ISACA Journal
Volume 3, 2,018 

Translated Articles 

Protección de la propiedad intelectual para las joyas de la corona de alta tecnología 

Ray Cheung, CISA, CITP, CPA, and Mike Porter, CISSP 

El robo de propiedad intelectual (PI) es una amenaza emergente y un tema de conversación en la sala de juntas para organizaciones en todo Estados Unidos, particularmente para aquellos en la industria de alta tecnología. No es necesario buscar más allá del Informe de la Comisión PI, actualizado en febrero del 2017, para ver la magnitud del riesgo que presenta esta cuestión. Este informe estima que el costo del robo de secretos comerciales es del 1 al 3 por ciento del Producto Interno Bruto (PIB) de los EE. UU., lo que se traduce entre una reducción de US $180 mil millones a $540 mil millones.1 Mientras el gobierno está impulsando iniciativas para frenar estas pérdidas, las organizaciones no deben esperar por una legislación que puede ser difícil de implementar o que no aborde la fuente del riesgo.

El robo de PI puede ser desastroso. Con la posibilidad de que los ladrones de PI invadan tanto desde el interior como el exterior, las organizaciones deben abordar el riesgo utilizando un enfoque proactivo y holístico que abarca personas, procesos y tecnología. Esto requiere una comprensión integral del riesgo inherente asociado con la propiedad intelectual y, a su vez, la implementación de controles administrativos y técnicos efectivos.

El alto costo del robo de PI

Los casos de robo y fuga de PI pueden ser devastadoramente costosos para las empresas. Los ladrones pueden filtrar la propiedad intelectual directamente a los consumidores, como sucedió con parte del contenido de HBO robado en 2017,2 o con la competencia de una organización. De cualquier manera (y, a veces, ambos escenarios se despliegan), los ladrones pueden echar a perder las estrategias comerciales existentes y las fuentes de ingresos esperadas y dejar un camino de costos imprevistos a medida que se investigan, diagnostican y remedian las infracciones.

Si un pirata informático malintencionado roba PI, el pirata informático puede crear una factura deslumbrante para la víctima, lo que le cuesta a la organización mucho tiempo y dinero reparar cualquier material dañado e instituir medidas de precaución para evitar incidentes similares en el futuro. Sony Pictures fue noticia en 2014 cuando los empleados fueron recibidos con imágenes de un esqueleto rojo en sus estaciones de trabajo, alertándoles de que el estudio había sido pirateado por los “Guardianes de la Paz”.3 El estudio sufrió enormes pérdidas monetarias debido al robo de activos de propiedad intelectual (incluidos guiones y películas), así como daños a la reputación debido a la filtración de correos electrónicos embarazosos. Los costos de TI por sí solos le costaron a la compañía un estimado de US $35 millones.4

El costo de Sony Pictures fue sustancial, pero la compañía pudo superar el incidente y continuar sus operaciones normales después de realizar las respuestas adecuadas para proteger su PI restante. Sin embargo, otras organizaciones que son víctimas del robo de propiedad intelectual no siempre son tan afortunadas; para algunos, el daño es mucho más profundo.

Ese fue el caso de American Superconductor Inc. (ahora conocido como AMSC), una compañía de energía que vendió su tecnología de turbinas eólicas a otras compañías como su principal fuente de ingresos.5 Cuando un cliente que representaba más de la mitad de sus ingresos contrató a un empleado de AMSC para obtener secretos comerciales de la tecnología de turbinas, la pérdida de ese cliente resultó en un revés financiero tan grande que la empresa se vio obligada a despedir a la mitad de su mano de obra de 900 empleados y los precios de sus acciones se desplomaron.6 El Departamento de Justicia de los EE. UU. (DOJ) estimó las pérdidas de la compañía en US $800 millones7 y la compañía ha tenido problemas para recuperar su fortaleza anterior. Esto es sólo un ejemplo; los eventos de espionaje corporativo han afectado a numerosas organizaciones, como las subvenciones globales IBM y Siemens.8

Toda organización debe reconocer la protección de PI como una prioridad permanente. Como demuestran los ejemplos de Sony Pictures y AMSC, el robo de PI puede resultar en pérdidas financieras aplastantes, estrategias comerciales comprometidas y efectos perjudiciales irreversibles en las operaciones comerciales. El daño adicional causado a la reputación de una organización víctima, mientras más difícil para cuantificar, no debe subestimarse. Una organización puede ver empañada su imagen pública, y los clientes podrían mostrarse reacios a hacer negocios con ella por temor a que sus datos sean atacados en el futuro.

Factores de riesgo

Las empresas de alta tecnología podrían ser particularmente vulnerables al robo de propiedad intelectual debido a varios factores.

Relaciones Internacionales
El control de PI se vuelve más importante y más complicado cuando una organización tiene relaciones internacionales, lo cual es común para las compañías de tecnología (por ejemplo, una compañía de tecnología que usa fabricantes de componentes extranjeros). La colaboración y la coordinación globales pueden, por supuesto, ofrecer varias ventajas para la fabricación y el desarrollo de productos de PI, pero también pueden aumentar el riesgo inherente de gestionar los datos relacionados. Si nada más, estas relaciones crean una capa adicional de complejidad al abordar consideraciones legales para la protección de patentes, marcas comerciales y derechos de autor. La necesidad de traducir PI a otro idioma también puede ofuscar el flujo de dichos datos.

Las relaciones internacionales también pueden generar el riesgo de soborno. El riesgo de soborno varía mucho de un país a otro.9 Si bien la mera existencia de riesgo de soborno no debe excluir a posibles colaboradores de la consideración, pone de relieve la necesidad de que una organización tenga en cuenta los climas culturales, económicos y políticos de todos sus socios comerciales.

Cantidad de PI
Cuando se trata de PI, una organización puede tener una relación de riesgo estándar e inversa con su cantidad de datos de PI. Por un lado, el riesgo de robo de PI sigue un modelo estándar, aumentando a medida que aumenta la cantidad de PI. Por otro lado, una cantidad limitada de PI puede representar un riesgo desproporcionado si ese PI es esencial para la actividad principal del negocio. La exposición de dichos datos de PI podría ser catastrófica para las organizaciones que dependen de un solo servicio, tecnología o algoritmo.

Formato de PI
El formato de PI puede afectar en gran medida la facilidad de administración y los controles proporcionales que una organización puede implementar para protegerlo. Para algunas empresas, la propiedad intelectual viene en formatos definidos y reside en repositorios bien controlados: por ejemplo, una empresa de desarrollo de software cuyo código fuente se controla a través de un sistema de control de versiones de la empresa.

Pero el formato de PI puede ser más difícil de entender, definir y controlar en otras organizaciones. Cuando la propiedad intelectual toma la forma de procesos de negocios, esquemas técnicos (en una variedad de formatos) o contenido creativo, puede ser menos obvio dónde se deben insertar los controles.

La mayoría de las grandes organizaciones se encuentran en ambos barcos. Parte de su PI está bien definida, con un inventario claro y procesos comerciales entendidos, mientras que otra PI es difícil de definir, descubrir y, en última instancia, controlar.

Controles de administración

Los controles de administración de una organización son su primera línea de defensa contra el robo de PI. Un enfoque tripartito puede ser de gran ayuda para controlar el riesgo.

Vetting de empleados
La información recopilada durante el proceso de contratación generalmente ayuda a los gerentes de contratación a tomar decisiones informadas y consideradas. Pero sin controles adecuados para ver que los procesos de verificación de antecedentes se ejecutan por completo, el equipo de administración no puede estar seguro de que se filtre a los empleados con “problemas”.

Una vez que los candidatos pasan el proceso de selección y son contratados, se les debe pedir que firmen contratos de empleados que incluyen términos legalmente exigibles para proteger los activos comerciales críticos en casos de disputas o malversación de empleados. Estos términos deben abordar:

  • Propiedad de PI
  • Definiciones de PI relevante
  • Uso y movimiento apropiados de los datos de PI (incluidos los acuerdos de no divulgación)
  • Restricciones a la competencia
  • Sanciones por incumplimiento
  • Resolución de conflictos

No es suficiente tener políticas, estándares y procedimientos sólidos; las organizaciones también deben comunicar estos requisitos a los empleados. Nueva contratación y la capacitación puede ayudar a los empleados a comprender sus responsabilidades y derechos.

Contratación del proveedor
Las organizaciones también deben considerar sus contratos con proveedores y otros terceros involucrados en el desarrollo y fabricación de sus productos o servicios. Los conceptos descritos para los empleados se aplican por igual a terceros.

Estas son algunas preguntas importantes que las organizaciones deben hacer en este frente:

  • ¿Quién tiene acceso a la PI crítica de la organización?
  • ¿Quién juega un papel vital en el desarrollo y la producción de PI?
  • ¿Dónde operan los terceros?
  • ¿Tienen esas jurisdicciones requisitos de PI más estrictos o menos estrictos?

Las organizaciones deben conocer el PI que están tercerizando al evaluar los riesgos y controles de proveedores y colaboradores. Como mínimo, las organizaciones deben identificar qué comprende su PI, quién lo controla y cómo está protegido. También deben examinar minuciosamente sus acuerdos de licencia de PI para determinar si los acuerdos prohíben la subcontratación de la propiedad intelectual sin autorización.

Si bien la protección de los derechos de PI en los Estados Unidos es relativamente sencilla, debido al estricto régimen de ejecución construido en torno a tales derechos, podría convertirse en un desafío mayor para hacer cumplir los derechos en otros lugares. Para evitar tales obstáculos, las organizaciones deben establecer controles para determinar si los países de origen de los colaboradores son signatarios de los diversos tratados internacionales de protección de la propiedad intelectual.

Clasificación
La clasificación PI implica categorizar PI en diferentes grupos o etiquetas según la sensibilidad. La clasificación permite a las organizaciones que los procesos comerciales fluyan libremente en los casos de datos de bajo riesgo a la vez que prioriza la información de mayor riesgo para controles adicionales. Esto ahorra costos relacionados con la implementación de tecnologías de seguridad, monitoreo de flujo de datos y control del acceso al sistema. Por ejemplo, “altamente confidencial” podría abarcar toda la propiedad intelectual que podría causar un daño importante y una pérdida financiera tremenda si se filtrara. Esta clase de PI debe estar asegurada con el estándar más alto y con mayor uso de recursos. Al construir controles en torno a la clasificación de PI, las organizaciones pueden ejercer un mayor control sobre su información y reducir las probabilidades de una violación de datos. Los estándares de clasificación deben estar estrechamente integrados con los procesos de gestión de identidad y acceso (tanto para los empleados como para los proveedores). Sin la implementación de autorizaciones de seguridad, la clasificación de datos no logrará evitar la exposición de datos. Las organizaciones deben considerar estas autorizaciones en todos los niveles relevantes, incluido el acceso a redes, archivos compartidos, aplicaciones y bases de datos.

Controles técnicos

Los controles técnicos también pueden reducir el riesgo de robo de PI.

Controles fronterizos
Al igual que con la mayoría de las áreas de seguridad de datos, los puntos de control más críticos (y lógicos) para los datos de PI se relacionan con los límites de la red de una organización. Los controles relacionados con el correo electrónico saliente, los mecanismos de transferencia de datos permitidos, la inspección del tráfico cifrado y el uso de servicios en la nube son vitales para evitar el robo de la fruta “low-hanging“ de los datos de PI. Implementar estos controles puede ser más fácil decirlo que hacerlo, pero las organizaciones no deberían dejar estos conceptos fuera de una campaña de protección de PI más amplia.

Descubrimiento de datos
A medida que las organizaciones buscan controlar mejor su PI, es necesario comprender el alcance y el uso de dichos datos en toda la organización. Esta es una tarea particularmente desalentadora para grandes organizaciones con muchas líneas de productos, instalaciones de fabricación, oficinas internacionales o relaciones con proveedores, pero ninguna organización puede proteger un activo si no conoce la existencia del activo. Aquí es donde las herramientas de descubrimiento de datos se vuelven cruciales para administrar la PI.

Estas herramientas pueden venir en múltiples formas, como monitoreo pasivo de red, escaneo activo de dispositivos o marcado basado en el usuario. Las herramientas de descubrimiento de datos que realizan escaneos automáticos para descubrir dónde residen los datos se incluyen en numerosos conjuntos de herramientas de prevención de pérdida de datos (DLP) y también están disponibles como productos y servicios independientes. En los próximos años, los avances en las técnicas de aprendizaje automático producirán nuevas herramientas para ayudar a automatizar estos esfuerzos de descubrimiento, y algunos proveedores tecnológicos ya se están moviendo en esta dirección. Sin embargo, no existen soluciones mágicas en este punto. Las organizaciones deben seleccionar herramientas diseñadas específicamente para identificar los tipos de datos que les interesan. Este enfoque probablemente resultará en la adopción de múltiples herramientas para identificar datos en repositorios como bases de datos, archivos compartidos, archivos locales, correo electrónico y servicios en la nube.

Prevención de pérdida de datos
Asumiendo que una organización tiene una comprensión sólida del tipo de datos de PI que utiliza, cómo se clasifican los datos y dónde residen los datos en la red, puede usar tecnologías DLP para controlar aún más los datos. Las soluciones DLP se presentan en varias formas que abordan áreas específicas o componentes técnicos de la infraestructura de TI, incluidos el correo electrónico, los puntos finales, los servicios en la nube o el movimiento a través de la red interna. Las herramientas apropiadas dependerán en gran medida de las áreas de riesgo específicas de la organización en términos de formato de datos, movimiento y sensibilidad.

Revisión y sistemas de control de código fuente
Los datos de PI que toman la forma de código fuente o archivos que están sujetos a modificaciones y revisiones constantes deben ser administrados y monitoreados por un sistema de control de versiones. Al igual que con todos los sistemas de TI sensibles, un sistema de control de versiones debe ser accesible solo por personal autorizado, reforzado y sujeto a una supervisión sólida. Los repositorios centrales como estos a menudo se complementan con el uso de tecnologías DLP. Cualquier anomalía relacionada con el movimiento de datos o modificaciones no autorizadas debe investigarse para preservar la confidencialidad e integridad de la propiedad intelectual.

Empezando

Para las organizaciones que desean administrar de manera más efectiva la seguridad de su PI, el proceso debe comenzar con un simple enfoque de tres pasos:

  1. Identificar. Las organizaciones primero deben identificar y comprender sus datos. Las encuestas pueden ser una herramienta muy útil para que el proceso avance. Al encuestar a los empleados de todo el negocio, una organización puede comenzar a comprender el alcance y la complejidad de su PI y luego reducir el enfoque para conversaciones y evaluaciones más detalladas. Algunos ejemplos de preguntas de la encuesta incluyen:
    • ¿Cómo define tu equipo la propiedad intelectual?
    • ¿Cuáles son sus umbrales para considerar algo sensible?
    • ¿Qué forma tiende tomar la PI con la que trabajas? ¿Formato conceptual? ¿Formato de archivo?
    • ¿Etiquetas o clasificas PI de alguna manera?
    • ¿Cuáles son los repositorios específicos utilizados para almacenar PI? ¿Compartir archivos, bases de datos, repositorios de código, etc.?

      Una organización también puede identificar PI mediante el uso de herramientas automatizadas que pueden escanear redes según el tipo de archivo, el contenido del archivo (procesamiento del lenguaje natural), los metadatos o las etiquetas de clasificación. La utilidad de estas herramientas dependerá de la forma de PI de la organización: cuanto más PI toma una forma definida o tiene marcadores consistentes, las herramientas serán más efectivas.

      Por ejemplo, comenzando con un sistema conocido de alto riesgo, como un sistema de control de código fuente, una organización puede mapear los flujos de datos entrantes y salientes para comprender otros sistemas y redes que deben considerarse desde una perspectiva de riesgo. Esto permitirá que la organización desarrolle una comprensión del formato de los datos y las formas en que pueden identificarse o etiquetarse en el futuro.
  2. Control. Una vez que los datos de PI de la organización se entienden mejor, el siguiente paso es comenzar a aplicar controles. Los controles deberían implementarse en función del riesgo y las necesidades de la empresa. Lograr el equilibrio entre controlar el flujo de datos y permitir que la empresa funcione de manera eficiente y efectiva siempre plantea un desafío. Una combinación de controles de gestión y técnicos (como se describió anteriormente) debe considerarse y aplicarse según corresponda.

    Por ejemplo, una organización puede comenzar con sus controles con “low-hanging fruits”. Puede finalizar flujos de datos innecesarios, cifrar todos los canales de flujo de datos que salen de la organización y revisar el acceso de los usuarios al sistema. La organización puede continuar aplicando capas en los controles a un nivel que le permita a la empresa operar de manera efectiva a la vez que se maneja el riesgo a un nivel aceptable.
  3. Evaluar. Cualquier entorno de control debe evaluarse regularmente para responder preguntas importantes como estas:
    • ¿Los controles funcionan como se espera?
    • ¿Se puede lograr un nivel de control similar con menos fricción?
    • ¿Los controles actuales están alineados con escenarios de riesgo nuevos y emergentes?
    • ¿Qué comentarios se reciben de la empresa?
    Por ejemplo, una organización puede optar por comenzar observando los eventos pasados y las implementaciones de controles realizando auditorías o entrevistando a las partes interesadas clave. Esto ayudará a tratar de identificar formas en que la monitorización continua, 100 por ciento de las pruebas o los informes sin fricción se pueden integrar en la estrategia de control.

El cuadro grande

Asegurar la propiedad intelectual comienza con una comprensión profunda de las necesidades y objetivos de la organización, así como del riesgo relacionado. A partir de ahí, los controles administrativos y técnicos pueden dar grandes pasos hacia la protección de los datos. Pero las organizaciones que buscan la tranquilidad con respecto a la seguridad de su valiosa PI serían negligentes al no considerar los matices de la administración de empleados y el derecho internacional.

Notas finales

1 The Commission on the Theft of American Intellectual Property, “Update to the IP Commission Report,” February 2017, http://ipcommission.org/report/IP_Commission_Report_Update_2017.pdf
2 Fung, B.; C. Timberg; “How Bad Is the HBO Hack? The Company Is Still Struggling to Find Out,” The Washington Post, 3 August 2017, https://www.washingtonpost.com/news/the-switch/wp/2017/08/03/how-bad-is-the-hbo-hack-the-company-is-still-struggling-to-find-out/?utm_term=.b4a39ed54962
3 Peterson, A.; “The Sony Pictures Hack, Explained,” The Washington Post, 18 December 2014, https://www.washingtonpost.com/news/the-switch/wp/2014/12/18/the-sony-pictures-hack-explained/?utm_term=.d64e0dbc5938
4 Zetter, K.; “Evidence Suggests the Sony Hackers Are Alive and Well and Still Hacking,” Wired, 12 February 2016, https://www.wired.com/2016/02/evidence-suggests-the-sony-hackers-are-alive-and-well-and-still-hacking/
5 Department of Justice, Office of Public Affairs, “Sinovel Corporation and Three Individuals Charged in Wisconsin With Theft of AMSC Trade Secrets,” USA, 27 June 2013, https://www.justice.gov/opa/pr/sinovel-corporation-and-three-individuals-charged-wisconsin-theft-amsc-trade-secrets
6 Sears, C.; M. Isikoff; “Chinese Firm Paid Insider to ‘Kill My Company,’ American CEO Says,” NBC News, 6 August 2013, https://www.nbcnews.com/news/other/chinese-firm-paid-insider-kill-my-company-american-ceo-says-f6C10858966
7 Ibid.
8 Burgess, C.; “China’s Theft of IBM’s Intellectual Property,” CSO, 22 May 2017, https://www.csoonline.com/article/3197751/security/chinas-theft-of-ibms-intellectual-property.html
9 TRACE International Inc., TRACE Bribery Risk Matrix, 2016, https://www.traceinternational.org/trace-matrix?year=2016

Ray Cheung, CISA, CITP, CPA
Es un director general y dirige el grupo de alta tecnología en consultoría de riesgos en Crowe Horwath LLP, una de las mayores firmas de contabilidad, consultoría y tecnología en los Estados Unidos. Tiene más de 25 años de experiencia en contabilidad pública e industria privada, resolviendo problemas comerciales al identificar ineficiencias de control a través de la implementación de tecnología y mejoras al proceso de control. Cheung tiene una gran experiencia en la prestación de servicios de consultoría independientes de alta gerencia y alta dirección en el sector de alta tecnología y en otras industrias. Anteriormente, Cheung fue director general de servicios de asesoramiento de riesgos para una firma de contabilidad nacional y una firma Big Four. También fue el director de información de una start-up y vicepresidente del grupo de administración de tecnología de Visa International. Cheung puede ser contactado en ray.cheung@crowehorwath.com.

Mike Porter, CISSP
Es un gerente en el grupo de soluciones de ciberseguridad de consultoría de riesgos en Crowe Horwath LLP. Su experiencia incluye proyectos de diseño e implementación de sistemas para una variedad de tecnologías que incluyen seguridad de punto final, prevención de pérdida de datos, controles de acceso a la red y administración de identidad y acceso. Porter puede ser contactado en mike.porter@crowehorwath.com.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.