Visão geral
A Akamai potencializa e protege a vida online. Todos os dias, bilhões de pessoas se conectam com suas marcas favoritas para fazer compras online, jogar, compartilhar ideias, gerenciar finanças e muito mais. Elas podem não saber, mas a Akamai está lá, oferecendo uma experiência rápida, confiável e segura.
Para a Akamai, a segurança é importante de forma fundamental para a vida online moderna, e estamos comprometidos em proteger os dados de nossos clientes que são usados em nossos serviços, bem como em nossa infraestrutura corporativa. Para esse fim, implementamos um programa abrangente de segurança da informação, apoiado por tecnologias de segurança líderes, incluindo os próprios produtos e serviços de segurança da Akamai, para fornecer proteções abrangentes contra ameaças atuais e futuras.
Modelo de responsabilidade compartilhada
Os clientes controlam muitos aspectos das soluções da Akamai e, consequentemente, as decisões dos clientes têm um impacto na segurança. A Akamai, portanto, adota um modelo de responsabilidade compartilhada que define os papéis e responsabilidades de diferentes partes envolvidas na entrega e no consumo dos nossos produtos e serviços.
Nesse modelo, os clientes são responsáveis por utilizar os serviços apropriados da Akamai para a confidencialidade de seus dados, e configurá-los corretamente para lidar com os riscos associados à sua aplicação. Por exemplo, ao usar soluções de entrega de conteúdo, os clientes devem selecionar configurações de TLS e políticas de cache adequadas para seus casos de uso. Ao usar soluções de computação em nuvem, os clientes devem tomar medidas para proteger as cargas de trabalho executadas na Akamai, incluindo o gerenciamento seguro do sistema operacional e da pilha de software subjacentes. Da mesma forma, os clientes são responsáveis por proteger sua própria infraestrutura que integram aos serviços da Akamai.
Por sua vez, a Akamai é responsável pelo desenvolvimento e operação seguros da plataforma Akamai Connected Cloud que alimenta todos os nossos produtos, garantindo que os serviços da Akamai não violem as propriedades de segurança e privacidade ditadas pela configuração correta do cliente.
Mais informações sobre o modelo de responsabilidade compartilhada podem ser encontradas, por exemplo, nas Matrizes de responsabilidade para conformidade com o PCI DSS, disponíveis no website de Conformidade com segurança da informação da Akamai. Abaixo, detalhamos o programa de segurança da informação da Akamai e descrevemos como a Akamai cumpre sua parte das responsabilidades de segurança.
Governança de segurança da informação
A Akamai tem uma organização designada de segurança da informação, InfoSec, liderada pelo CSO (diretor de segurança). Essa equipe de especialistas em segurança tem a tarefa de assegurar o programa de segurança da informação da Akamai e supervisionar todos os aspectos de segurança na Akamai.
Embora a InfoSec seja uma organização independente, ela atua em coordenação com o restante empresa todos os dias, incluindo os departamentos de engenharia, serviços, jurídico e de recursos humanos, para gerenciar o perfil geral de risco de segurança da empresa.
A Akamai possui uma estrutura de governança bem estabelecida que apoia a capacidade da InfoSec de identificar, avaliar e mitigar riscos de segurança. O ISC (Comitê de Segurança da Informação) da Akamai é um órgão de governança de segurança fundamental presidido pelo CSO e composto por partes interessadas executivas internas de todo o negócio. Regularmente, o ISC troca informações sobre risco com a gerência sênior para embasar decisões críticas. Além disso, os membros do Conselho de Administração da Akamai recebem atualizações do CSO periodicamente sobre a postura de segurança.
Recursos
O programa de segurança da informação da Akamai foi projetado para proteger a Akamai Connected Cloud e, por sua vez, os dados que processamos em nome dos clientes da Akamai, bem como os sistemas corporativos internos, dados e pessoas da Akamai.
Alguns dos principais recursos de segurança que a Akamai utiliza são os seguintes.
Gerenciamento de riscos. A equipe de gerenciamento de riscos da InfoSec monitora continuamente a exposição da Akamai a riscos de segurança, identificando, avaliando e rastreando riscos emergentes e conhecidos por meio de nosso abrangente processo de gerenciamento de riscos. Os riscos são controlados em um registro central. Aqueles que excedem a tolerância da empresa são periodicamente comunicados aos órgãos de governança de segurança descritos anteriormente, e as ações de resolução são coordenadas com os respectivos proprietários dos riscos.
Monitoramento contínuo. A equipe de GSO (Operações Globais de Segurança) da InfoSec monitora continuamente os sistemas da Akamai, ingerindo e correlacionando sinais de segurança de várias fontes de dados por meio de uma equipe dedicada apoiada por automação e orquestração. O NOCC (Centro de Comando de Operações de Rede) complementa as capacidades da GSO monitorando continuamente os sistemas da Akamai quanto a desempenho, capacidade e indicações de problemas técnicos. Ambas as equipes são distribuídas em vários continentes com recursos de failover.
Gerenciamento de vulnerabilidades. A Equipe de Gerenciamento de Ameaças e Vulnerabilidades, liderada pela InfoSec, supervisiona o processo abrangente de gerenciamento de vulnerabilidades da Akamai, estabelecendo políticas e métricas gerais, avaliando a gravidade e o impacto das vulnerabilidades e fornecendo orientação aos proprietários dos sistemas para o mapeamento preciso de vulnerabilidades para seus ativos e a remediação atempada de problemas.
Gerenciamento de incidentes. A Akamai tem um processo sólido de gerenciamento de incidentes, projetado para garantir que a equipe apropriada esteja disponível para lidar com incidentes técnicos e de segurança. O processo de três fases envolve a contenção da ameaça imediata e a avaliação das circunstâncias para estabelecer uma força-tarefa de especialistas no problema em questão; a remediação completa e sua verificação de acordo com os critérios de resolução da equipe; e, por fim, análises pós-incidentes e melhorias de políticas, processos e controles de longo prazo com base nas lições aprendidas.
Inteligência de ameaças e pesquisa de segurança. Os especialistas em segurança da Akamai monitoram, analisam e respondem a ameaças emergentes. Eles têm o benefício de aproveitar a visibilidade única da Akamai sobre o tráfego e o cenário da Internet fornecidos pela maior e mais distribuída plataforma de nuvem do mundo. A Akamai colabora com parceiros do setor, agências de aplicação da lei, grupos de interesse especial, organizações profissionais, órgãos de normas do setor, instituições acadêmicas e comunidades de código aberto para aprimorar seus recursos de inteligência de ameaças. A Akamai também contribui com a literatura de segurança através de seus próprios recursos internos de pesquisa e compartilha insights inéditos com a comunidade.
Desenvolvimento seguro. O desenvolvimento seguro é uma responsabilidade compartilhada por todos os proprietários de sistemas e unidades de engenharia da Akamai, e a equipe de segurança de produtos liderada pela InfoSec fornece experiência de segurança especializada para designers e desenvolvedores de sistemas durante o processo. Além de supervisionar os geralmente aplicáveis recursos de design seguro, codificação segura e testagem segura em toda a empresa, além de responder a solicitações de orientação prática sob demanda, a equipe de segurança de produtos também incorpora arquitetos de segurança às equipes de desenvolvimento com as quais trabalham individualmente, conduzindo a modelagem de ameaças em estágios iniciais de design e, em seguida, direcionando os desenvolvedores ao longo das etapas formais de análise de segurança no processo padrão de desenvolvimento de sistemas da Akamai. A equipe interna de testes de penetração da Akamai complementa essas capacidades com exercícios de teste específicos do sistema quanto a ataques.
Conformidade com normas de segurança. A Akamai passa por auditorias recorrentes para demonstrar conformidade com a ISO 27001, ISO 27017, ISO 27018, ISO 27701, PCI DSS, SOC 2 Type 2, FedRAMP e muitas outras normas listadas no website de Conformidade com segurança da informação da Akamai. A Akamai também realiza periodicamente exercícios de verificação de vulnerabilidades e testes de penetração realizados por fornecedores terceirizados qualificados, conforme as exigências dessas normas de segurança.
Confiança do cliente. A equipe de Confiança do cliente da InfoSec é uma equipe de especialistas em segurança que trabalha com os clientes da Akamai, garantindo que suas perguntas de segurança sejam respondidas. A Confiança do cliente está disponível para discutir todos os aspectos do programa de segurança da informação, da arquitetura, do uso de criptografia e de outros detalhes técnicos de pequeno nível da Akamai, juntamente com suas implicações de segurança. A Confiança do cliente também coordena auditorias no local com clientes que desejam conferir as operações da Akamai mais de perto.
Conclusão
A Akamai se orgulha de ser um parceiro confiável para milhares de clientes em vários setores e regiões, oferecendo serviços de nuvem seguros e confiáveis que melhoram sua presença, segurança e desempenho online. A Akamai está sempre investindo em suas capacidades e inovações de segurança para ficar à frente do cenário de ameaças em evolução e proteger nossas plataformas, clientes e usuários finais de nossos clientes contra ataques cibernéticos.