En esta tercera entrega de mis posts relacionados con la propiedad intelectual quiero daros una breve visión de la auditoría que se realiza en relación a la propiedad intelectual en una empresa y también mostraros una serie de controles y buenas prácticas que nos ayudan a gestionar los riesgos que comente en la anterior entrega.
Una auditoría relacionada con la P.I es en definitiva un examen del patrimonio de P.I que utiliza, que posee o que ha obtenido la empresa. El objetivo es definir los posibles riesgos e informar a los responsables de la planificación empresarial para que en consecuencia puedan definir estrategias para mantener y mejorar la situación de la empresa.
En el cuadro que muestro en la siguiente imagen se puede ver un ejemplo de auditoría de P.I. Como mínimo una auditoría de P.I debe identificar los activos de P.I de la empresa y que importancia tienen para el negocio.
Como vemos en la imagen los activos que se identifican se dividen en internos y externos. Los internos incluyen elementos de dentro de la empresa que pueden constatarse de modo directo y no debería de depender de ninguna influencia externa. Los externos serían todos los elementos que dependen de influencias externas o de mercado.
Una vez identificados los activos son examinados para determinar ciertas propiedades asociados a los mismos como: quién es su propietario, si siguen estando vigentes y pueden hacerse valer jurídicamente, y si se está haciendo uso de ellos en la práctica. Además También se debe medir la importancia de cada uno de los activos, teniendo en cuenta si corresponden a tecnologías esenciales para la empresa, cuál es la expectativa de vigencia de los derechos de P.I., y si existe una exclusividad, real o potencial, sobre la tecnología. Respecto a estimar el valor en mi blog anterior explicaba este concepto y es justo lo que se aplica para saber el valor en este ejemplo.
Gracias a este documento podemos analizar los resultados obtenidos y vemos que los elementos más valiosos del activo son, claramente, la imagen de marca de la empresa y las de sus productos, y la patente P1. Utilizando estos datos más los del estudio de riesgos asociados a la P.I podremos obtener resultados interesantes. La importancia de este tipo de auditoria reside en que al obtener resultados e informar de ellos a la dirección de la empresa, esta puede tomar decisiones basadas en las medidas que deben adoptarse para proteger su P.I.
Una vez auditada la P.I surge la pregunta ¿Cómo proteger la P.I y controlar los riesgos?
Lo más básico para proteger la P.I reside en mecanismos legales, existen tres tipos para proteger de esta forma:
1- Patenetes: Protegen derechos de inventos de innovación tecnológica.
2.- CopyRights: En el ámbito informático valdría para proteger el software.
3.- Trademarks: Protege palabras y símbolos que son necesarios para identificar a la empresa en el mercado mediante la marca.
Una vez protegidos legalmente vienen los problemas de seguridad y los riesgos asociados a ellos. Ahí es donde entran los estándares de seguridad, en este caso se utilizaría la ISO/IEC 27002 un estándar publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. Muchos de los riesgos que controlaremos con este estándar están relacionados con la ciberseguridad y el cibercrimen. Respecto a la P.I podríamos aplicar controles como:
7. Seguridad Ligada a los recursos humanos:
8.1 Responsabilidad sobre los activos.
9.1 Requisitos de negocio para el control de accesos.
9.2 Gestión de acceso de usuario.
9.3 Responsabilidades del usuario.
9.4 Control de acceso a sistemas y aplicaciones
10 Cifrado
11.2 Seguridad de los equipos
12.1.4 Separación de entornos de desarrollo, prueba y producción.
12.2 Protección contra código malicioso.
12.3 Copias de seguridad.
12.4 Registro de actividad y supervisión.
12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en producción.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software.
12.7 Consideraciones de las auditorías de los sistemas de información
13.1 Gestión de la seguridad en las redes.
13.2 Intercambio de información con partes externas
15.1 Seguridad de la información en las relaciones con suministradores.
15.2 Gestión de la prestación del servicio por suministradores
Mediante estos controles podremos garantizar la seguridad de cara a nuestros propios recursos de P.I con respecto a riesgos internos o externos. Pero no solo debemos cuidar nuestra P.I también es necesario tener él cuenta que deberemos asegurar el cumplimiento de las restricciones legales sobre el uso de materiales de terceros protegidos por P.I. El apartado 18 de este iso nos habla de este cumplimiento:
– Mantener la conformidad de los derechos de autor del software.
– Adquirir el software solamente a través de fuentes conocidas.
– Mantener los documentos que acrediten la propiedad de licencias como los manuales.
– Implantar controles para asegurar que no se exceda el número máximo de usuarios permitidos.
– Comprobar que se instale solo software autorizado y productos bajo licencia.
– Establecer una política de mantenimiento y de eliminación de software y de su transferencia a terceros.
Uno de los mayores riesgos para la P.I de la empresa, como vimos en el post anterior, reside dentro de la propia empresa, y son sus propios empleados o proveedores. Los siguientes puntos podría ser una “Guía de buenas prácticas” que recomendaría usar a una empresa para evitar riesgos de esta índole:
1.- Los empleados y los proveedores deben estar obligados a firmar un código de conducta, un acuerdo de confidencialidad y acuerdos de no divulgación antes de comenzar a trabajar. Es muy importante que los empleados tengan obligaciones legales sobre la información confidencial de la compañía, pero también deben entender la importancia de cumplir con ellas. Además de esto se debe recordar a los empleados regularmente sus obligaciones para mantener el secreto de la información propietaria de la empresa mediante auditorías regulares.
2.- La información confidencial almacenada electrónicamente debe ser accesible sólo en base a la necesidad y de forma restringida. Un ejemplo de mala práctica podría ser el caso de empleados que no están trabajando en cierta sección de un proyecto en concreto y tienen acceso a la propiedad intelectual de todo el proyecto, en este caso cada trabajador debería tener acceso limitando a la propiedad intelectual de la parte en la que está trabajando.
3.- Se le debe revocar el acceso a la propiedad intelectual a un empleado en cuanto éste abandone la compañía.
4.- Se debe realizar una entrevista de salida al empleado que vaya a abandonar la compañía para dar fe de que no se lleva ninguna información o ninguna propiedad intelectual de la empresa que pueda llevar a su posible nueva empresa. Es también importante para saber los futuros planes del empleado que se va. Es importante saber si el empleado quiere irse a una empresa de la competencia o si quiere formar su propia empresa con los conocimientos adquiridos.
5.- Si se descubre actividad sospechosa por parte del empleado, hay que considerar la realización de una investigación a gran escala de la conducta reciente del empleado. Esto debe incluir, por ejemplo, un análisis forense de los dispositivos electrónicos del empleado, incluyendo cualquier ordenador portátil de la empresa.
En conclusión, con estos controles y guías podremos prevenir y gestionar los riesgos de los que hable en el post anterior.
REFERENCIAS:
[1] Protecting Intellectual Property: Best Practices. Disponible en: http://searchsecurity.techtarget.com/opinion/Protecting-Intellectual-Property-Best-Practices
[Consulta 26 Nov. 2016].
[2] What is Intellectual Property Risk?- by Protiviti. Disponible en: http://info.knowledgeleader.com/bid/164620/What-is-Intellectual-Property-Risk
[Consulta 26 Nov. 2016].
[3] Controles iso ISO/IEC 27002:2013. Disponible en: http://www.iso27000.es/download/ControlesISO27002-2013.pdf
[Consulta 27 Nov. 2016].
[4] Guía para practicar auditorías de P.I.- Ian Cockburn. Disponible en: http://www.wipo.int/sme/es/documents/ip_audit.htm
[Consulta 28 Nov. 2016].
[5] DERECHOS DE PROPIEDAD INTELECTUAL (DPI) – Disponible en: https://sites.google.com/a/istpargentina.edu.pe/madelein/home/identificacion
[Consulta 28 Nov. 2016].
[6] Insiders attack in Cyber Security – Discussion by Pulkit789 – Disponible en: http://www.isaca.org/Groups/Professional-English/cybersecurity/Pages/ViewDiscussion.aspx?PostID=236
[Consulta 28 Nov. 2016].
Aritz Martín Acosta
Latest posts by Aritz Martín Acosta (see all)
- Nuestro yo en la red - 8 febrero, 2017
- ¿Locura o genialidad? ¡Se raro! - 13 diciembre, 2016
- La propiedad intelectual para los desarrolladores. - 30 noviembre, 2016
Muy buen post, Aritz. Muy completo !
Muy buen aporte, muy interesante.