-how dos funcionários - pode ser mais valiosa do que seus ativos físicos. Aqui está o estabelecimento de políticas e procedimentos básicos para proteção de PI.

PI pode ser qualquer coisa, desde um processo de fabricação específico a planos para o lançamento de um produto, um segredo comercial como uma fórmula química ou uma lista dos países nos quais suas patentes estão registradas. Pode ser útil pensar nisso como uma informação proprietária intangível. A definição formal de PI da Organização Mundial de Propriedade Intelectual (OMPI) é criações da mente – invenções, obras literárias e artísticas, símbolos, nomes, imagens e designs usados ​​no comércio.

A PI está dividida em duas categorias: Propriedade industrial inclui, mas não se limita a patentes de invenções, marcas, desenhos industriais e indicações geográficas. Os direitos autorais abrangem obras literárias como romances, poemas e peças, filmes, música e obras artísticas, por exemplo, desenhos, pinturas, fotografias, esculturas, páginas de sites e projetos arquitetônicos. Os direitos relacionados aos direitos autorais incluem os de artistas performáticos em suas apresentações, produtores de fonogramas em suas gravações e emissoras em seus programas de rádio e televisão.

Para muitas empresas, como as do setor farmacêutico, a propriedade intelectual é muito mais valiosa do que qualquer ativo físico. O roubo de PI custa às empresas dos EUA até US $ 600 bilhões por ano, de acordo com a Comissão de Roubo de Propriedade Intelectual.

Quais são os 4 tipos de propriedade intelectual?

As quatro categorias legalmente definidas de propriedade intelectual para as quais o roubo pode ser processado são:

As patentes concedem o direito legal de excluir qualquer pessoa da fabricação ou comercialização de seus itens tangíveis exclusivos. Eles também podem ser registrados em países estrangeiros para ajudar a impedir que concorrentes internacionais descubram o que sua empresa está fazendo. Uma vez que você detém uma patente, outras pessoas podem se inscrever para licenciar seu produto. As patentes podem durar 20 anos.

Marcas registradas são nomes, frases, sons ou símbolos usados ​​em associação com serviços ou produtos. Uma marca registrada geralmente conecta uma marca com um nível de qualidade sobre o qual as empresas constroem uma reputação. A proteção da marca dura 10 anos após o registro e pode ser renovada perpetuamente.

Os direitos autorais protegem as expressões escritas ou artísticas fixadas em um meio tangível – romances, poemas, canções ou filmes. Um copyright protege a expressão de uma ideia, mas não a ideia em si. O proprietário de uma obra protegida por direitos autorais tem o direito de reproduzi-la, de fazer obras derivadas dela (como um filme baseado em um livro) ou de vender, executar ou exibir a obra ao público. Você não precisa registrar seu material para ter direitos autorais, mas o registro é um pré-requisito se você decidir entrar com um processo por violação de direitos autorais. Um copyright dura a vida do autor mais outros 50 anos.

Os segredos comerciais podem ser uma fórmula, padrão, dispositivo ou compilação de dados que concede ao usuário uma vantagem sobre os concorrentes. É um segredo comercial. Eles são cobertos por leis estaduais, em vez de federais. Para proteger o segredo, uma empresa deve provar que agrega valor para a empresa – que é, na verdade, um segredo – e que as medidas adequadas foram tomadas dentro da empresa para salvaguardar o segredo, como restringir o conhecimento a um punhado de de executivos.

O PI também pode ser simplesmente uma ideia. Se o chefe do seu departamento de P&D tem um momento de eureca durante seu banho matinal e depois aplica sua nova ideia no trabalho, isso também é propriedade intelectual.

Exemplos de roubo de PI

A propriedade intelectual da sua empresa - sejam patentes, segredos comerciais ou apenas o know-how dos funcionários - pode ser mais valiosa do que seus ativos físicos. Aqui está o estabelecimento de políticas e procedimentos básicos para proteção de PI.

Se sua PI for roubada por malfeitores, pegá-los é difícil, processá-los é mais difícil e recuperar as informações roubadas – colocar o proverbial gato de volta em sua bolsa – geralmente é impossível. Nessa área, um pouco de paranóia ajuda bastante, porque as pessoas realmente estão atrás de você. É por isso que é importante que o CSO, o CISO e o diretor de risco (CRO) estejam envolvidos na proteção da propriedade intelectual.

O contribuidor da CSO, Christopher Burgess, oferece estes exemplos da vida real:

Em fevereiro de 2018, a Apple descobriu que o código-fonte do iOS havia sido postado no GitHub. O código em questão permitiria que invasores em potencial “manipulassem o iOS para tornar os jailbreaks do iPhone mais fáceis e potencialmente descobrir vulnerabilidades mais facilmente. Um estagiário da Apple foi considerado o responsável pelo vazamento, tendo compartilhado o código com” cinco amigos ativos no iPhone grupos de jailbreak.”

Em outubro de 2017, um engenheiro da Apple foi demitido por um vídeo postado por sua filha do então protótipo do iPhone X. “A filha do engenheiro postou um vídeo de sua experiência acompanhando o pai ao escritório, e incluía o telefone embargado”, escreve Burgess.

Em maio de 2017, Xu Jiaqiang, um cidadão chinês, se confessou culpado de roubar o código-fonte da IBM, onde havia trabalhado de 2010-2014. “No final de 2015, Xu teve uma reunião cara a cara com policiais disfarçados. Na reunião, Xu observou que o código era o código de seu ex-empregador (IBM). Xu também confirmou a seus interlocutores como ele havia roubado o código antes de sua separação de emprego em maio de 2014 e fez modificações para obscurecer o ponto de origem, a IBM. “

Em fevereiro de 2019, Xiaorong You foi “indiciada por suas ações envolvidas no roubo de segredos comerciais …. Ela é acusada de roubo de segredos comerciais e espionagem econômica após supostamente roubar tecnologias sem bisfenol A (sem BPA) de propriedade de várias empresas, incluindo seus ex-empregadores Coca-Cola e Eastman Chemical Company. O valor colocado no desenvolvimento das tecnologias roubadas é de US $ 119,6 milhões. “

10 etapas para proteger a propriedade intelectual

A propriedade intelectual da sua empresa - sejam patentes, segredos comerciais ou apenas o know-how dos funcionários - pode ser mais valiosa do que seus ativos físicos. Aqui está o estabelecimento de políticas e procedimentos básicos para proteção de PI.

As etapas abaixo são o mínimo que você deve fazer para manter sua PI seguro.

1. Saiba qual propriedade intelectual você possui

Se todos os funcionários compreenderem o que precisa ser protegido, eles poderão entender melhor como protegê-lo e de quem protegê-lo. Para fazer isso, as OSCs devem se comunicar continuamente com os executivos que supervisionam o capital intelectual. Reúna-se com o CEO, COO e representantes de RH, marketing, vendas, serviços jurídicos, produção e P&D pelo menos uma vez por trimestre. A liderança corporativa deve trabalhar em conjunto para proteger adequadamente a PI.

2. Saiba onde está sua propriedade intelectual

Se você concentrar seus esforços em seus principais sistemas de TI para proteger a PI, irá negligenciar outras áreas onde ele pode ser armazenado ou processado. Esses incluem:

  • Impressoras, copiadoras, scanners e aparelhos de fax: Todos os seus dispositivos de entrada / saída armazenam os documentos que processam e normalmente estão em rede e conectados a sistemas de gerenciamento remoto. Políticas e procedimentos adequados precisam estar em vigor para eliminar esses documentos e proteger contra acesso não autorizado.
  • Aplicativos em nuvem e serviços de compartilhamento de arquivos: podem ser gerenciados pela empresa ou TI sombra. Você precisa saber o que seus funcionários estão usando para que possa restringir os serviços em nuvem não autorizados e garantir que os serviços sancionados pela empresa sejam configurados e protegidos adequadamente.
  • Dispositivos pessoais dos funcionários: um funcionário pode enviar um documento por e-mail para casa, normalmente por motivos benignos. Eduque seus funcionários sobre o manuseio adequado de PI e tenha sistemas de monitoramento para rastrear para onde sua PI está sendo enviada.
  • Sistemas de terceiros: a PI geralmente é compartilhado com parceiros de negócios, fornecedores ou clientes. Certifique-se de que seus contratos com essas partes definam como esses terceiros devem proteger sua PI e ter controles em vigor para garantir que esses termos sejam seguidos.

3. Priorize sua propriedade intelectual

CSOs (Chief Security Officers) que protegem a propriedade intelectual há anos recomendam fazer uma análise de risco e custo-benefício. Faça um mapa dos ativos de sua empresa e determine quais informações, se perdidas, prejudicariam mais sua empresa. Em seguida, considere quais desses ativos correm maior risco de serem roubados. Juntar esses dois fatores deve ajudá-lo a descobrir onde melhor gastar seus esforços de proteção (e dinheiro).

4. Rotule propriedade intelectual valiosa

Se as informações forem confidenciais para sua empresa, coloque um banner ou etiqueta nela. Se os dados da sua empresa forem proprietários, coloque uma observação a respeito em todas as telas de login. Isso parece trivial, mas se você acabar no tribunal tentando provar que alguém obteve informações que não estava autorizado a receber, seu argumento não se sustentará se você não puder demonstrar que deixou claro que as informações estavam protegidas.

5. Proteja sua propriedade intelectual tanto física quanto digitalmente

A proteção física e digital é imprescindível. Tranque as salas onde os dados confidenciais são armazenados, seja o farm de servidores ou a sala de arquivamento de papel mofado. Acompanhe quem está com as chaves. Use senhas e limite o acesso dos funcionários a bancos de dados importantes.

6. Eduque os funcionários sobre propriedade intelectual

O treinamento de conscientização pode ser eficaz para conectar e prevenir vazamentos de PI, mas apenas se for direcionado às informações que um grupo específico de funcionários precisa proteger. Quando você fala em termos específicos sobre algo em que engenheiros ou cientistas investiram muito tempo, eles estão muito atentos. Como costuma acontecer, os humanos costumam ser o elo mais fraco da cadeia defensiva. É por isso que um esforço de proteção de PI que conta com firewalls e direitos autorais, mas não se concentra também na conscientização e treinamento dos funcionários, está fadado ao fracasso.

Na maioria dos casos, a PI deixa uma organização por acidente ou por negligência. Certifique-se de que seus funcionários estão cientes de como eles podem expor PI involuntariamente. De acordo com um estudo de fevereiro de 2019 da Egress Software Technologies, as tecnologias mais comuns por meio das quais dados confidenciais como PI são acidentalmente violados são:

  • E-mail externo como uma conta do Gmail ou Yahoo (51 por cento)
  • Email corporativo (46 por cento)
  • Compartilhamento de arquivos via FTP (40 por cento)
  • Ferramentas de colaboração como Slack ou Dropbox (38 por cento)
  • SMS ou aplicativos de mensagens instantâneas como Whatsapp (35 por cento)

Com o e-mail, o dado pode ser enviado para a pessoa errada porque:

  • O remetente usou um endereço errado – por exemplo, o Outlook inseriu automaticamente um endereço de e-mail de outra pessoa que não o destinatário pretendido
  • O destinatário encaminhou o e-mail
  • Um anexo continha conteúdo oculto, como em uma guia do Excel
  • Os dados foram encaminhados para uma conta de e-mail pessoal

7. Conheça suas ferramentas para proteger a propriedade intelectual

Uma variedade crescente de ferramentas de software está disponível para rastrear documentos e outros armazenamentos de PI. As ferramentas de prevenção de perda de dados (DLP) são agora um componente central de muitos pacotes de segurança. Eles não apenas localizam documentos confidenciais, mas também controlam como eles estão sendo usados ​​e por quem.

Em alguns casos, criptografar a PI também reduzirá o risco de perda. Os dados da pesquisa Egress mostram que apenas 21 por cento das empresas exigem criptografia ao compartilhar dados confidenciais externamente, e apenas 36 por cento a exigem internamente.

8. Tenha uma visão geral

Se alguém está escaneando a rede interna e seu sistema de detecção de intrusão dispara, alguém de TI normalmente liga para o funcionário que está fazendo a varredura e diz a ele para parar. O funcionário oferece uma explicação plausível e ponto final. Mais tarde, o vigia noturno vê um funcionário carregando documentos protegidos, e sua explicação é “Opa … não sabia que havia entrado na minha pasta.” Com o tempo, o grupo de recursos humanos, o grupo de auditoria, os colegas do indivíduo e outros notam incidentes isolados, mas ninguém os junta e percebe que todas essas violações foram perpetradas pela mesma pessoa. É por isso que as lacunas de comunicação entre os grupos de segurança de informações e segurança corporativa podem ser tão prejudiciais. A proteção de PI requer conexões e comunicação entre todas as funções corporativas. O departamento jurídico deve desempenhar um papel na proteção da PI. O mesmo acontece com recursos humanos, TI, P&D, engenharia, design gráfico e assim por diante.

9. Aplique uma mentalidade de contra-inteligência

Se você estivesse espionando sua própria empresa, como faria isso? Pensar nessas táticas o levará a considerar a proteção de listas de telefones, rasgando os papéis nas latas de reciclagem, convocando um conselho interno para aprovar as publicações dos cientistas de P&D ou outras idéias que possam valer a pena para o seu negócio em particular.

10. Pense globalmente

Ao longo dos anos, França, China, América Latina e os Estados da ex-União Soviética desenvolveram reputação de locais onde a espionagem industrial é amplamente aceita, até mesmo incentivada, como forma de promover a economia do país. Muitos outros países são piores. Um bom recurso para avaliar a ameaça de fazer negócios em diferentes partes do mundo é o Índice de Percepção da Corrupção publicado anualmente pela Transparency International. Em 2020, o Índice de Percepção de Corrupção classificou os 5 países a seguir como “considerados os mais corruptos”: Sudão do Sul, Somália, Síria, Iêmen e Venezuela.

Fonte: www.csoonline.com

Posts relacionados: Reino Unido lança orientação sobre a adoção de uma arquitetura Zero Trust / NSA lança novo guia sobre implementação do modelo de segurança Zero Trust e NIST – 7 princípios de Zero Trust explicados