Programa Infosec de Akamai

El Programa de seguridad de la información está diseñado para proporcionar políticas, directrices y estándares claros y concisos en materia de seguridad de la información. El contar con empleados atentos, comprometidos y participativos es la mejor defensa de Akamai contra la pérdida de información confidencial. Se espera que todos los empleados evalúen los riesgos para Akamai, desarrollen estrategias de mitigación y controlen la efectividad de las salvaguardias.

Los objetivos del programa de seguridad de la información son los siguientes:

  • Mejorar la experiencia y la seguridad de nuestros clientes
  • Hacer de la seguridad una ventaja competitiva
  • Administrar los riesgos de la seguridad y la confidencialidad a un nivel que los directivos senior de Akamai consideren oportuno
  • Cumplir todos los requisitos legales y normativos de la forma más eficiente posible
  • Proporcionar formación continua sobre seguridad a los empleados

Los principios fundamentales del programa de seguridad de Akamai son: 

Privilegios mínimos.   Este es el principio por el cual una arquitectura, producto o servicio se diseña de tal modo que, a cada entidad del sistema (por ejemplo, un usuario individual o un equipo), se le conceden los recursos del sistema y autorizaciones mínimos que la entidad necesita para realizar su trabajo. Este principio tiende a limitar el daño causado por un accidente, error o acto no autorizado.

Denegar todo lo que no está explícitamente permitido.   Se deniega cualquier cosa que no esté explícitamente permitida. De forma predeterminada, todas las configuraciones deben denegar el acceso y la modificación a menos que la especificación o el contrato lo requieran expresamente. 

Separación de deberes.   Práctica que consiste en dividir los pasos de una función del sistema entre las diferentes funciones, combinada con la asignación de responsabilidades y privilegios de tal manera que se impida que una persona o un pequeño grupo de personas que colaboran puedan controlar de manera inadecuada varios aspectos clave de un proceso y puedan producir daños o pérdidas inaceptables. 

Defensa en profundidad.   Se crean varias capas de seguridad, dividiendo la red en compartimentos y añadiendo puntos de control del acceso a los diversos activos que están siendo protegidos. Esto permite que la seguridad general no dependa de un único mecanismo de defensa.

Segmentación de los riesgos.   Está diseñada para crear un aislamiento deliberado y planificado del acceso únicamente a los datos que puedan estar asociados con las personas designadas y su "necesidad de saber". Si un compartimento está en peligro, un intruso debería tener dificultades para obtener acceso a cada uno de los compartimentos posteriores. 

Fallo seguro.   Cuando un sistema falla, por cualquier razón, el sistema debe quedarse en un estado seguro. Este principio se aplica también al inicio de manera que, cuando un sistema se inicialice, el estado inicial sea el estado más seguro y, a continuación, se activen las funciones manteniendo ese estado seguro. Este principio se conoce como "error-cerrado". 

Sencillez.   Un sistema sencillo es más fácil de proteger que un sistema complejo, ya que las probabilidades de error son menores. Los componentes y las funciones innecesarios y que no se utilizan se eliminan para reducir la complejidad, lo que facilita el diagnóstico y aumenta la fiabilidad.

Autenticación y autorización universales.   Se utilizan una identidad firmemente establecida y la autorización basada en funciones para tomar decisiones explícitas sobre el control del acceso. Los sistemas de autenticación comunes reducen la necesidad de que un usuario mantenga secretos de autenticación; los sistemas de autorización comunes reducen la probabilidad de que permisos no auditados infrinjan el principio de privilegio mínimo cuando los empleados cambian de función.

Responsabilidad.   Un ingrediente esencial de los sistemas de seguridad es la capacidad de determinar quién realizó una determinada acción y las acciones que se produjeron durante un intervalo de tiempo específico. Se puede realizar el seguimiento de las infracciones o intentos de infracción de seguridad informática hasta personas o entidades que puedan ser consideradas responsables.

Quién es responsable de qué

El departamento InfoSec, bajo la dirección del Director Jefe de Seguridad, es responsable de las siguientes funciones de seguridad: 

  • Supervisar la seguridad de la redes desplegadas (producción) 
  • Desarrollar y mantener el sistema de seguimiento de vulnerabilidades 
  • Desarrollar y mantener el sistema de seguimiento del autenticador 
  • Coordinar con el departamento jurídico la aplicación de la ley
  • Llevar a cabo investigaciones internas de seguridad en relación con las infracciones de la política
  • Asesorar sobre futuros proyectos y productos
  • Supervisar las auditorías y evaluaciones de la seguridad
  • Responder a las incidencias de seguridad
  • Proporcionar formación y asesoramiento en materia de seguridad 
  • Abordar las preguntas de los clientes sobre seguridad
  • Supervisar el proceso de gestión de incidencias 
  • Supervisar los proyectos y procesos de gran vulnerabilidad 
  • Supervisar las amenazas y comunicarlas al público, y contar la historia general pública de la seguridad de Akamai

El grupo Seguridad Empresarial es responsable de supervisar la seguridad de las redes y los sistemas corporativos. Esto incluye:

  • Llevar a cabo evaluaciones de la seguridad de aplicaciones de productividad y de terceros
  • Coordinar los equipos de los servicios de infraestructura empresarial que dan soporte al entorno corporativo
  • Administrar la seguridad reactiva en torno al phishing, malware y actualizaciones de firmas

Todos los directores y gerentes son responsables de garantizar que los procesos de seguridad de la información estén integrados en los procesos operativos de la organización, y de garantizar que el personal cumpla con todas las políticas, procesos, normas y directrices de seguridad de la información. Todos los directores son responsables de garantizar la adecuada formación en cuanto a seguridad del personal que trabaja a su cargo.

Los propietarios de los recursos de la información, las aplicaciones, los almacenes y las bases de datos son responsables de crear y mantener las políticas, los procedimientos, las directrices y las normas para proteger correctamente los datos que se les han confiado. Por ejemplo, pueden documentar las funciones y responsabilidades correspondientes de los administradores y usuarios de la aplicación. Dichos propietarios son responsables de la supervisión y auditoría de sus controles para garantizar su cumplimiento.

Los empleados son responsables de la lectura, comprensión y cumplimiento de todas las políticas, procedimientos, directrices y normas que se aplican a su función. También son responsables de acusar recibo de la formación y los documentos de las políticas anualmente.

La Junta de Revisión de la Arquitectura está formada por arquitectos de cada uno de los principales servicios o componentes de la organización Operaciones de Plataforma e ingeniería de Akamai, excepto las divisiones Luna y Aura. De forma individual y colectiva, la Junta de Revisión de la Arquitectura se encarga de garantizar la integridad del sistema Akamai.

El Arquitecto Jefe de Seguridad es un miembro de este grupo y es responsable de definir y mantener la arquitectura de seguridad, de integrar las soluciones de arquitectura de seguridad en las arquitecturas de la infraestructura de redes desplegadas, y de proporcionar revisiones estratégicas y tácticas de la seguridad.

El Vicepresidente de Servicios Corporativos notifica en tiempo real a la dirección senior los eventos físicos y las incidencias que requieran una revisión a lo largo de todo el año.

El Director General de Administración de Sistemas y el Vicepresidente de Servicios Corporativos son responsables de autorizar el acceso a las instalaciones de procesamiento de información de la empresa.

El Vicepresidente Ejecutivo de la Plataforma es responsable de autorizar las instalaciones de procesamiento de información de las redes desplegadas. Los servidores de red de Akamai están desplegados en instalaciones de todo el mundo. Akamai exige que los partners de las instalaciones de coubicación limiten el acceso físico a las personas que cuenten con autorización previa y una identificación mediante imagen. Akamai también exige a sus proveedores que verifiquen la solicitudes de servicio de Akamai; los proveedores no podrán tratar de obtener ningún tipo de acceso a los sistemas de Akamai sin instrucciones por escrito de Akamai.

El departamento jurídico mantiene un formulario de acuerdo de confidencialidad (NDA). Antes de hablar sobre información confidencial con personas no empleadas, se debe archivar una copia firmada en el departamento jurídico. Cada uno de los empleados es responsable de comprender la naturaleza de la información que están revelando y de garantizar que toda la información confidencial de Akamai esté correctamente identificada como tal. Si un empleado tiene alguna pregunta acerca de qué procedimientos son necesarios, debe consultar el NDA y la política de uso aceptable (AUP).

Diligencia debida diaria

En lugar de basarse en una evaluación anual de los riesgos, Akamai gestiona el riesgo en sus redes desplegadas de forma continuada. Las vulnerabilidades se investigan y se gestionan a diario. Las vulnerabilidades críticas que pudieran producir una revelación, alteración o destrucción de datos confidenciales se convierten en incidentes de seguridad formales y se gestionan mediante el "proceso de gestión de incidentes y crisis técnicas" de Akamai. Las vulnerabilidades y los incidentes se revisan con el equipo de dirección senior durante todo el año.

Akamai ha implementado un entorno de evaluación de las vulnerabilidades en varias etapas. Los riesgos para la seguridad se someten a una evaluación cualitativa del riesgo, tal y como se establece en la matriz de riesgos, que evalúa la gravedad potencial de un riesgo, así como los atacantes que podrían provocar un riesgo. En función de estos dos factores, la vulnerabilidad recibirá una clasificación que indica la gravedad del riesgo. Además, los riesgos causados por los defectos en el software también se puntúan mediante el sistema de puntuación de vulnerabilidades habituales (CVSS), un sistema que se centra más en la probabilidad que en los posibles daños.

En función del riesgo y de las puntuaciones del CVSS, se priorizan los proyectos de corrección entre los responsables de línea, los propietarios del sistema e InfoSec. InfoSec mantiene una base de datos de los riesgos de seguridad evaluados y es responsable de evaluar los nuevos riesgos que se identifiquen, así como de identificar áreas de riesgo que necesitan una mayor evaluación.

Manipulación de la información

Akamai utiliza cuatro niveles de clasificación de la información: 
  • Akamai Pública
  • Akamai Confidencial: requiere un NDA para su divulgación 
  • Akamai Confidencial: solo para uso interno
  • Akamai Confidencial: distribución restringida

Las personas que manipulan documentos de Akamai tienen instrucciones de etiquetarlos correctamente para indicar la clasificación y el grado de confidencialidad de la información. El etiquetado de documentos alerta a los tenedores de un documento de la presencia de información privada y confidencial, y advierte a los tenedores de los posibles requisitos de acceso, controles o protección.

La política de Akamai es que la información, en todas sus formas, debe acompañarse de plazos de conservación y eliminación basados en la justificación empresarial, tal y como haya documentado el propietario de los activos de información. El departamento jurídico es responsable de definir la política de conservación de registros.

La directiva también establece que debe conservarse la información relativa a litigios actuales o potenciales que involucren a la compañía. Si un usuario tiene preguntas sobre si la información es relevante para litigios actuales o potenciales, se les pide que se pongan en contacto con un miembro del departamento jurídico.

Hay establecidos procedimientos para la manipulación y el almacenamiento de la información con el fin de protegerla contra la divulgación no autorizada o el uso incorrecto. Los directores son responsables de garantizar la adecuada formación en cuanto a seguridad del personal que trabaja a su cargo para que lleven a cabo estos procedimientos correctamente.

Las personas responsables de todos los medios de almacenamiento que contienen información confidencial de Akamai deben borrar los elementos conforme a los principios generalmente aceptados antes de su eliminación. Si los medios no se pueden borrar, se destruyen físicamente utilizando el mecanismo indicado por el Vicepresidente de Servicios Corporativos de Akamai.

La eliminación de información no electrónica caducada u obsoleta, por ejemplo, en papel, se realiza utilizando mecanismos autorizados. El Vicepresidente de Servicios Corporativos de Akamai es responsable de proporcionar un servicio de destrucción de papel y de asegurar que haya contenedores disponibles en todas las instalaciones de Akamai.

Determinados tipos de información tienen requisitos de manipulación especiales: 

Información financiera y del personal: Esta categoría incluye toda la información financiera pública de Akamai, así como información privada sobre los empleados de Akamai. Las personas que administran esta información tienen instrucciones de marcarla de forma destacada con una lista de quién debe tener acceso. Por ejemplo, la información sobre la historia personal de un empleado debe ser marcada como "Akamai Confidencial: distribución restringida". 

Correo electrónico: todos los empleados deben seguir la "Política de uso de las comunicaciones electrónicas". Dada la naturaleza insegura de la comunicación electrónica, se deberá tener cuidado antes de enviar información confidencial por correo electrónico. Los sistemas de correo electrónico deberán emplear las medidas de protección adecuadas para proteger el correo electrónico en tránsito y almacenado. Se pueden utilizar controles criptográficos para proteger la información confidencial cuando se envía por correo electrónico. 

Teléfonos e información confidencial: Akamai tiene recursos que los empleados pueden utilizar para hacer frente a los intentos de ingeniería social sospechosos, a los problemas de los teléfonos móviles y al malware.

Comunicación a través de Internet: el departamento jurídico ha definido la política de la empresa "Política de tablones de mensajes, salas de chat y divulgación pública". La información confidencial de Akamai no debe ser revelada ni se debe tratar en sitios web personales ni en blogs (diarios electrónicos). Los medios de comunicación y los analistas del sector, entre otros, navegan habitualmente en busca de información confidencial y privilegiada. Las cuentas de redes sociales que utilizan el nombre, el logotipo u otra información de Akamai que implique que la cuenta representa a la compañía, están limitadas al personal autorizado. No se permite la divulgación pública de información confidencial de Akamai en sitios de redes sociales personales.

Trabajar con personas ajenas

El Programa de Seguridad de la Información se aplica también a nuestras relaciones con servicios externos que suministran imágenes y textos publicitarios, proporcionan asistencia en relaciones públicas y planificación de reuniones, imprimen y copian material confidencial de la empresa para presentaciones a clientes, conferencias y presentación de documentos oficiales, entre otros servicios, a Akamai. Esto incluye el personal de las instalaciones, los contratistas de seguridad y el personal de mantenimiento, limpieza y decoración. 

Nuestros datos son más vulnerables cuando se encuentran en tránsito. Se toman medidas razonables para el valor de la información cuya finalidad es evitar el espionaje o la corrupción de los datos en tránsito. Para el transporte físico de los datos entre los emplazamientos se utilizan salas de correo de Akamai. Akamai también trabaja con normas de seguridad de datos que protegen los datos en reposo y almacenados.

Las empresas externas que manipulan los datos de Akamai tienen instrucciones de tratarlos con el mismo cuidado con que lo haría Akamai. 

La política establece que las contraseñas de Akamai no deben viajar nunca a través de la red sin cifrar. Cuando las escriba en un navegador web, busque primero el icono de SSL "bloqueado". Si alguien transmite accidentalmente una contraseña de forma no segura, también tiene instrucciones de notificarlo al departamento InfoSec y al propietario del sistema para obtener instrucciones sobre cómo rotar la contraseña. 

Las personas que viajan con información confidencial deben tomar precauciones adicionales. La cantidad de material confidencial que se lleve deberá limitarse al mínimo necesario. La información confidencial, por ejemplo, un ordenador portátil, debe quedar bajo el control de un empleado en todo momento. Nunca se debe colocar en el equipaje facturado ni enviarse fuera del control de un empleado de Akamai. No se debe hablar de información confidencial en espacios reducidos, en medios de transporte público o en áreas públicas. 

La política establece que debe evitarse hablar de información empresarial confidencial a menos que haya un acuerdo de confidencialidad en vigor y que la conversación pueda tener lugar en privado. 

Los empleados que ofrecen presentaciones públicas y participan en debates en reuniones del sector deben asegurarse de que su presentación o discurso sea apropiado y esté aprobado por el supervisor. En las ferias comerciales, Akamai no anticipa ninguna información acerca de lo que Akamai está planeando o en qué está trabajando a menos que se haya aprobado su difusión pública. 

Los documentos y materiales confidenciales no pertenecen al ámbito de las ferias comerciales. Los empleados tienen instrucciones de proteger con cuidado el material confidencial durante el envío y antes, durante y después de las reuniones y ferias comerciales. 

Akamai coopera plenamente con todos los organismos encargados de aplicar la ley a través del equipo de Seguridad de la Información. Los empleados tienen instrucciones de anotar el nombre de la persona, su afiliación a una organización y la información de contacto, y de pasar la solicitud inmediatamente al departamento jurídico. También tienen instrucciones de no proporcionar información de Akamai sin el permiso del equipo de Seguridad de la Información.

Relaciones públicas 

La publicación sistemática de noticias y comunicados de prensa relativos a eventos, programas y servicios de Akamai es realizada únicamente por personal autorizado. Las solicitudes de comentarios por parte de los medios de comunicación son canalizados a través del Departamento de Comunicaciones Corporativas.

El Director Senior de Comunicaciones Corporativas tiene en marcha una estrategia y una política de comunicación que proporciona las directrices específicas de la empresa para tratar con los medios de comunicación. 

Si los clientes preguntan por los servicios que su división o grupo ofrece, los empleados deben anotar el nombre de la persona y su número de teléfono, y enviar la solicitud a un representante autorizado de su grupo. Tienen instrucciones de no suministrar copias ni información de Akamai procedente de listas o libretas de teléfonos de los empleados a proveedores, agencias de empleo u otras personas que buscan esta información.

Todas las solicitudes de información de analistas del sector deben dirigirse al departamento de Relaciones con Analistas. Para obtener más información, consulte al Departamento de Comunicaciones Corporativas.

Seguridad física 

Las responsabilidades de Akamai en materia de seguridad física se reparten entre Servicios Corporativos, Ingeniería de Infraestructura de Red (Despliegue) y Operaciones de Plataforma. Cada empleado es responsable de la seguridad de su área de trabajo y de los equipos a su cargo.

El Vicepresidente de Servicios Corporativos es responsable de la seguridad física de todas las oficinas de Akamai. 

Se necesitan medidas de control de acceso para todas las oficinas y los centros de datos de Akamai. Los no empleados deben firmar a la entrada y a la salida, y deben estar acompañados en todo momento. El movimiento dentro de esas áreas debe ser fácil para los empleados pero difícil para un intruso. 

Por lo general, los empleados de Akamai tienen acceso a todos los entornos de trabajo comunes, tales como oficinas, cubículos y salas de conferencias. Las áreas críticas, como los centros de datos internos, y las áreas poco frecuentadas, como los almacenes, quedan limitados únicamente a aquellos que tengan una necesidad documentada. El responsable del área se encarga de revisar la lista del personal autorizado por lo menos una vez al año. 

El Vicepresidente de Servicios Corporativos es responsable de proporcionar las alarmas de coacción correspondientes. 

El Vicepresidente de Servicios Corporativos es responsable del proceso de notificación de incidencias de seguridad física.

Centro de control de operaciones de red (NOCC)

El mayor Centro de control de operaciones de red (NOCC) se encuentra en Cambridge, Massachusetts. Hay otros NOCC ubicados en varios países. El acceso físico está limitado al personal autorizado y se controla por tarjeta llave. El NOCC está atendido 24 horas al día, 7 días a la semana por el personal de Operaciones de Plataforma. 

El Director Senior de Operaciones de Red Globales es responsable de la seguridad del NOCC. 

El Director de Ingeniería de la Infraestructura es responsable de la seguridad física de las redes desplegadas de Akamai. Esto incluye identificar los riesgos de las instalaciones y los proveedores externos utilizados por la red desplegada, así como establecer las medidas de protección y los controles de corrección apropiados. 

El Director de Infraestructura de Red es responsable de asegurar que se realice una revisión adecuada de los procedimientos de respuesta a incidencias en instalaciones externas, los planes de recuperación ante desastres y los acuerdos de nivel de servicio antes de desplegar cualquier sistema de Akamai en las instalaciones.

La red de distribución de contenido seguro (ESSL) de Akamai requiere controles especializados, por ejemplo, los servidores de ESSL solo se deben desplegar en armarios cerrados con cámaras de detección de movimiento. El grupo Ingeniería de Infraestructura de Red (Despliegue) debe tener en cuenta los requisitos de seguridad al seleccionar los partners y proveedores de red. 

Aunque la mayoría de los visitantes de Akamai tienen motivos de sobra para visitarnos, tenemos políticas sobre visitantes adaptadas a cada área e instalación. La política establece que: 

  • Las insignias deben llevarse en lugar visible en todo momento y en todos los lugares de Akamai, y los empleados deben pedir ver las insignias de los visitantes o llamar a Seguridad Corporativa. 
  • Los visitantes de corta duración estarán acompañados por un empleado en todo momento mientras estén en las propiedades de Akamai.
  • Los empleados estarán pendientes de posibles inflitraciones; igual que es perfectamente razonable sujetar una puerta a un colega, es igualmente razonable comprobar que el distintivo esté visible. 
  • La información confidencial se almacenará o se cubrirá cuando se esperen visitantes en un área de trabajo. 
  • Se confirmará que existe una evidente "necesidad de saber" y la existencia de un acuerdo de confidencialidad antes de tratar información privada o de dar acceso a áreas en las que los visitantes puedan oír o estar expuestos a información confidencial, procesos privados o datos que aparecen en las pantallas de los ordenadores. 
  • La infraestructura empresarial crítica se ubicará en áreas seguras. Habrá sistemas de alimentación y refrigeración redundantes, así como sistemas de detección y protección contra incendios como parte de una protección básica. Los sistemas que requieran una alta disponibilidad tendrán sistemas redundantes ubicados en centros de datos alternativos para mitigar otras amenazas ambientales imprevistas. El cableado de alimentación y de datos estará limitado a las áreas protegidas. El cableado entre las áreas seguras irá por conductos.

Gestión de incidencias

La política establece que todas las incidencias de seguridad, puntos débiles y deficiencias se notificarán lo más rápidamente posible.

Operaciones de Plataforma tiene personal capacitado para gestionar las incidencias de seguridad que afecten a la red distribuida, y es el centro donde se administra y se da respuesta a todas las incidencias de seguridad. El NOCC designará un gestor de incidencias para resolver el problema e implicará a otros departamentos o personal según sea necesario, conforme al procedimiento de respuesta ante incidencias técnicas. 

Si se sospecha o se confirma que el suceso es un evento de seguridad de la información, el problema se derivará a un experto en asuntos de seguridad. Muchos expertos en asuntos de seguridad tienen formación también como gestores de incidencias técnicas.

Se mantienen reuniones semanales para revisar los informes de incidencias críticas y otros eventos de seguridad.

Un miembro de InfoSec recopila pruebas físicas y las mantiene bajo un control positivo en todo momento hasta que se la pueda entregar a un representante de la ley o a los tribunales. Si hay disponibles, se utilizan bolsas de cadena de custodia para pruebas suficientemente pequeñas como para que quepan dentro de la bolsa. Las pruebas que no se puedan entregar a los representantes de la ley se almacenan en una oficina cerrada o en el interior de una caja de seguridad con acceso limitado al equipo de Seguridad de la Información. 

Las pruebas digitales deberán ser recogidas por un miembro de InfoSec con la asistencia de miembros de otros equipos según sea necesario. Todas las pruebas se firmarán criptográficamente y se registrarán en un medio extraíble y, siempre que sea posible, se guardará en el Departamento de Seguridad de la Información.

Gestión de la red 

El proceso de Akamai incluye controles de red para reducir los riesgos para Akamai cuando los datos se transfieren a través de la red.

Las instalaciones con equipos de usuario (por ejemplo, oficinas corporativas) o equipos backend (p. ej., servidores de bases de datos) están diseñados para ser protegidos por dispositivos de firewall físicamente independientes. Ingeniería de Red es responsable de la instalación y la configuración de los firewalls.

Se valorará la implementación más segura de los servicios que necesiten atravesar el firewall, por ejemplo, con encapsulación en el nivel de aplicación o una VPN de sitio a sitio. El equipo de Seguridad de la Información está disponible para ayudar en el diseño.

El grupo Servicios de Infraestructura Empresarial es responsable de proporcionar y mantener un conjunto de software de VPN para que los equipos de estación de trabajo de Akamai puedan conectarse a la red corporativa desde fuera de los límites de seguridad del firewall de la empresa. Se recomienda utilizar este software únicamente en equipos Akamai que cumplan las normas y las políticas de seguridad. 

El acceso en el nivel de aplicación a la red corporativa se realiza mediante SSH. 

El acceso a la red corporativa se limita al software aprobado. Los empleados no pueden construir su propio acceso en la capa de red a la red corporativa. 

La red ESSL (despliegue seguro) es necesaria para cumplir otras normas del sector, por ejemplo, PCI-DSS.

Manipulación de medios  informáticos 

Los medios informáticos debe recibir atención en función de los datos almacenados en los distintos dispositivos. En la mayoría de los casos, son "Akamai Confidencial: solo para uso interno". Los medios de almacenamiento de información financiera, de recursos humanos, jurídica o de clientes deben tratarse de la manera apropiada. Akamai tiene también un proceso de destrucción de datos confidenciales y de eliminación de equipos. 

Algunos medios, en particular los CD de proveedores y de rescate, se distribuyen bajo un acuerdo de confidencialidad, aunque tan amplio que, en esencia, son públicos. Las personas que compilan esos CD tienen instrucciones de tener en cuenta este nivel de distribución y de no incluir información confidencial innecesaria.

Para la distribución dentro de la empresa, normalmente se evita el uso de medios extraíbles. En ciertos casos de distribución fuera de la empresa o para realizar copias de seguridad sin conexión de datos críticos, son apropiados CD-R, DVD o dispositivos de almacenamiento. Estos elementos deberán estar claramente marcados conforme a la sección 8, "Manipulación de la información". Estos medios deberán ser tratados con el mismo cuidado que los equipos que contienen datos, y borrarse o destruirse de forma segura cuando ya no se necesiten. Los datos Akamai Confidencial almacenados en memorias extraíbles dinámicas, como los dispositivos de almacenamiento USB y las tarjetas de memoria de PDA, teléfonos móviles, cámaras, etc. deberán eliminarse de forma segura cuando ya no se necesiten. 

El material Akamai Confidencial no se debe colocar en medios extraíbles ni llevar fuera de la empresa.