Panoramica
A sostegno e protezione della vita online c'è sempre Akamai. Ogni giorno, miliardi di persone in tutto il mondo si connettono con i loro brand preferiti per effettuare acquisti online, giocare ai videogiochi, condividere idee, gestire il denaro e molto altro. Forse non lo sanno, ma Akamai è lì che fornisce experience rapide, affidabili e sicure.
Akamai sa che la sicurezza è fondamentalmente importante per la vita online moderna ed è focalizzata nell'intento di proteggere i dati dei suoi clienti che vengono utilizzati nei servizi offerti, nonché nell'infrastruttura aziendale. A tale scopo, abbiamo implementato un programma completo sulla sicurezza delle informazioni con il supporto delle principali tecnologie di sicurezza, inclusi i nostri prodotti e servizi per la sicurezza, al fine di fornire sistemi di protezione completi dalle minacce attuali e future.
Modello di responsabilità condivisa
I clienti controllano molti aspetti delle soluzioni di Akamai e, di conseguenza, le loro decisioni influiscono sulla sicurezza. Akamai, pertanto, adotta un modello di responsabilità condivisa che definisce i ruoli e le responsabilità delle diverse parti coinvolte nella delivery e nell'utilizzo dei propri prodotti e servizi.
In questo modello, i clienti sono responsabili dell'utilizzo dei servizi di Akamai appropriati per la sensibilità dei loro dati e della loro corretta configurazione per affrontare i rischi associati con le loro applicazioni. Ad esempio, durante l'utilizzo delle soluzioni per la delivery dei contenuti, i clienti devono selezionare le impostazioni TLS e le policy relative alla memorizzazione nella cache più appropriate per i loro casi di utilizzo. Durante l'uso delle soluzioni di cloud computing, i clienti devono eseguire operazioni appropriate per proteggere i carichi di lavoro che vengono eseguiti sulla piattaforma di Akamai, inclusa la gestione sicura del sistema operativo e dei programmi software sottostanti. Analogamente, i clienti sono responsabili della protezione delle loro infrastrutture integrate con i servizi di Akamai.
A sua volta, Akamai è responsabile della sicurezza dello sviluppo e delle operazioni della piattaforma Akamai Connected Cloud su cui vengono eseguiti tutti i suoi prodotti, garantendo che i servizi di Akamai siano conformi alle proprietà di sicurezza e privacy imposte dalla configurazione corretta dei clienti.
Ulteriori informazioni sul modello di responsabilità condivisa sono disponibili, ad esempio, nelle matrici delle responsabilità per la conformità al PCI DSS sul sito di Akamai alla pagina relativa alla conformità agli standard di sicurezza delle informazioni . Di seguito, vengono riportati i dettagli del programma sulla sicurezza delle informazioni di Akamai, spiegando anche come Akamai svolge la sua parte delle responsabilità di sicurezza.
Governance della sicurezza delle informazioni
Akamai si avvale di un'organizzazione designata per la sicurezza delle informazioni (InfoSec), il cui team è guidato dal CSO (Chief Security Officer). Questo team di esperti di sicurezza ha il compito di mantenere il programma sulla sicurezza delle informazioni di Akamai e di supervisionare tutti gli aspetti della sicurezza in Akamai.
Anche se è un'organizzazione indipendente, InfoSec ogni giorno si coordina strettamente con il resto delle attività aziendali, inclusi i team che si occupano di progettazione, servizi, aspetti legali e risorse umane, per gestire il profilo di rischio della sicurezza complessiva dell'azienda.
Akamai presenta una struttura di governance ben consolidata che supporta la capacità di InfoSec di identificare, valutare e mitigare i rischi per la sicurezza. L'ISC (Information Security Committee) di Akamai è un organo amministrativo importante per la sicurezza, che è presieduto dal CSO ed è composto dai dirigenti interni dell'azienda. L'ISC scambia regolarmente informazioni sui rischi con i Senior Manager per prendere le decisioni importanti in modo oculato. Inoltre, i membri del consiglio di amministrazione di Akamai ricevono periodicamente aggiornamenti sul livello di sicurezza da parte del CSO.
Funzionalità
Il programma sulla sicurezza delle informazioni di Akamai è progettato con l'intento di proteggere l'Akamai Connected Cloud e i dati elaborati per conto dei clienti di Akamai, nonché il personale, i sistemi e i dati aziendali interni di Akamai.
Di seguito, vengono riportate alcune delle principali funzioni di sicurezza utilizzate da Akamai.
Gestione dei rischi. Il team dedicato alla gestione dei rischi di InfoSec monitora continuamente l'esposizione ai rischi per la sicurezza di Akamai, identificando, valutando e tracciando i rischi emergenti e quelli noti tramite un processo completo per la gestione dei rischi. I rischi vengono riportati in un apposito registro centralizzato, lo stato dei rischi che superano la soglia tollerata dall'azienda viene periodicamente comunicato agli organi amministrativi di sicurezza descritti in precedenza e le operazioni di risoluzione vengono coordinate con i rispettivi responsabili dei rischi.
Monitoraggio continuo. Il team GSO (Global Security Operations Team) all'interno di InfoSec monitora continuamente i sistemi di Akamai ricavando e correlando i segnali di sicurezza da diverse fonti di dati tramite un team dedicato con il supporto delle operazioni di automazione e coordinamento. Il NOCC (Network Operations Command Center) va ad aggiungersi alle funzionalità del GSO monitorando continuamente i sistemi di Akamai per verificarne le performance e la capacità, nonché la presenza di problemi tecnici. Entrambi i team sono distribuiti in diversi continenti e dispongono di funzionalità di failover.
Gestione delle vulnerabilità. Il team addetto alla gestione delle vulnerabilità e delle minacce all'interno di InfoSec si occupa di supervisionare il processo completo di gestione delle vulnerabilità di Akamai, stabilendo metriche e policy fondamentali, valutando la gravità e l'impatto delle vulnerabilità e fornendo una guida ai proprietari dei sistemi per consentire un'accurata mappatura delle vulnerabilità presenti nelle loro risorse e una tempestiva risoluzione dei problemi.
Gestione degli incidenti. Akamai presenta un solido processo di gestione degli incidenti, che è stato progettato con l'intento di garantire la disponibilità del personale appropriato per risolvere problemi tecnici e di sicurezza. Il processo costituito da tre fasi prevede il contenimento della minaccia immediata e la valutazione delle circostanze per stabilire una task force composta da esperti del settore per risolvere il problema, la mitigazione completa e la verifica in base ai criteri di risoluzione del team e, infine, le revisioni post-incidente e le policy, i processi e i miglioramenti dei controlli a lungo termine sulla base delle lezioni apprese.
Intelligence sulle minacce e ricerca sulla sicurezza. Gli esperti della sicurezza di Akamai monitorano, analizzano e rispondono alle minacce emergenti con il vantaggio di utilizzare l'esclusiva visibilità di Akamai sul traffico di Internet e sul panorama delle minacce, che viene fornita dalla piattaforma cloud più ampia e distribuita al mondo. Akamai collabora con partner di settore, forze dell'ordine, gruppi di interesse speciale, organizzazioni professionali, organismi di normazione, istituzioni accademiche e community open-source per migliorare le sue funzionalità di intelligence sulle minacce. Akamai, inoltre, contribuisce ad ampliare la letteratura sulla sicurezza con le sue funzionalità di ricerca interne e condivide le nuove informazioni con la community.
Sviluppo sicuro. Lo sviluppo sicuro è una responsabilità condivisa da tutti i proprietari di sistemi e da tutte le unità di progettazione in Akamai, mentre il team addetto alla sicurezza dei prodotti all'interno di InfoSec fornisce competenze di sicurezza specializzate a sviluppatori e progettisti di sistemi durante il processo. Oltre a supervisionare la progettazione sicura generalmente applicabile, la codifica sicura e i requisiti per l'esecuzione di test sulla sicurezza a livello aziendale e a rispondere alle richieste di assistenza pratica on-demand, il team addetto alla sicurezza dei prodotti, inoltre, fornisce ai team addetti allo sviluppo architetti della sicurezza che lavorano singolarmente con i membri del team, eseguendo la modellazione delle minacce nelle fasi iniziali della progettazione, quindi aiutando gli sviluppatori nelle revisioni formali di sicurezza nell'ambito del processo di sviluppo dei sistemi standard di Akamai. Il team addetto ai test di penetrazione interni di Akamai aggiunge a queste funzionalità esercizi di test contraddittori specifici dei sistemi.
Conformità agli standard di sicurezza. Akamai viene sottoposta ad audit ricorrenti per verificare la sua conformità agli standard ISO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 Tipo 2, FedRAMP e molti altri standard elencati nel sito di Akamai alla pagina relativa alla conformità agli standard di sicurezza delle informazioni . Akamai viene anche sottoposta ad esercizi sui test di penetrazione e sulla scansione di vulnerabilità eseguiti da vendor qualificati di terze parti, come richiesto da questi standard di sicurezza.
Fiducia dei clienti. Il team dedicato alla fiducia dei clienti all'interno di InfoSec è un team specializzato e costituito da esperti di sicurezza che si interfacciano con i clienti di Akamai, garantendo una risposta alle loro domande sulla sicurezza. Il team dedicato alla fiducia dei clienti è disponibile per discutere di tutti gli aspetti del programma sulla sicurezza delle informazioni di Akamai, dell'architettura, dell'uso della crittografia e di altri dettagli tecnici di basso livello insieme alle loro implicazioni di sicurezza. Il team dedicato alla fiducia dei clienti coordina anche l'esecuzione di audit in loco con i clienti che desiderano osservare più da vicino le operazioni di Akamai.
Conclusione
Akamai è lieta di essere considerata un partner affidabile per migliaia di clienti che operano in vari settori e aree geografiche, offrendo servizi cloud sicuri e affidabili che migliorano i loro livelli di presenza online, sicurezza e performance. Akamai investe costantemente nelle sue innovazioni e funzionalità di sicurezza per stare al passo con il panorama delle minacce in continua evoluzione e per proteggere le proprie piattaforme, i propri clienti e gli utenti finali dei propri clienti dagli attacchi informatici.