Programa de segurança da informação da Akamai

O Programa de segurança da informação foi projetado para fornecer políticas, diretrizes e padrões de segurança da informação claras e concisas. Funcionários alertas, comprometidos e envolvidos são a melhor defesa da Akamai contra a perda de informações confidenciais. Todos os funcionários devem avaliar os riscos para a Akamai, desenvolver estratégias de atenuação e monitorar a eficácia das proteções.

Os objetivos do Programa de Segurança de Informações são:

  • Melhorar a experiência e a segurança dos nossos clientes
  • Tornar a segurança uma vantagem competitiva
  • Gerenciar os riscos de segurança e de privacidade em um nível considerado apropriado pela gestão sênior da Akamai
  • Estar em conformidade com todos os requisitos legais e regulamentares da forma mais eficiente possível
  • Fornecer treinamento em segurança para os funcionários

Os princípios fundamentais do programa de segurança da Akamai: 

Privilégio mínimo.   Esse é o princípio segundo o qual uma arquitetura, um produto ou serviço é projetado de forma que cada entidade do sistema (p. ex., um usuário individual ou uma máquina) receba o mínimo de recursos e autorizações do sistema necessários para que a entidade execute seu trabalho. Esse princípio tende a limitar os danos que podem ser causados por acidente, erro ou uma ação não autorizada.

Negar Tudo Aquilo que Não é Explicitamente Permitido.   Qualquer coisa que não seja explicitamente permitida é negada. O padrão para todas as configurações deve ser negar o acesso e negar modificações a menos que seja explicitamente exigido nas especificações/no contrato. 

Separação de Funções.   Prática de dividir as etapas em uma função do sistema entre as diferentes funções junto à atribuição de responsabilidades e privilégios de tal forma que impeça que um indivíduo ou um pequeno grupo de colaboradores controle, de forma imprópria, diversos aspectos-chave de um processo e cause danos ou perdas inaceitáveis. 

Defesa em Profundidade.   Isso funciona pela criação de múltiplas camadas de segurança, dividindo a rede e adicionando os pontos de controle de acesso mais próximos aos diversos ativos que estão sendo protegidos. Isso permite que a segurança geral não dependa somente de um único mecanismo de defesa.

Segmentação de Risco.   Destina-se a criar isolamento intencional e pré-planejado de acesso aos dados que podem ser associados a pessoas designadas e sua "necessidade de saber". Se um compartimento for comprometido, deverá ser igualmente difícil para que um invasor obtenha acesso a cada compartimento subsequente. 

Falha Protegida.   Quando um sistema falha, por qualquer motivo, o sistema deve falhar em um estado seguro. Este princípio também se aplica à inicialização, de forma que, quando um sistema é inicializado, o estado inicial seja o estado mais seguro e suas funções sejam ativadas para manter esse estado seguro. Esse princípio é muitas vezes conhecido como "falha fechada". 

Simplicidade.   Um sistema simples é mais facilmente protegido que um sistema complexo, pois há uma menor chance para erros. Componentes e funções não utilizados e desnecessários são removidos para reduzir a complexidade, facilitar os diagnósticos e aumentar a confiabilidade.

Autenticação e Autorização Universal.   Autorização com base em identidade e função firmemente estabelecida é utilizada para tomada de decisões de controle de acesso explícitas. A uniformidade dos sistemas de autenticação reduz a necessidade de um usuário de manter várias senhas de autenticação; a uniformidade dos sistemas de autorização reduz a probabilidade de permissões não auditadas que violam o privilégio mínimo conforme os funcionários mudam de funções.

Responsabilidade.   Um componente essencial dos sistemas de segurança é a capacidade de determinar quem executou uma determinada ação e quais ações ocorreram durante um intervalo de tempo específico. As violações ou as tentativas de violação da segurança de computadores podem ser traçadas até indivíduos ou entidades que podem ser responsabilizados.

Quem é Responsável pelo Quê

O departamento do InfoSec, sob a direção do Diretor de Segurança, é responsável pelas seguintes funções de segurança: 

  • Supervisionar a segurança sobre as redes (de produção) implantadas 
  • Desenvolver e manter o sistema de controle de vulnerabilidades 
  • Desenvolver e manter o sistema de controle de autenticador 
  • Cooperar com o departamento jurídico sobre a aplicação da lei
  • Realizar investigações de segurança internas relacionadas às violações de política
  • Informar sobre futuros projetos e produtos
  • Supervisionar avaliações e auditorias de segurança
  • Responder aos incidentes de segurança
  • Fornecer treinamento e recomendações de conscientização sobre segurança 
  • Lidar com perguntas de segurança na presença do cliente
  • Supervisionar o processo de gerenciamento de incidentes 
  • Supervisionar os projetos e o processo de vulnerabilidade grave 
  • Controlar as ameaças e comunicá-las ao público e informar ao público geral a história de segurança da Akamai

O grupo de Segurança Corporativa é responsável por supervisionar a segurança de redes e sistemas corporativos. Isso inclui:

  • Realizar avaliações de segurança para novos aplicativos de terceiros e de produtividade
  • Cooperar com as equipes dos Serviços de Infraestrutura Corporativa que apoiam o ambiente corporativo
  • Gerenciar a segurança reativa em relação a phishing, malware e atualizações de assinatura

Todos os diretores e gerentes são responsáveis por garantir que os processos de segurança de informações sejam integrados aos seus processos operacionais e garantir que os funcionários estejam em conformidade com todas as políticas, processos, padrões e diretrizes de segurança de informação. Todos os gerentes são responsáveis por garantir o treinamento apropriado em segurança da equipe que trabalha sob sua supervisão.

Proprietários de recursos de informação, aplicativos, repositórios e bancos de dados são responsáveis pela criação e manutenção de políticas, procedimentos, diretrizes e padrões para proteger os dados que lhes foram atribuídos adequadamente. Por exemplo, eles podem documentar funções e responsabilidades apropriadas para os administradores e usuários do aplicativo. Esses proprietários são responsáveis por monitorar e auditar seus controles para assegurar a conformidade.

Funcionários são responsáveis pela leitura, compreensão e conformidade com todas as políticas, procedimentos, diretrizes e padrões que se aplicam à sua função. Eles também são responsáveis pelo reconhecimento do fornecimento de treinamento e documentos sobre política anualmente.

A Diretoria de Análise de Arquitetura compreende arquitetos para cada serviço principal ou parte da organização de operações de plataforma e engenharia da Akamai, exceto pelas divisões Luna e Aura. Coletiva e individualmente, a Diretoria de Análise de Arquitetura é responsável pela integridade do sistema da Akamai.

O Arquiteto Responsável pela Segurança é um membro desse grupo e é responsável pela definição e manutenção da arquitetura de segurança, integração das soluções da arquitetura de segurança às arquiteturas de infraestrutura de rede aplicadas e fornecimento de análises de segurança estratégicas.

O Vice-presidente de Serviços Corporativos fornece relatórios de gerenciamento sênior em tempo real sobre eventos físicos e incidentes que requerem revisão ao longo do ano.

O Diretor Sênior de Administração de Sistemas e o Vice-presidente de Serviços Corporativos são responsáveis pela autorização de acesso às instalações de processamento de informações corporativas.

O Vice-presidente Executivo da Plataforma é responsável pela autorização das instalações de processamento de informações de rede. Os servidores de rede implementados da Akamai são implementados em instalações em todo o mundo. A Akamai exige que parceiros de instalações de compartilhamento de localização restrinjam o acesso físico aos indivíduos com autorização prévia e identificação com foto. A Akamai também exige que seus provedores apliquem a verificação das solicitações de serviço da Akamai; os provedores não podem tentar obter qualquer tipo de acesso aos sistemas da Akamai sem instruções por escrito da Akamai.

O Departamento Jurídico mantém um formulário de Acordo de Confidencialidade (NDA). Uma cópia assinada deve ser arquivada junto ao Departamento Jurídico antes que informações confidenciais sejam discutidas com indivíduos que não são funcionários. Os funcionários são responsáveis por compreender a natureza da informação que estão liberando e garantir que todas as informações confidenciais da Akamai sejam devidamente identificadas como tal. Se um funcionário tiver alguma dúvida sobre os procedimentos que são necessários, deverá rever o NDA e a Política de Uso Aceitável (AUP).

Diligência Diária

Em vez de depender de uma avaliação de risco anual, a Akamai gerencia os riscos em suas redes implantadas numa base contínua. Vulnerabilidades são investigadas e gerenciadas diariamente. Vulnerabilidades críticas que podem resultar em divulgação, alteração ou destruição de dados confidenciais são transformadas em incidentes formais de segurança e gerenciadas pelo "Processo de Gerenciamento de Crise Técnica e Incidentes" da Akamai. Vulnerabilidades e incidentes são analisados com a equipe de gerenciamento sênior ao longo do ano.

A Akamai implementou uma estrutura de avaliação de vulnerabilidade em vários estágios. Os riscos de segurança são submetidos a uma avaliação de risco qualitativa, tal como disposto na Matriz de Riscos, que avalia a provável gravidade de um risco, bem como os invasores que poderiam instanciar um risco. Com base nesses dois fatores, a vulnerabilidade receberá uma classificação que indica a gravidade do risco. Além disso, os riscos causados por falhas no software também são classificados utilizando o Sistema de Classificação de Vulnerabilidade Comum (CVSS), um sistema que tem um foco maior na probabilidade do que em possíveis danos.

Com base nas pontuações de risco e CVSS, projetos de correções são priorizados entre os gerentes de linha e/ou proprietários do sistema e a InfoSec. A InfoSec mantém um banco de dados de riscos de segurança avaliados e é responsável pela avaliação de riscos recentemente identificados e pela identificação de áreas de risco que precisam de avaliação adicional.

Manipulação de Informações

A Akamai utiliza uma classificação de informações de quatro níveis: 
  • Akamai Público
  • Akamai Confidencial: NDA Necessário para Liberação 
  • Akamai Confidencial: Apenas para uso interno
  • Akamai Confidencial: Distribuição Restrita

Aqueles que manipulam documentos da Akamai são instruídos a classificá-los apropriadamente para indicar a classificação e a confidencialidade das informações. A classificação dos documentos alerta os usuários dos documentos sobre a presença de informações proprietárias e confidenciais e alerta os usuários sobre acesso especial, controles ou exigências de proteção.

A política da Akamai especifica que informações em todas as formas devem ser acompanhadas por períodos de retenção e descarte com base em justificativa corporativa conforme documentada pelo proprietário do ativo de informações. O Departamento Jurídico é responsável pela definição da política de Retenção de Registros.

A política também afirma que as informações relevantes à litigação provável ou existente envolvendo a empresa devem ser retidas. Quando um usuário tem dúvidas sobre a relevância das informações para litigação provável ou existente, o contato com um membro do Departamento Jurídico é solicitado.

Procedimentos para a manipulação e armazenamento de informações são estabelecidos para proteger essas informações contra divulgação não autorizada ou uso inapropriado. Os gerentes são responsáveis por garantir o treinamento apropriado em segurança da equipe que trabalha sob sua supervisão para execução apropriada desses procedimentos.

Os responsáveis por todas as mídias de armazenamento contendo informações confidenciais da Akamai devem apagar os itens de acordo com os princípios geralmente aceitos antes do descarte. Se a mídia não puder ser excluída, ela será fisicamente destruída utilizando o mecanismo fornecido pelo Vice-presidente de Serviços Corporativos da Akamai.

O descarte de itens não eletrônicos vencidos ou obsoletos, por exemplo, papel e informações, ocorre através do uso de mecanismos autorizados. O Vice-presidente de Serviços Corporativos da Akamai é responsável pelo fornecimento de um serviço de trituração de papel e por garantir a disponibilidade dos recipientes nas instalações da Akamai.

Certos tipos de informações apresentam exigências de manuseio especiais: 

Informações financeiras e do funcionário: Essa categoria inclui todas as informações financeiras não públicas da Akamai, bem como informações confidenciais sobre funcionários da Akamai. Os responsáveis pela gestão de tais informações são instruídos a indicar uma lista sobre quem deve ter acesso. Por exemplo, informações sobre o histórico pessoal de um funcionário devem ser marcadas como "Akamai Confidencial: Distribuição restrita". 

Correio eletrônico: Espera-se que todos os funcionários sigam a "Política de Uso de Comunicações Eletrônicas". Em razão da natureza insegura da comunicação eletrônica, cuidado deve ser tomado antes de enviar informações confidenciais por e-mail. Todos os sistemas de correio eletrônico devem implementar proteções adequadas para proteger o correio eletrônico em trânsito e em armazenamento. Os controles criptográficos podem ser usados para proteger as informações confidenciais quando estas são enviadas usando correio eletrônico. 

Telefones e Informações Confidenciais: A Akamai apresenta recursos que podem ser utilizados pelos funcionários para lidar com suspeitas de tentativas de engenharia social, questões de telefone celular e malware.

Comunicação com a Internet: O Departamento Jurídico definiu a política da empresa para "Quadro de Mensagens, Sala de Bate-papo e Divulgação Pública". "As informações confidenciais da Akamai não devem ser divulgadas nem discutidas em sites pessoais ou blogs (e-journals). Meios de comunicação, analistas do setor e outros blogs de navegação rotineira para informações confidenciais e privilegiadas. Contas de redes sociais que usam o nome, logotipo ou outras informações da Akamai que implicam a representação da empresa são restritas à equipe autorizada. As informações confidenciais da Akamai não podem ser publicadas em sites de redes sociais pessoais.

Trabalhando com Estranhos

O Programa de Segurança de Informações também se aplica a nossas relações com serviços externos que fornecem arte-final e publicidade, assistência de relações públicas e reunião de planejamento, execução de impressão e cópia de materiais confidenciais da empresa para apresentações para clientes, conferências e estatutos governamentais e outros serviços para a Akamai. Isso inclui equipe das instalações, prestadores de serviço de segurança e equipes de manutenção, zeladoria e decoração. 

Nossos dados são mais vulneráveis quando estão em trânsito. Medidas razoáveis para proteção das informações são obtidas para evitar espionagem ou corrupção dos dados em trânsito. As salas de correspondência da Akamai são usadas para transporte físico de dados entre os sites. A Akamai também trabalha com padrões de segurança de dados que protegem os dados em repouso/no armazenamento.

Empresas externas que lidam com dados da Akamai são instruídas a tratá-los com os mesmos cuidados da Akamai. 

A política determina que as senhas da Akamai nunca devem passar pela rede na forma não criptografada - ao digitá-las em um navegador da Web, procure pelo ícone SSL "bloqueado". Se alguém transmitir inadvertidamente uma senha de maneira não segura, esse indivíduo será instruído a notificar o Departamento do InfoSec e o proprietário do sistema para obter orientação sobre a mudança da senha. 

Os indivíduos que transmitem informações confidenciais são solicitados a tomar precauções extras. A quantidade de material confidencial transportada deve se limitar ao necessário. Informações confidenciais, como as contidas em um laptop, devem sempre permanecer sob o controle de um funcionário. Nunca devem ser colocadas em bagagem que passou por check-in nem enviadas sem o controle de um funcionário da Akamai. As informações confidenciais não devem ser discutidas em pequenos ambientes em transportes públicos ou em áreas públicas. 

A política determina que a discussão de informações comerciais confidenciais deve ser evitada a menos que o NDA seja aplicado e a discussão ocorra em particular. 

Os funcionários que fornecem apresentações públicas e participam de discussões em reuniões do setor são solicitados a garantir que a apresentação ou a discussão seja apropriada e aprovada pelo supervisor. No âmbito de apresentações, a Akamai não compartilhará informações antecipadas sobre o que está planejando a menos que tenham sido aprovadas para publicação. 

Os documentos e os materiais confidenciais não estão presentes nas apresentações. Os funcionários são instruídos a proteger o material confidencial durante o envio antes, durante e depois de reuniões e apresentações. 

A Akamai coopera plenamente com todos os órgãos responsáveis pelo cumprimento da lei através da equipa de segurança de informação. Os funcionários são instruídos a registrar o nome da pessoa, a afiliação organizacional e as informações de contato e a transferir imediatamente a solicitação ao Departamento Jurídico. Eles também são instruídos a não fornecer as informações da Akamai sem a permissão da equipe de segurança de informação.

Relações Públicas 

Anúncios de rotina e publicações da imprensa envolvendo eventos, programas e serviços da Akamai são publicados somente por pessoas autorizadas. As solicitações de comentários das mídias de notícias são canalizadas através do Departamento de Comunicações Corporativas.

O Diretor Sênior de Comunicações Corporativas apresenta uma estratégia de comunicação e uma política que fornecem informações específicas para lidar com mídias. 

Para dúvidas de clientes sobre os serviços disponíveis em sua divisão ou grupo, os funcionários são solicitados a obter o nome da pessoa e o número de telefone e a transmitir a solicitação para um representante autorizado do seu grupo. Eles são orientados a não fornecer cópias nem informações da lista de funcionários da Akamai ou catálogos telefônicos aos fornecedores, agências de emprego ou outras pessoas procurando tais informações.

Todas as solicitações de analistas do setor de informações devem ser direcionadas para o departamento de Relações do Analista. Para detalhes adicionais, consulte o Departamento de Comunicações Corporativas.

Segurança Física 

As responsabilidades de segurança física da Akamai estão divididas entre Serviços Corporativos, Engenharia (Implantação) de Infraestrutura de Rede e Operações de Plataforma. Cada funcionário é responsável pela segurança de sua própria área de trabalho e dos equipamentos em seus cuidados.

O Vice-presidente de Serviços Corporativos é responsável pela segurança física de todos os escritórios da Akamai. 

Medidas de controle de acesso serão necessárias para todos os escritórios da Akamai e centros de dados. Indivíduos que não são funcionários devem se registrar e ser acompanhados em todas as ocasiões. A movimentação dentro de tais áreas deve ser facilitada aos funcionários, mas dificultada para estranhos. 

Funcionários da Akamai, em geral, têm acesso a todos os ambientes de trabalho comuns, como escritórios, cubículos e salas de conferência. Áreas críticas, tais como centros de dados internos e áreas com pouca frequência de acesso, como armazéns, ficarão restritas a somente aqueles com necessidade documentada. O proprietário organizacional da área é responsável por revisar a lista de pessoal autorizado pelo menos uma vez por ano. 

O Vice-presidente de Serviços Corporativos é responsável por fornecer alarmes apropriados. 

O Vice-presidente de Serviços Corporativos é responsável pelo processo de relatos de incidente de segurança física.

Centro de Comandos de Operações de Rede (NOCC)

O maior Centro de Comandos de Operações de Rede (NOCC) da Akamai está localizado em Cambridge, Massachusetts. NOCCs adicionais estão localizados em vários países. O acesso físico é limitado ao pessoal autorizado e controlado por cartão magnético. O NOCC está disponível 24 horas por dia, 7 dias por semana, com a equipe de Operações da Plataforma. 

O Diretor Sênior de Operações de Rede Global é responsável pela segurança do NOCC. 

O Diretor de Engenharia de Infraestrutura é responsável pela segurança física das redes implantadas da Akamai. Isso inclui identificar riscos de instalações externas e fornecedores utilizados pela rede implantada e estabelecer controles de redução apropriados. 

O Diretor de Infraestrutura de Rede é responsável por assegurar que uma revisão apropriada dos procedimentos de resposta a incidentes das instalações externas, planos de recuperação de desastres e contratos de nível de serviço seja realizada antes da implantação de qualquer sistema da Akamai nas instalações.

A rede de Entrega de Conteúdo Seguro (ESSL) da Akamai exige controles especializados, por exemplo, servidores ESSL devem ser utilizados somente em áreas trancadas com câmeras de detecção de movimento. O grupo de Engenharia (Implantação) de Infraestrutura de Rede deve considerar os requisitos de segurança ao selecionar parceiros de rede e fornecedores. 

Embora a maioria dos visitantes da Akamai apresentem motivos legítimos para as visitas, apresentamos políticas de visitantes que foram projetadas para instalações e áreas específicas. A política determina que: 

  • Crachás sejam utilizados visivelmente em todos os locais da Akamai e que funcionários solicitem o crachá dos visitantes ou chamem a Segurança Corporativa. 
  • Visitantes a curto prazo sejam acompanhados por um funcionário em todos os momentos nas propriedades da Akamai.
  • Os funcionários estejam cientes de entradas não autorizadas; enquanto é perfeitamente razoável segurar a porta para um colega, é igualmente razoável verificar se o crachá está visível. 
  • Quando visitantes são esperados em uma área de trabalho, informações confidenciais sejam armazenadas ou ocultadas. 
  • Informações claras e a existência de um NDA sejam confirmadas antes da discussão de informações proprietárias ou do fornecimento de acesso a áreas nas quais os visitantes podem ouvir ou ser expostos a informações confidenciais, processos proprietários ou dados exibidos em telas de computador. 
  • Infraestrutura corporativa essencial seja localizada em áreas seguras. Sistemas de energia e refrigeração redundantes e sistemas de detecção e proteção contra incêndios fazem parte de uma linha de proteção básica. Sistemas que requerem alta disponibilidade apresentam sistemas redundantes localizados em centros de dados alternativos para reduzir outras ameaças ambientais não previstas. Cabeamento de energia e dados é limitado a áreas seguras. Cabeamento entre áreas seguras é posicionado através de conduítes.

Gerenciamento de Incidentes

A política determina que todos os incidentes de segurança, pontos fracos e defeitos sejam relatados o mais rapidamente possível.

As Operações da Plataforma apresentam equipe treinada para lidar com incidentes de segurança que afetam a rede distribuída e é o centro de todo o gerenciamento de incidentes de segurança. O NOCC nomeará um gerente de incidentes para solucionar a questão e envolverá outras equipes ou departamentos conforme necessário, de acordo com o Procedimento de Resposta a Incidentes Técnicos. 

Se o evento for suspeito ou confirmado como um evento de segurança de informações, a questão será encaminhada a um especialista no assunto. Muitos especialistas no assunto também são treinados como Gerentes de Incidentes Técnicos (TIMs).

Reuniões semanais são realizadas para revisar os relatórios de incidentes críticos e outros eventos de segurança.

Provas físicas são coletadas por um membro do InfoSec e são mantidas no controle positivo em todos os momentos até que possam ser fornecidas a um membro de aplicação da lei ou aos tribunais. Quando disponíveis, sacos da Cadeia de Custódia são utilizados para evidências pequenas o bastante para caber dentro do saco. Qualquer prova que não puder ser transferida para a aplicação da lei será armazenada dentro de um escritório trancado ou dentro de um cofre restrito à equipe da Segurança de Informações. 

Provas digitais devem ser coletadas por um membro da InfoSec com a ajuda de membros de outras equipes, conforme necessário. Todas as provas devem ser assinadas e registradas de maneira criptográfica em um formulário de mídia removível e, sempre que possível, armazenadas no Departamento de Segurança de Informações.

Gerenciamento de Rede 

O processo da Akamai inclui controles de rede para reduzir os riscos à Akamai quando os dados são transferidos através da rede.

Instalações com máquinas de usuário (por exemplo, escritórios corporativos) ou máquinas com backend que não se destinam ao uso global (por exemplo, servidores de banco de dados) foram projetadas para serem protegidas por dispositivos de firewall fisicamente separados. A Engenharia de Rede é responsável pela instalação e configuração dos firewalls.

Os serviços que precisam passar através do firewall são considerados para reimplementação em uma forma mais segura, como encapsulamento no nível do aplicativo ou VPN de site para site. A equipe de Segurança de Informações está disponível para assistência a projetos.

O grupo de Serviços de Infraestrutura Corporativa é responsável pelo fornecimento e suporte de uma versão de software VPN para permitir que os computadores da área de trabalho da Akamai se conectem à rede corporativa a partir de fora dos limites de segurança do firewall corporativo. É altamente recomendável que esse software seja utilizado somente em máquinas que estejam em conformidade com a política de segurança e aos padrões da Akamai. 

Acesso em nível de aplicativo à rede corporativa está disponível através de SSH. 

O acesso à rede corporativa é restrito ao software aprovado. Os funcionários não podem criar seu próprio acesso à rede corporativa na camada da rede. 

A rede ESSL (segurança implantada) é necessária para atender às normas adicionais do setor, como PCI-DSS.

Manuseio de Mídia  de Computador 

Mídia de computador deve receber atenção com base nos dados armazenados em diferentes dispositivos. Na maioria dos casos, trata-se de "Akamai Confidencial: Apenas para uso interno". Mídia com armazenamento de informações financeiras, de RH, jurídicas ou do cliente deve ser gerenciada apropriadamente. A Akamai também tem um processo para Destruição de Dados Confidenciais e Descarte de Equipamentos. 

Alguns tipos de mídia - mais notavelmente, CDs de Fornecedores e Recuperação - são distribuídos de acordo com um NDA, mas até uma extensão que sejam essencialmente públicos. Os indivíduos que compilarem tais CDs serão instruídos a prestar atenção a esse nível de distribuição e a não incluir informações confidenciais desnecessárias.

Para distribuição dentro da empresa, o uso de mídia removível é normalmente evitado. Em determinados casos de distribuição fora da empresa ou para backup off-line de dados críticos, CD-R, DVD ou dispositivos de armazenamento são apropriados. Tais itens devem estar claramente marcados em conformidade com a secção 8: "Manipulação de Informações". Tais mídias devem ser tratadas com os mesmos cuidados do computador que armazena os dados e seguramente eliminadas ou destruídas quando não forem mais necessárias. Os dados confidenciais da Akamai contidos em memória removível, como dispositivos de armazenamento USB e cartões de memória para PDAs, telefones celulares, câmeras, etc. devem ser excluídos com segurança quando não forem mais necessários. 

Os materiais confidenciais da Akamai não devem ser inseridos em mídia removível e levados para fora da empresa.