Descripción general
Akamai potencia y protege la vida online. Todos los días, miles de millones de personas acceden online a sus marcas favoritas para comprar, jugar, compartir ideas o administrar dinero, entre otras. Puede que no lo sepan, pero Akamai está ahí para ofrecer una experiencia rápida, fiable y segura.
Akamai es consciente de que la seguridad es fundamental para la vida online moderna y nos comprometemos a proteger los datos de nuestros clientes que se utilizan en todos nuestros servicios así como en nuestra infraestructura corporativa. Con este fin, hemos implementado un completo programa de seguridad de la información, respaldado por las principales tecnologías de seguridad, incluidos los productos y servicios de seguridad propios de Akamai, para proporcionar protecciones completas contra las amenazas actuales y futuras.
Modelo de responsabilidad compartida
Los clientes controlan muchos aspectos de las soluciones de Akamai y, por lo tanto, sus decisiones afectan a la seguridad. Por ello, Akamai adopta un modelo de responsabilidad compartida que define las funciones y responsabilidades de las distintas partes implicadas en la distribución y el consumo de nuestros productos y servicios.
En este modelo, los clientes son responsables de aprovechar los servicios de Akamai adecuados para la confidencialidad de sus datos y configurarlos correctamente para abordar los riesgos asociados a sus aplicaciones. Por ejemplo, al utilizar soluciones de distribución de contenido, los clientes deben seleccionar la configuración de TLS y las políticas de almacenamiento en caché adecuadas para sus casos de uso. Al utilizar soluciones de cloud computing, los clientes deben tomar medidas para proteger las cargas de trabajo que ejecutan en Akamai, incluida la gestión segura del sistema operativo subyacente y la pila de software. Del mismo modo, los clientes son responsables de proteger su propia infraestructura que integran con los servicios de Akamai.
A su vez, Akamai es responsable del desarrollo y el funcionamiento seguros de la plataforma Akamai Connected Cloud, que impulsa todos nuestros productos, garantizando que los servicios de Akamai no infringen las propiedades de seguridad y privacidad dictadas por la configuración correcta del cliente.
Puede encontrar más información sobre el modelo de responsabilidad compartida, por ejemplo, en las matrices de responsabilidad para el cumplimiento del estándar PCI DSS, disponibles en el sitio de cumplimiento de la seguridad de la información de Akamai. A continuación, ampliamos el programa de seguridad de la información de Akamai y describimos cómo Akamai cumple su parte de responsabilidades en materia de seguridad.
Control de la seguridad de la información
Akamai cuenta con una organización de seguridad de la información designada, InfoSec, dirigida por el director de seguridad (CSO). Este equipo de expertos en seguridad se encarga de mantener el programa de seguridad de la información de Akamai y supervisar todos los aspectos de la seguridad en Akamai.
Aunque InfoSec es una organización independiente, se coordina estrechamente con el resto de la empresa cada día, incluidos los departamentos de ingeniería, servicios, jurídico y de recursos humanos, para gestionar el perfil de riesgo de seguridad general de la empresa.
Akamai cuenta con una estructura de control bien establecida que respalda la capacidad de InfoSec para identificar, evaluar y mitigar los riesgos de seguridad. El comité de seguridad de la información (ISC) de Akamai es un organismo clave de control de la seguridad presidido por el CSO y compuesto por partes interesadas ejecutivas internas de toda la empresa. El ISC intercambia regularmente información sobre riesgos con la alta dirección para tomar decisiones críticas. Además, los miembros de la junta directiva de Akamai reciben periódicamente actualizaciones sobre la situación de seguridad del CSO.
Capacidades
El programa de seguridad de la información de Akamai está diseñado para proteger Akamai Connected Cloud y, a su vez, los datos que procesamos en nombre de los clientes de Akamai, así como los sistemas corporativos internos, los datos y las personas de Akamai.
Algunas de las funciones de seguridad clave que Akamai emplea son las siguientes.
Gestión de riesgos. El equipo de gestión de riesgos de InfoSec supervisa continuamente la exposición a los riesgos de seguridad de Akamai, identificando, evaluando y realizando un seguimiento de los riesgos conocidos y emergentes a través de nuestro completo proceso de gestión de riesgos. Los riesgos se registran en un registro central de riesgos, el estado de los riesgos que superan la tolerancia al riesgo de la empresa se comunica periódicamente a los organismos de control de seguridad descritos anteriormente y los esfuerzos de resolución se coordinan con los respectivos propietarios de riesgos.
Supervisión continua. El equipo de operaciones de seguridad global (GSO) de InfoSec supervisa continuamente los sistemas de Akamai mediante la ingesta y correlación de señales de seguridad de varias fuentes de datos a través de un equipo dedicado respaldado por la automatización y la coordinación. El centro de control de operaciones de red (NOCC) complementa las capacidades de GSO al supervisar continuamente el rendimiento, la capacidad y las indicaciones de problemas técnicos de los sistemas de Akamai. Ambos equipos se encuentran repartidos en diferentes continentes, con capacidades de failover.
Gestión de vulnerabilidades. El equipo de gestión de amenazas y vulnerabilidades de InfoSec supervisa el proceso integral de gestión de vulnerabilidades de Akamai, estableciendo políticas y métricas generales, evaluando la gravedad y el impacto de las vulnerabilidades y proporcionando orientación a los propietarios de sistemas para la asignación precisa de las vulnerabilidades a sus activos y la corrección oportuna de los problemas.
Gestión de incidencias. Akamai cuenta con un sólido proceso de gestión de incidentes diseñado para garantizar que el personal adecuado esté disponible para abordar los incidentes técnicos y de seguridad. El proceso de tres fases implica la contención de la amenaza inmediata y la evaluación de las circunstancias para establecer un grupo de trabajo de expertos en la materia para el tema en cuestión, la completa remediación y su verificación de acuerdo con los criterios de resolución del equipo y, por último, las revisiones posteriores a los incidentes y las mejoras a largo plazo en materia de políticas, procesos y controles basadas en las lecciones aprendidas.
Inteligencia ante amenazas e investigación sobre seguridad. Los expertos en seguridad de Akamai supervisan, analizan y responden a las amenazas emergentes. Tienen la ventaja de aprovechar la visibilidad única de Akamai sobre el tráfico y el panorama de Internet que ofrece la plataforma en la nube más grande y distribuida del mundo. Akamai colabora con partners del sector, organismos encargados de hacer cumplir la ley, grupos de interés especial, organizaciones profesionales, organismos de normalización, instituciones académicas y comunidades de código abierto para mejorar sus capacidades de inteligencia ante amenazas. Akamai también contribuye a la literatura sobre seguridad con sus propias capacidades de investigación internas y comparte nuevos conocimientos con la comunidad.
Desarrollo seguro. El desarrollo seguro es una responsabilidad compartida por todos los propietarios de sistemas y unidades de ingeniería de Akamai, y el equipo de seguridad de productos de InfoSec proporciona experiencia especializada en seguridad a los diseñadores y desarrolladores de sistemas durante el proceso. Además de supervisar el diseño seguro, la codificación segura y los requisitos de pruebas de seguridad de aplicación general en toda la empresa y de responder a las solicitudes de orientación práctica bajo demanda, el equipo de seguridad de productos también proporciona a los equipos de desarrollo arquitectos de seguridad que trabajan codo con codo con ellos, realizando modelos de amenazas en las primeras fases de diseño y dirigiendo a los desarrolladores a través de las puertas de revisión de seguridad formales del proceso de desarrollo de sistemas estándar de Akamai. El equipo interno de pruebas de penetración de Akamai complementa estas capacidades con ejercicios de pruebas de adversarios específicos del sistema.
Cumplimiento de estándares de seguridad. Akamai se somete a auditorías periódicas para demostrar el cumplimiento de los estándares SO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 tipo 2, Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP) y muchos otros estándares incluidos en la lista de cumplimiento de la seguridad de la información de Akamai. Akamai también se somete periódicamente a pruebas de penetración y análisis de vulnerabilidades realizadas por proveedores externos cualificados, según lo requieran estos estándares de seguridad.
Confianza del cliente. El equipo de confianza del cliente de InfoSec es un equipo especializado de expertos en seguridad que se comunica con los clientes de Akamai para garantizar que se responde a sus preguntas de seguridad. Dicho equipo está disponible para tratar todos los aspectos del programa de seguridad de la información de Akamai, su arquitectura, el uso de criptografía y otros detalles técnicos de bajo nivel, junto con sus implicaciones de seguridad. También coordina las auditorías in situ con los clientes que desean analizar más de cerca las operaciones de Akamai.
Conclusión
Akamai se enorgullece de ser un partner de confianza para miles de clientes de diversos sectores y regiones, que ofrece servicios en la nube seguros y fiables que mejoran su presencia online, su seguridad y su rendimiento. Akamai invierte constantemente en sus innovaciones y capacidades de seguridad para mantenerse a la vanguardia del cambiante panorama de amenazas y proteger nuestras plataformas, clientes y usuarios finales de nuestros clientes de los ciberataques.