Riesgos, riesgos, riesgos, … De eso va la auditoría, no?

Hemos visto durante los primeros artículos la enorme importancia que tienen las propiedades intelectuales. Cómo son la base sobre la cual las empresas se apoyan, las distingue y las hace competitivas frente al resto. Es lo que marca la diferencia entre los mejores y el resto.

Como todo lo que es valioso, a las empresas les interesa protegerlo y cuidarlo. Las empresas u organizaciones al estar compuestas por personas los riesgos de los que se debe proteger a las propiedades intelectuales se pueden distribuir en dos categorías básicas: Que no la roben y que no se pierda.

Un riesgo muy habitual en organizaciones de cualquier tamaño es la infrautilización de alguna PI. Es común encontrarse que se está pagando un servicio al que no se le está dando uso; perder documentos al marcharse la gente del equipo; olvidar donde se encuentran ciertos documentos; olvidar que se tiene un dominio web porque no se le da uso; no hacer uso de las herramientas legales para proteger las PI; o, directamente, no saber que se tiene alguna PI.

Estos son riesgos internos de la organización. Son cuestiones que normalmente perjudican a la organización por no aprovechar bien sus recursos, pero el impacto suele ser pequeño en comparación con los riesgos externos.

Los riesgos externos de la PI es que sea robada. Hablamos de casos en los que la competencia logra información delicada o consigue cierta tecnología eliminando la ventaja competitiva con la que contaba la primera empresa. Cuando se trata de información delicada en vez de tecnología esta puede ser usada para adelantarse y perjudicar las estrategia de la primera empresa.

La mayoría de los robos no se suelen dar mediante planes muy sofisticados, basta con que haya algún empleado descontento con acceso a los documentos de interés.

Cuanto más puntera y más grande sea una empresa más cuidado tiene que tener una empresa. A estos niveles la competencia y los participantes en estas artimañas empiezan a tener escala internacional, países que para mejorar su competitividad usan recursos del país para robar tecnología y otros datos a grandes organizaciones para potenciar empresas del país.

Aunque parezca de película no es tan raro encontrarse noticias como la siguiente [1] en la que grupos de hackers organizados por un gobierno se dedican a robar información y tecnología a empresas para tener esa tecnología en el país sin tener que adherirse a las leyes internacionales y de esa manera poder competir con potencias extranjeras.

Las cuestiones que dificultan el buen estado de las PI dentro de una organización son principalmente el tamaño de esta. Empresas grandes, internacionales, se encuentran con una complejidad enorme a la hora de gestionar sus PIs y las PIs de las que hacen uso. Cada país tiene leyes ligeramente distintas en cuanto a las PIs, y mantener el control y gestionar las interacciones de todas estas leyes se puede volver infernal.

Lo más habitual es que cuanto mayor es la organización, mayor sea el número de propiedades intelectuales que maneja. Además de tener más PIs, disponer de una plantilla mucho mayor aumenta la superficie de ataque considerablemente. Sinceramente la mayor fuente de riesgos en las organizaciones son las personas.

Por ejemplo, pensemos en una empresa que se dedica a la producción de software. El equipo de desarrollo tendrá seguramente todo el código y conocimientos en un repositorio privado al que solo unas pocas personas tengan acceso. De esta manera controlar quien puede y no puede acceder a esa información es sencillo.

Sin embargo, si la PI de una empresa son los procesos, contenido creativo, planos, o documentación que no está en un lugar controlado, sino que la información está a la vista o en los portátiles personales de los empleados, que no están gestionados por la empresa, cuanto más difuso sea qué constituye una PI más complicado es gestionar y protegerla.

A esto hay que añadir que cuanta más gente tenga acceso a la información más difícil es protegerla. La probabilidad de empleados descontentos o poco concienciados aumenta. Y las personas son fácilmente influenciables, basta con un poco de ingeniería social para robar información privilegiada, no hace falta ni que el ataque sea especialmente sofisticado. El sistema es tan seguro como el eslabón más débil.

La explosión combinatoria del número de empleados, gente con acceso a la PI y la dificultad para definir y limitar el acceso a las PI hace que la superficie de ataque y consecuentemente el riesgo que corren las PI sea enorme.

Referencias

[1] <<An Unfair Advantage: Confronting Organized Intellectual Property Theft>>, ASIS, consultado el 01/11/2020
https://www.asisonline.org/security-management-magazine/articles/2020/07/an-unfair-advantage-confronting-organized-intellectual-property-theft/

[2] <<Intellectual Property Protection High Tech’s Crown Jewels>>, ISACA, vol 3 (2018): 39-44

[3] <<Intellectual Property Theft/Piracy>>, FBI, consultado el 02/11/2020
https://www.fbi.gov/investigate/white-collar-crime/piracy-ip-theft 

[4] <<Five insights on cyberattacks and intellectual property>>, Deloitte, consultado el 02/11/2020
https://www2.deloitte.com/us/en/pages/advisory/articles/five-insights-on-cyberattacks-and-intellectual-property.html