Política de desarrollo externalizado

La Política de desarrollo externalizado (P28) establece un marco integral para gestionar de forma segura proyectos de desarrollo de software o sistemas ejecutados por proveedores externos, contratistas o agencias. Su propósito principal es integrar controles de seguridad y mecanismos de gobernanza a lo largo de todo el ciclo de vida del desarrollo, desde la planificación y la negociación contractual hasta la entrega, el seguimiento y las actividades posteriores a la contratación. Al exigir un conjunto claramente definido de obligaciones de seguridad —desde diligencia debida y evaluación de riesgos hasta normas de codificación aplicadas y requisitos contractuales—, la política busca salvaguardar la confidencialidad, integridad y disponibilidad de todo el software desarrollado por la organización. El alcance de la política se extiende a cualquier iniciativa de la empresa que implique desarrollo de terceros, incluidas aplicaciones web y móviles, sistemas embebidos, interfaces de programación de aplicaciones, plataformas internas y comerciales, y flujos de trabajo de automatización. En particular, también regula cualquier entidad externa que requiera acceso al código fuente de la organización, entornos de prueba o pipelines de CI/CD. Los requisitos se aplican independientemente de dónde o cómo opere el proveedor, garantizando que las distinciones geográficas o contractuales no creen brechas de seguridad. Los objetivos de la política se basan en minimizar la exposición a amenazas de la cadena de suministro, el incumplimiento normativo (por ejemplo, GDPR o DORA), el robo de propiedad intelectual y las prácticas de codificación insegura que podrían introducir vulnerabilidades o riesgo regulatorio. Para lograrlo, asigna responsabilidades explícitas a la alta dirección, al Director de Seguridad de la Información (CISO), a Adquisición y Legal y Cumplimiento, a propietarios de procesos y propietarios de producto, a Seguridad de la información y gestión de riesgos, y a los proveedores externos. Un elemento central de este enfoque es el Registro de desarrollo de terceros, como fuente única de verdad para todas las contrataciones de proveedores, hallazgos de diligencia debida, registros de excepciones a las políticas y estados contractuales. Los requisitos de gobernanza incluyen diligencia debida de proveedores, evaluación de riesgos de seguridad y un conjunto de controles contractuales mínimos, como la adhesión a marcos de codificación segura, pruebas de seguridad, especificaciones de titularidad de la propiedad intelectual, ejecución de acuerdo de confidencialidad y cláusulas de derecho de auditoría. El código fuente se gestiona exclusivamente a través de plataformas controladas por la empresa, con protección de ramas, revisión inter pares y protocolos estrictos de desvinculación que evitan la fuga de código o la reutilización no autorizada. Todo acceso de terceros se aprovisiona bajo gobernanza de acceso limitado en el tiempo y principio de mínimo privilegio, se monitoriza mediante registros de auditoría y se revoca rápidamente al cierre de la contratación. La integración de repositorios de proveedores en herramientas de seguridad corporativas para análisis de código, aplicación de políticas de CI/CD y gestión de excepciones se requiere siempre que sea factible. Las solicitudes de excepción se gestionan mediante un proceso formal de tratamiento de riesgos y aprobación liderado por el Director de Seguridad de la Información (CISO), incluida la documentación de la justificación, la mitigación del riesgo y los plazos de acciones de remediación. El Equipo de seguridad de la información realiza seguimiento continuo y auditorías de cumplimiento, y las infracciones pueden dar lugar a revocación inmediata de acceso, suspensión del proyecto, acciones legales o medidas disciplinarias según corresponda. Esta política se revisa al menos anualmente o tras cambios en el entorno regulatorio, hallazgos de respuesta a incidentes o resultados de auditoría interna. Todos los cambios se gestionan con sistemas de control de versiones, se comunican y se referencian en la documentación procedimental. Mediante estos mecanismos y su alineación con normas internacionales y mandatos legales, la Política de desarrollo externalizado garantiza que la entrega de software por terceros se mantenga segura y conforme, protegiendo a la organización frente a los riesgos cambiantes del desarrollo externalizado.