Política de Desarrollo seguro - PYME

La Política de Desarrollo seguro (P24S) está específicamente elaborada para pequeñas y medianas empresas (PYME), con una adaptación particular para organizaciones que carecen de equipos dedicados de TI o seguridad. Reconociendo las limitaciones de recursos propias de las PYME, la política asigna al Director General (DG) como autoridad central para la aprobación de la política, la implementación, la supervisión contractual y el cumplimiento, simplificando la gobernanza en entornos donde pueden no existir roles de CISO o Centro de operaciones de seguridad (SOC). A pesar de esta simplificación, la política permanece plenamente alineada con estándares de seguridad reconocidos internacionalmente, en particular ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 y EU GDPR, garantizando que se cumplan las obligaciones de cumplimiento sin sacrificar la aplicabilidad práctica. El propósito de este documento es exigir una línea base de codificación segura y prácticas de desarrollo para todo el software, scripts y herramientas basadas en web creados o modificados por la organización o sus socios. Aplica requisitos de seguridad integrales a todo el espectro de código desarrollado internamente, externalizado o suministrado por terceros, incluidos plugins, componentes y herramientas de automatización. El alcance definido de la política cubre todos los entornos implicados en actividades de desarrollo: desarrollo, staging, entorno de preproducción y entorno de producción, y regula específicamente cómo se manejan los datos sensibles o datos de producción en estos entornos. Entre sus objetivos principales, la política se centra en la prevención de fallos de seguridad en cada etapa de los ciclos de vida del desarrollo de sistemas. Esto incluye el uso aplicado de estándares de codificación segura (como OWASP Top 10), procesos formalizados de revisión de código, pruebas de seguridad obligatorias antes de la publicación y control de acceso controlado a todos los sistemas de desarrollo y producción. La política introduce requisitos explícitos para la gestión de proveedores y la gestión de terceros, incluidas cláusulas contractuales de seguridad, validación de componentes de terceros para vulnerabilidades y licencias, y seguimiento o auditoría regular del cumplimiento mediante artefactos y documentación conservados. Para abordar la rendición de cuentas diaria, se definen roles y responsabilidades simplificados: el Director General supervisa y aprueba todas las actividades de seguridad del desarrollo; los desarrolladores internos y los propietarios de aplicaciones siguen prácticas seguras y la notificación de incidentes; los proveedores externos quedan vinculados contractualmente a compromisos de seguridad y a pruebas obligatorias; y los proveedores o administradores de TI gestionan el acceso seguro y el despliegue, aplicando la segregación de entornos. Una parte inherente de esta política para PYME es el tratamiento de riesgos estructurado y el proceso de gestión de excepciones. Cualquier desviación de las prácticas seguras, o riesgos que no puedan ser remediados de inmediato, debe evaluarse formalmente y ser aprobada por el Director General, con reevaluación periódica para gestionar cambios en el perfil de riesgo. La política también establece controles sólidos de aplicación y cumplimiento y preparación para auditoría, exigiendo que todas las listas de verificación, aprobaciones de revisión, resultados de las pruebas e inventarios se conserven de forma segura y estén disponibles con rapidez para auditorías ISO, revisión normativa o solicitudes de clientes. Por último, los requisitos de revisión y actualización garantizan que la política se mantenga actualizada con tecnologías y marcos de desarrollo en evolución, así como con cambios regulatorios, demostrando un enfoque proactivo de la seguridad de la organización y el cumplimiento normativo para el sector PYME.