Política de desarrollo externalizado - PYME

Esta Política de desarrollo externalizado (número de documento P28S) está diseñada específicamente para pequeñas y medianas empresas (pymes), proporcionando un marco pragmático para un desarrollo de software externalizado seguro, conforme y bien gestionado. Está totalmente alineada con ISO/IEC 27001:2022, garantizando que incluso las organizaciones que carecen de equipos dedicados de TI o seguridad puedan adherirse a las mejores prácticas internacionales y a las obligaciones legales al contratar desarrolladores externos, freelancers o agencias de terceros. La política establece roles y responsabilidades claros para el Director General (DG), que actúa como autoridad principal para la aprobación de proveedores, la supervisión contractual y las acciones de remediación, y el Propietario del proyecto, encargado de la coordinación diaria, la validación funcional y la entrega segura. Al enfatizar la necesidad de contratos exigibles, acuerdos de confidencialidad y acuerdos documentados sobre la propiedad de activos y la transferencia de derechos, la política protege a las organizaciones frente a riesgos como código inseguro, reutilización indebida de activos propietarios, exposición de datos, dependencia del proveedor y el incumplimiento de normativas (incluidas GDPR, NIS2 y DORA). Se establecen controles de gobernanza obligatorios, exigiendo que los contratos especifiquen obligaciones de desarrollo seguro, evaluaciones de riesgos periódicas por parte del DG y la gestión adecuada de todas las credenciales y accesos del sistema. Las expectativas de seguridad cubren las obligaciones del desarrollador de utilizar técnicas de codificación segura (con referencia a normas como OWASP Top 10), documentación exhaustiva, selección cuidadosa de bibliotecas y una prohibición estricta de conservar acceso o datos corporativos tras el cierre del proyecto. Procedimientos integrales garantizan que cada proyecto externalizado esté precedido por una diligencia debida, validado mediante pruebas funcionales y de seguridad (preferiblemente por alguien distinto del desarrollador) y concluya únicamente tras la entrega completa del código fuente, instrucciones de compilación y la transferencia de todas las credenciales. La política es específica para pymes, utilizando roles simplificados como Director General y Propietario del proyecto en lugar de puestos tradicionales como CISO o SOC. Esto significa que proporciona instrucciones paso a paso ejecutables por responsables de negocio u operaciones, e incluye procedimientos de evaluación de riesgos, seguimiento de excepciones y orientación de respuesta a incidentes adaptada a organizaciones sin recursos técnicos extensos. Cada encargo debe estar respaldado por acuerdos documentados, y las pistas de auditoría son obligatorias, apoyando la notificación regulatoria y las revisiones internas. El DG debe realizar revisiones anuales e intermedias de la política, garantizando que los controles se mantengan actualizados frente a los riesgos para pymes y la evolución de los estándares de cumplimiento. La Política de desarrollo externalizado forma parte de un conjunto de controles orientados a pymes, destinados a implementarse junto con políticas relacionadas, como roles de gobernanza, control de acceso, concienciación de seguridad, protección de datos, desarrollo seguro y respuesta a incidentes, para gestionar de forma integral los riesgos del desarrollo externalizado, cumpliendo con normas como ISO/IEC 27001:2022, ISO 27002:2022, GDPR y otras.