Politika izdvojenog razvoja – SME

Ova Politika izdvojenog razvoja (broj dokumenta P28S) posebno je osmišljena za mala i srednja poduzeća (SME) te pruža pragmatičan okvir za siguran, usklađen i dobro upravljan izdvojeni razvoj softvera. U potpunosti je usklađena s ISO/IEC 27001:2022, osiguravajući da čak i organizacije bez namjenskih IT ili sigurnosnih timova mogu slijediti međunarodne najbolje industrijske prakse i pravne obveze pri angažiranju vanjskih razvijatelja, freelancera ili agencija trećih strana. Politika uspostavlja jasne uloge i odgovornosti za Glavnog izvršnog direktora (GM), koji služi kao glavna ovlast za odobravanje dobavljača, ugovorni nadzor i korektivne radnje, te Vlasnika projekta, koji je zadužen za svakodnevnu koordinaciju, funkcionalnu validaciju i sigurnu primopredaju. Naglašavanjem potrebe za provedivim ugovorima, Ugovorom o povjerljivosti i dokumentiranim sporazumima o vlasništvu imovine i prijenosu prava, politika štiti organizacije od rizika kao što su nesiguran kod, neprimjerena ponovna uporaba vlasničke imovine, izloženost podataka, vezanost uz dobavljača i neusklađenost s propisima (uključujući GDPR, NIS2 i DORA). Postavljene su obvezne upravljačke kontrole, koje zahtijevaju da ugovori specificiraju obveze sigurnog razvoja, redovite procjene rizika od strane GM-a te pravilno upravljanje svim autentifikacijskim vjerodajnicama i pristupom. Sigurnosna očekivanja obuhvaćaju obveze razvijatelja da koriste tehnike sigurnog kodiranja (uz referenciranje standarda kao što je OWASP Top 10), temeljitu dokumentaciju, pažljiv odabir biblioteka te strogu zabranu zadržavanja pristupa ili korporativnih podataka nakon zatvaranja projekta. Sveobuhvatni postupci osiguravaju da svakom izdvojenom projektu prethodi dubinska analiza dobavljača, da se validira funkcionalnim i sigurnosnim testiranjem (po mogućnosti od strane osobe koja nije razvijatelj) te da se zaključi tek nakon potpune isporuke izvornog koda, uputa za izgradnju i prijenosa svih vjerodajnica. Politika je specifična za SME te koristi pojednostavljene uloge kao što su Glavni izvršni direktor i Vlasnik projekta umjesto tradicionalnih pozicija kao što su glavni službenik za informacijsku sigurnost (CISO) ili Centar za sigurnosne operacije (SOC). To znači da pruža upute korak-po-korak koje mogu provoditi poslovni ili operativni rukovoditelji te uključuje postupke procjene rizika, praćenje iznimki i smjernice za odgovor na incidente prilagođene organizacijama bez opsežnih tehničkih resursa. Svaki angažman mora biti potkrijepljen dokumentiranim sporazumima, a revizijski tragovi su obvezni, čime se podržava regulatorno izvješćivanje i interna preispitivanja. Godišnje i izvanredno preispitivanje politike mora provoditi GM, osiguravajući da kontrole ostanu aktualne u odnosu na rizike za SME i razvoj standarda usklađenosti. Politika izdvojenog razvoja dio je skupa kontrola usmjerenih na SME, namijenjenih implementaciji zajedno s povezanim politikama, kao što su uloge upravljanja, kontrola pristupa, obuka o sigurnosnoj svijesti, zaštita podataka, siguran razvoj i odgovor na incidente, kako bi se rizici izdvojenog razvoja upravljali cjelovito, u skladu sa standardima kao što su ISO/IEC 27001:2022, ISO 27002:2022, GDPR i drugi.