Programma InfoSec di Akamai

Il programma Information Security è concepito per fornire in modo chiaro e conciso policy, linee guida e standard per la sicurezza delle informazioni. Un personale informato, impegnato e coinvolto costituisce la migliore difesa di Akamai contro la perdita di informazioni sensibili. Ci si aspetta che tutto il personale valuti i rischi cui è esposta Akamai, sviluppi strategie di mitigazione e tenga sotto controllo l'efficacia dei sistemi di protezione.

Gli obiettivi del programma di sicurezza delle informazioni sono di:

  • Migliorare l'esperienza e la sicurezza dei nostri clienti
  • Rendere la sicurezza un vantaggio competitivo
  • Gestire i rischi di sicurezza e privacy al livello ritenuto appropriato dalla direzione di alto livello di Akamai
  • Essere conformi a tutti i requisiti legali e normativi nel modo più efficiente possibile
  • Fornire ai dipendenti una formazione sulla sicurezza costante

I principi fondamentali del programma di sicurezza di Akamai sono: 

Minimo privilegio.   Questo è il principio secondo il quale un'architettura, un prodotto o un servizio è progettato in modo tale che a ciascuna entità di sistema (ad es., un singolo utente o una macchina) siano concesse le risorse di sistema e le autorizzazioni minime necessarie a svolgere il proprio lavoro. Questo principio tende a limitare i danni che possono essere causati da un incidente o un errore o da un atto non autorizzato.

Negare tutto ciò che non è esplicitamente consentito.   Qualsiasi cosa cosa che non sia esplicitamente consentita è negata. Le impostazioni predefinite di tutte le configurazioni dovrebbero prevedere il rifiuto dell'accesso e il rifiuto delle modifiche, salvo esplicitamente necessarie secondo la specifica/contratto. 

Separazione di compiti.   La pratica di suddividere i passaggi in un sistema funziona tra diversi ruoli combinati con l'allocazione di responsabilità e privilegi, in modo tale da evitare che un individuo o piccolo gruppo di individui che collaborano, controllino in modo inappropriato più aspetti chiave di un processo e causino danni o perdite inaccettabili. 

Difesa approfondita.   Ciò funziona creando più livelli di sicurezza, suddividendo la rete in comparti e aggiungendo punti di controllo di accesso più prossimi ai vari asset protetti. Ciò consente che la sicurezza complessiva non sia legata a un singolo meccanismo di difesa.

Segmentazione dei rischi.   Questa è studiata per creare l'isolamento degli accessi deliberato e pre-pianificato ai soli dati che possono essere associati a persone designate e alla relativa "necessità di conoscere". Se un comparto viene compromesso, dovrà essere altrettanto difficile per un intruso ottenere l'accesso a ciascun comparto successivo. 

Errore protetto.   Quando si verifica un errore del sistema, per qualsiasi motivo, il sistema deve passare a uno stato protetto. Tale principio si applica anche all'avvio, in modo tale che quando un sistema viene inizializzato, lo stato iniziale sia quello più sicuro e quindi siano attivate le funzioni che ne mantengano tale stato sicuro Questo principio è spesso noto come “fail-closed.” 

Semplicità.   Un sistema semplice è più facile da proteggere di uno complesso, poiché vi sono minori possibilità di errore. I componenti e le funzioni inutilizzati e non necessari sono rimossi, al fine di ridurre la complessità, consentire una diagnostica più semplice e aumentare l'affidabilità.

Autenticazione e autorizzazione universali.   Per creare decisioni di controllo dell'accesso esplicite è utilizzata l'autorizzazione basata su identità e ruolo, istituita rigidamente. La comunità dei sistemi di autenticazione riduce la necessità per l'utente di gestire molti segreti di autenticazione; la comunità dei sistemi di autorizzazione riduce la probabilità di autorizzazioni non controllate, violando il minimo privilegio quando i dipendenti cambiano ruolo.

Responsabilità   Un elemento essenziale dei sistemi di sicurezza è la capacità di stabilire chi ha eseguito un determinata azione e quali azioni si sono verificate durante un specifico intervallo di tempo. Le violazioni o i tentativi di violazione della sicurezza dei computer può essere fatta risalire ai singoli o alle entità che possono essere ritenute responsabili.

Chi è responsabile di cosa

Il reparto InfoSec, sotto la direzione del Chief Security Officer, è responsabile delle seguenti funzioni di sicurezza: 

  • Controllare la sicurezza sulle reti (produzione) implementate 
  • Sviluppare e gestire il sistema di registrazione delle vulnerabilità 
  • Sviluppare e gestire il sistema di registrazione di autenticazione 
  • Coordinarsi con il reparto legale sull'applicazione della legge
  • Condurre indagini interne sulla sicurezza correlate alle violazioni della policy
  • Comunicare l'arrivo di progetti e prodotti
  • Controllare le revisioni e valutazioni di sicurezza
  • Rispondere agli eventi riguardanti la sicurezza
  • Fornire consapevolezza, formazione e suggerimenti sulla sicurezza 
  • Gestire le questioni di sicurezza dei clienti rivolti all'esterno
  • Controllare il processo di gestione degli eventi 
  • Controllare il processo e i progetti di vulnerabilità grave 
  • Monitorare le minacce e comunicarle al pubblico e raccontare al pubblico generale la storia della sicurezza di Akamai

Il gruppo per la sicurezza dell'impresa è responsabile del controllo della sicurezza dei sistemi e delle reti dell'azienda. Ciò comprende:

  • Valutazioni di sicurezza per applicazioni nuove e di produttività
  • Coordinamento con i team dei servizi di infrastruttura dell'impresa che supportano l'ambiente aziendale
  • Gestione della sicurezza reattiva in merito agli aggiornamenti per phishing, malware e firme

Tutti i direttori e manager hanno la responsabilità di garantire che i processi di sicurezza delle informazioni siano integrati nei processi operativi della propria organizzazione e che il personale sia conforme a tutte le policy, processi, standard e linee guida di sicurezza. Tutti i manager hanno la responsabilità di garantire l'appropriata formazione sulla sicurezza del personale che lavora sotto la loro direzione.

I titolari di risorse, applicazioni, repository e database informativi hanno la responsabilità di creare e gestire policy, procedure, linee guida e standard atte a proteggere in modo appropriato i dati a loro affidati. Ad esempio, potrebbero documentare ruoli e responsabilità appropriati per gli amministratori e gli utenti dell'applicazione. Tali titolari sono responsabili del monitoraggio e dell'auditing dei propri controlli atti a garantire la compliance.

I dipendenti hanno la responsabilità di leggere, comprendere e conformarsi a tutte le policy, procedure, linee guida e standard pertinenti al proprio ruolo. Sono inoltre tenuti a confermare annualmente di aver ricevuto documenti relativi alla formazione e alle policy.

Il consiglio di revisione di architettura è costituito da architetti di ciascun servizio o parte importante dell'organizzazione tecnica e delle Platform Operations di Akamai, salvo quelli provenienti dalle divisioni Luna e Aura. Collettivamente e singolarmente, il consiglio di revisione di architettura ha il compito di assicurare l'integrità del sistema Akamai.

Il Chief Security Architect è membro di questo gruppo e ha la responsabilità di definire e gestire l'architettura di sicurezza, integrare soluzioni di architettura di sicurezza con le architettura d'infrastruttura di rete implementate e fornire revisioni di sicurezza strategiche e tattiche.

Il Vice President of Corporate Services fornisce alla dirigenza di livello superiore rapporti in tempo reale sugli eventi e incidenti fisici che necessitano di esame durante tutto l'anno.

Il Senior Director of Systems Administration e il Vice President of Corporate Services hanno la responsabilità di autorizzare l'accesso alle strutture di elaborazione delle informazioni aziendali.

L'Executive Vice President of Platform ha la responsabilità di autorizzare le strutture di elaborazione delle informazioni di rete implementate. I server di rete implementati di Akamai sono distribuiti nelle strutture di tutto il mondo. Akamai richiede ai partner di strutture di co-location di limitare l'accesso fisico alle persone con previa autorizzazione e dotati di fotografia identificativa. Akamai richiede anche ai propri provider di imporre la verifica delle richieste di servizio Akamai; i provider non possono tentare di ottenere alcun tipo di accesso ai sistemi Akamai senza istruzioni scritte di Akamai.

Il reparto legale gestisce un modulo di Non-Disclosure Agreement (NDA). Una copia firmata di tale modulo deve essere consegnata al reparto legale prima di condividere informazioni riservate con persone non dipendenti. I singoli dipendenti hanno la responsabilità di comprendere la natura delle informazioni che divulgano e di assicurare che tutti i dati sensibili di Akamai siano opportunamente identificati come tali. Se un dipendente ha qualsiasi dubbio su quali procedure sia necessario adottare, è tenuto a consultare il NDA e l'Acceptable Use Policy (AUP).

Diligenza giornaliera

Invece di affidarsi a una valutazione dei rischi annuale, Akamai gestisce i rischi relativi alle proprie reti implementate su base continua. Le vulnerabilità sono analizzate e gestite su base giornaliera. Vulnerabilità critiche che possono determinare divulgazione, alterazione o distruzione di dati sensibili sono trasformate in incidenti di sicurezza formali, gestiti tramite il "Processo di gestione delle crisi e degli incidenti tecnici". Vulnerabilità e incidenti sono esaminati durante tutto l'anno insieme al team esecutivo.

Akamai ha implementato un quadro di valutazione delle vulnerabilità multi-fase. I rischi di sicurezza sono soggetti a una valutazione dei rischi qualitativa, così come delineato nella Matrice dei rischi, che valuta la gravità potenziale di un rischio, nonché degli hacker che potrebbero creare istanze di tali rischio. In base a questi due fattori, la vulnerabilità riceve una classificazione che indica la gravità del rischio. Inoltre, anche i rischi causati da difetti software vengono classificati mediante il sistema di punteggio di vulnerabilità comune (CVSS), incentrato maggiormente sulla probabilità invece che sul danno potenziale.

In base ai punteggi del rischio e CVSS, viene assegnata priorità ai progetti di rimedio tra manager di linea e/o titolari di sistema e InfoSec. InfoSec gestisce un database di rischi di sicurezza valutati ed è responsabile della valutazione di nuovi rischi identificati e dell'identificazione delle aree a rischio che necessitano di ulteriore valutazione.

Gestione delle informazioni

Akamai utilizza una classificazione delle informazioni a quattro livelli: 
  • Akamai Pubbliche
  • Akamai Riservate: Necessario NDA per il rilascio 
  • Akamai Riservate: Solo per uso interno
  • Akamai Riservate: Distribuzione limitata

Coloro che gestiscono i documenti Akamai ricevono istruzioni inerenti l'appropriata etichettatura degli stessi, al fine d'indicarne la classificazione e la sensibilità delle informazioni. L'etichettatura dei documenti avvisa il detentore del documento della presenza di informazioni proprietarie e riservate e lo avverte di eventuali requisiti di accesso speciale, controlli o protezioni.

La policy di Akamai prevede che le informazioni in qualsiasi forma siano accompagnate da tempistiche di conservazione ed eliminazione in base alla motivazione di business, secondo quanto documentato dal titolare delle informazioni stesse. Il reparto legale ha la responsabilità di definire la policy di Conservazione dei record.

La policy stabilisce inoltre che le informazioni relative a controversie legali esistenti o potenziali che coinvolgono la società, debbano essere conservate. Se un utente ha domande concernenti l'eventuale pertinenza delle informazioni a controversie legali potenziali o esistenti, è tenuto a contattare un membro del reparto legale.

Sono istituite procedure per la gestione e l'archiviazione delle informazioni atte a proteggere le stesse da divulgazione non autorizzata o utilizzo erroneo. I manager hanno la responsabilità di garantire l'appropriata formazione sulla sicurezza del personale che lavora sotto la loro direzione per l'adozione corretta di tali procedure.

Coloro che sono responsabili di tutti i supporti di storage contenenti informazioni riservate di Akamai sono tenuti a cancellare le voci secondo i principi generalmente accettati prima dello smaltimento. Nel caso in cui il supporto non possa essere cancellato, questo viene fisicamente distrutto mediante il meccanismo previsto dal Vice President of Corporate Services di Akamai.

Lo smaltimento di informazioni non elettroniche, scadute od obsolete (ad esempio, cartacee) avviene mediante l'utilizzo di meccanismi autorizzati. Il Vice President of Corporate Services di Akamai ha la responsabilità di fornire un servizio per la distruzione dei documenti e assicurare che siano presenti contenitori presso le strutture Akamai.

Alcuni tipi di informazioni necessitano di gestione speciale: 

Informazioni finanziarie e sui dipendenti: Questa categoria comprende tutte le informazioni finanziarie Akamai non pubbliche, nonché quelle private relative ai dipendenti Akamai. Coloro che gestiscono queste informazioni sono tenuti a contrassegnarle in modo evidente con un elenco delle persone autorizzate ad accedervi. Ad esempio, le informazioni relative alla cronologia personale del dipendente devono essere contrassegnate "Akamai Riservate: Distribuzione limitata". 

Posta elettronica: Tutti i dipendenti sono tenuti ad attenersi alla "Policy sull'utilizzo delle comunicazioni elettroniche". Data la natura non sicura della comunicazione elettronica, è opportuno prestare attenzione prima di inviare informazioni sensibili via posta elettronica. Tutti i sistemi di posta elettronica devono adottare meccanismi di protezione adeguati per salvaguardare la posta elettronica in transito e archiviata. Possono essere utilizzati controlli crittografici per proteggere informazioni sensibili inviate mediante posta elettronica. 

Telefoni e informazioni sensibili: Akamai dispone di risorse che i dipendenti possono utilizzare per trattare con tentativi di social engineering sospetti, problemi di telefonia mobile e malware.

Comunicazione Internet: Il reparto legale ha definito la policy aziendale riguardante "forum, chat room e policy di divulgazione pubblica. "Le informazioni riservate di Akamai non devono essere divulgate né discusse nei siti Web personali o nei blog (e-journal). I mezzi di informazione, analisti di settore e altre esplorano regolarmente i blog alla ricerca di informazioni interne sensibili. Gli account di social network che utilizzano il nome o il logo Akamai o altre informazioni che implicano che l'account rappresenti la società sono limitati al personale autorizzato. Le informazioni riservate di Akamai non possono essere divulgate pubblicamente sui siti di social network.

Lavorare con persone esterne

Il programma di sicurezza delle informazioni è pertinente anche all'interazione con servizi esterni che forniscono artwork e materiale pubblicitario, assistenza nelle relazioni pubbliche e pianificazione delle riunioni, eseguono stampa e copia di materiali aziendali sensibili per presentazioni ai clienti, richieste governative e di conferenza e offrono altri servizi ad Akamai. Sono compresi staff di strutture, subappaltatori di sicurezza, manutenzione, staff di custodia e decorazione. 

I nostri dati sono maggiormente vulnerabili quando in transito. Onde evitare la sottrazione o il danneggiamento dei dati in transito, vengono prese misure ragionevoli per la protezione di informazioni preziose. Per il trasporto fisico dei dati tra siti, sono utilizzate le sale postali Akamai. Akamai adotta inoltre standard di sicurezza per la protezione dei dati fermi/in archivio.

Le imprese esterne che gestiscono i dati per conto di Akamai sono tenuti a trattare tali dati con la stessa cura che avrebbe Akamai. 

La policy stabilisce che le password Akamai non devono mai essere trasmesse in rete senza essere crittografate — durante la loro digitazione in un browser Web, verificare la presenza dell'icona del "lucchetto" del protocollo SSL. Se qualcuno inavvertitamente trasmette una password in modo non sicuro, è tenuto ad avvisare il reparto InfoSec e il titolare del sistema per la guida sulla rotazione della password. 

Coloro che viaggiano con informazioni sensibili sono tenuti ad assumere precauzioni supplementari. La quantità di materiale sensibile trasportato deve essere limitato allo stretto necessario. Se informazioni sensibili sono contenute in un computer portatile, questo deve rimanere sempre sotto il controllo del dipendente. Non deve mai essere lasciato presso un deposito bagagli o altrimenti posto al di fuori del controllo del dipendente Akamai. Le informazioni sensibili non devono mai essere discusse sui mezzi pubblici o nelle aree pubbliche. 

La policy stabilisce che le discussioni di informazioni sensibili devono essere evitate, salvo non sia in atto un appropriato accordo NDA e la discussione non abbia luogo in privato. 

I dipendenti che svolgono presentazioni in pubblico e partecipano a discussioni presso assemblee di settore sono tenuti ad assicurare che le proprie presentazioni o discussioni siano appropriate e approvate dal supervisore. Nelle fiere, Akamai non divulga mai in anticipo informazioni su ciò che pianifica o su cosa sta lavorando, a meno che non sia stato approvato per il rilascio al pubblico. 

Documenti e materiali sensibili non appartengono alle fiere. I dipendenti devono prestare attenzione e proteggere il materiale sensibile durante la spedizione, prima, durante e dopo le riunioni e le fiere. 

Akamai coopera pienamente con tutte le agenzie di applicazione delle leggi tramite il team di sicurezza delle informazioni. I dipendenti sono tenuti a prendere il nome della persona, l'affiliazione governativa e le informazioni di contatto e passare immediatamente la richiesta al reparto legale. Devono inoltre astenersi dal fornire informazioni di Akamai senza l'autorizzazione del team di sicurezza delle informazioni.

Relazioni pubbliche 

Annunci di novità e notiziari regolari concernenti eventi, programmi e servizi di Akamai sono emessi esclusivamente dal personale autorizzato. Le richieste di commenti da parte dei mezzi d'informazione sono veicolati attraverso il reparto comunicazioni aziendali.

Il Senior Director of Corporate Communications ha in atto una strategia di comunicazione e policy che forniscono linee guida aziendali specifiche per l'interazione con i media. 

Per le richieste dei clienti sui servizi messi a disposizione dalla divisione o gruppo, i dipendenti sono tenuti a prendere il nome e il numero telefonico della persona e passare la richiesta a un rappresentante autorizzato nel proprio gruppo. Devono inoltre astenersi dal fornire copie o informazioni di elenchi dipendenti o rubriche Akamai ai fornitori, agenzie di collocamento o altre entità alla ricerca di tali informazioni.

Tutte le richieste di informazioni di analisti di settore devono essere indirizzate al reparto relazioni con gli analisti. Per ulteriori dettagli fare riferimento al reparto comunicazioni aziendali.

Sicurezza fisica 

Le responsabilità di sicurezza fisica di Akamai sono suddivise tra servizi aziendali, tecnica delle infrastrutture di rete (implementazione) e Platform Operations. Ogni dipendente è responsabile della sicurezza della propria area di lavoro e delle attrezzature a esso assegnate.

Il Vice President of Corporate Services ha la responsabilità della sicurezza fisica di tutti gli uffici Akamai. 

Sono necessarie misure di controllo degli accessi per tutti gli uffici e i data center Akamai. I non dipendenti devono timbrare l'accesso e l'uscita e devono sempre essere accompagnati. Gli spostamenti all'interno di tali aree devono essere agevoli per i dipendenti, ma difficoltosi per gli intrusi. 

I dipendenti di Akamai hanno generalmente accesso a tutti gli ambienti di lavoro comuni, quali uffici, stanzini e sale riunione. Le aree critiche, quali i data center interni e le aree visitate raramente, quali dispense, sono limitate solo alle persone con esigenza di accesso documentate. Il titolare organizzativo dell'area è responsabile della revisione almeno annuale dell'elenco del personale autorizzato. 

Il Vice President of Corporate Services ha la responsabilità di fornire gli appropriati allarmi coercizione. 

Il Vice President of Corporate Services ha la responsabilità del processo di segnalazione degli incidenti di sicurezza.

Network Operations Command Center (NOCC)

Il maggior Network Operations Command Center (NOCC) di Akamai è ubicato a Cambridge, Massachusetts, USA. Ulteriori NOCC sono ubicati in vari paesi. L'accesso fisico è limitato al personale autorizzato e controllato tramite chiave a tessera. Il NOCC è dotato di personale di Platform Operations 24 ore su 24 e 7 giorni su 7. 

Il Senior Director of Global Network Operations è responsabile della sicurezza del NOCC. 

Il Director of Infrastructure Engineering ha la responsabilità della sicurezza fisica delle reti implementate di Akamai. Ciò comprende l'identificazione dei rischi delle strutture esterne e dei provider utilizzati dalla rete implementata e l'istituzione di appropriati controlli e protezioni di mitigazione. 

Il Director of Network Infrastructure ha la responsabilità di assicurare che siano condotti un'appropriata revisione delle procedure di risposta agli incidenti delle strutture esterne, piani di disaster recovery e contratti di livello di servizio prima che qualsiasi sistema Akamai sia implementato sulla struttura.

La rete Secure Content Delivery (ESSL) di Akamai richiede controlli speciali, ad esempio, i server ESSL devono essere implementati solo in armadi con serratura e con videocamere a rilevamento di movimento. Il gruppo Network Infrastructure Engineering (implementazione) deve prendere in considerazione i requisiti di sicurezza durante la selezione dei partner e dei fornitori di rete. 

Sebbene la maggior parte dei visitatori di Akamai abbia motivi legittimi per visitare la società, esistono policy relative ai visitatori personalizzate secondo le specifiche strutture e aree. La policy stabilisce che: 

  • siano sempre indossati i badge in modo visibile in tutte le sedi Akamai e che i dipendenti chiedano di vedere i badge dei visitatori o che si rivolgano alla sicurezza aziendale. 
  • I visitatori a breve termine devono sempre essere accompagnati da un dipendente quando si trovano nella proprietà Akamai.
  • I dipendenti devono prestare attenzione durante il varco delle porte; sebbene sia perfettamente ragionevole tenere aperta la porta per un collega, è altrettanto ragionevole verificare che il badge sia visibile. 
  • Quando si attendono visitatori nell'area di lavoro, le informazioni riservate devono essere riposte oppure occultate. 
  • Devono essere confermate la chiara "necessità di conoscere" e l'esistenza di un accordo NDA prima di discutere informazioni di proprietà o concedere l'accesso ad aree in cui i visitatori possano sentire o essere esposti a informazioni sensibili, processi di proprietà o dati visualizzati sugli schermi dei computer. 
  • L'infrastruttura critica deve essere situata in aree sicure. Impianti di alimentazione elettrica e di raffreddamento ridondanti e sistemi di rilevamento e protezione antincendio fanno parte di una protezione di riferimento. I sistemi che richiedono elevata disponibilità dispongono di impianti ridondanti situati in data center alternativi per mitigare altre minacce ambientali impreviste. I cablaggi di alimentazione e dati sono limitati alle aree protette. Il cablaggio esistente tra le aree protette è posato all'interno di canaline.

Gestione degli incidenti

La policy stabilisce che tutti gli incidenti di sicurezza, punti deboli e malfunzionamenti siano segnalati nel modo più sollecito possibile.

Platform Operations dispone di staff addestrato per gestire gli incidenti di sicurezza che influiscono sulla rete distribuita ed è il centro di tutta la gestione e risposta agli incidenti di sicurezza. Il NOCC nominerà un manager incidenti per risolvere il problema e coinvolgere altro personale o reparti secondo necessità, ai sensi della procedura di risposta agli incidenti tecnici. 

Se si sospetta o si ha la conferma che si tratta di un evento di sicurezza delle informazioni, il problema viene assegnato a un esperto in materia di sicurezza. Molti esperti in materia di sicurezza sono anche Technical Incident Managers (TIM) addestrati.

Per l'analisi dei rapporti su incidenti critici e altri eventi riguardanti la sicurezza sono organizzate riunioni settimanali.

Un membro di InfoSec raccoglie la prova fisica, che viene tenuta sempre sotto controllo positivo finché non può essere fornita a un esponente di applicazione della legge o al tribunale. Ove disponibile, sono utilizzate buste di catena di custodia per prove di dimensioni adeguate. Qualsiasi prova che non possa essere trasferita a un esponente di applicazione della legge viene riposta all'interno di un ufficio chiuso a chiave o in una cassaforte con accesso limitato al team di sicurezza delle informazioni. 

Le prove digitali devono essere raccolte da un membro di InfoSec con l'assistenza di membri di altri team, secondo necessità. Tutte le prove devono essere firmate con crittografia e registrate su un supporto rimovibile che deve essere riposto, ove possibile, all'interno del reparto di sicurezza delle informazioni.

Gestione della rete 

Il processo di Akamai comprende i controlli di rete atti a mitigare i rischi per Akamai durante il trasferimenti dei dati attraverso la rete.

Le installazioni su sistemi utente (ad es., uffici aziendali) o sistemi di back-end non destinati all'uso globale (ad es., server di database) devono essere protetti tramite dispositivi firewall separati. Il Network Engineering è responsabile dell'installazione e configurazione dei firewall.

I servizi che necessitano di superare il firewall vengono presi in considerazione per la reimplementazione in maniera più sicura, ad esempio con incapsulamento a livello di applicazione o VPN da sito a sito. Il team della sicurezza delle informazioni è disponibile per assistenza di progettazione.

Il gruppo Enterprise Infrastructure Services ha la responsabilità di fornire e supportare una suite di software VPN per consentire ai computer workstation di Akamai di connettersi alla rete aziendale dall'esterno del confine di sicurezza del firewall aziendale. Si consiglia caldamente di utilizzare questo software esclusivamente su sistemi conformi alla policy e agli standard di sicurezza di Akamai. 

L'accesso a livello di applicazione alla rete aziendale è disponibile attraverso SSH. 

L'accesso alla rete aziendale è limitato al software approvato. I dipendenti non possono costruire un proprio accesso a livello di rete sulla rete aziendale. 

È necessaria la rete ESSL (implementata in modo sicuro) per soddisfare standard industriali supplementari, quale PCI-DSS.

Gestione dei supporti  del computer 

I supporti del computer devono ricevere attenzione in base ai dati memorizzati sui vari dispositivi. Nella maggior parte dei casi, si tratta di “Akamai Riservate: Solo per uso interno." I supporti di archiviazione per informazioni finanziarie, delle risorse umane, legali o dei clienti devono essere trattati in modo appropriato. Akamai prevede inoltre un processo per la distruzione dei dati sensibili e lo smaltimento delle attrezzature. 

Alcuni supporti — in particolare CD fornitori e di ripristino — sono distribuiti ai sensi di un accordo NDA, ma a un livello così esteso da diventare essenzialmente pubblici. Coloro che realizzano tali CD devono essere consapevoli di tale livello di distribuzione e prestare attenzione a non includere informazioni riservate non necessarie.

Per la distribuzione all'interno della società, l'utilizzo di supporti rimovibili è generalmente evitato. In taluni casi di distribuzione al di fuori della società o per il backup off-line di dati cruciali, è appropriato l'utilizzo di CD-R, DVD o dispositivi di archiviazione. Tali elementi devono essere contrassegnati chiaramente secondo la sezione 8, "Gestione delle informazioni". Tali supporti devono essere trattati con la medesima cura del computer che contiene i dati e cancellati o distrutti in modo sicuro quando non più necessari. I dati riservati di Akamai contenuti su memoria rimovibile dinamica, quali dispositivi di archiviazione USB e schede di memoria per PDA, telefoni cellulari, fotocamere e così via, devono essere eliminati in modo sicuro quando non più necessari. 

Il materiale riservato di Akamai non deve essere memorizzato all'interno di supporti rimovibili e portato al di fuori della società.