Politika sigurnog razvoja - SME

Politika sigurnog razvoja (P24S) posebno je izrađena za mala i srednja poduzeća (SME), uz posebnu prilagodbu za organizacije koje nemaju namjenske IT ili sigurnosne timove. Prepoznajući jedinstvena ograničenja resursa SME-ova, politika dodjeljuje glavnog izvršnog direktora (GM) kao središnje tijelo za odobravanje politike, provedbu, nadzor ugovora i usklađenost, pojednostavljujući upravljanje u okruženjima u kojima uloge CISO-a ili SOC-a možda ne postoje. Unatoč ovom pojednostavljenju, politika ostaje u potpunosti usklađena s međunarodno priznatim sigurnosnim standardima, osobito ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 i EU GDPR, osiguravajući da se obveze usklađenosti ispune bez žrtvovanja praktične primjenjivosti. Svrha ovog dokumenta je propisati polaznu osnovu sigurnog kodiranja i razvojnih praksi za sav softver, skripte i web-alate koje organizacija ili njezini partneri stvaraju ili mijenjaju. Primjenjuje sveobuhvatne sigurnosne zahtjeve na cijeli spektar interno razvijenog, vanjski ugovorenog ili koda isporučenog od trećih strana, uključujući dodatke, komponente i alate za automatizaciju. Definirani opseg politike obuhvaća svako okruženje uključeno u razvojne aktivnosti: razvoj, staging, predprodukcijsko okruženje i produkcijsko okruženje, te posebno uređuje kako se u tim postavkama postupa s osjetljivim ili produkcijskim podacima. Među svojim ključnim ciljevima, politika se usredotočuje na sprječavanje sigurnosnih nedostataka u svakoj fazi životnog ciklusa razvoja softvera. To uključuje provedenu uporabu standarda sigurnog kodiranja (kao što je OWASP Top 10), formalizirane procese pregleda koda, obvezno sigurnosno testiranje prije izdanja softvera te kontrolirani pristup svim razvojnim i produkcijskim sustavima. Politika uvodi izričite zahtjeve za upravljanje dobavljačima i trećim stranama, uključujući ugovorne sigurnosne klauzule, validaciju komponenti trećih strana na ranjivosti i licenciranje te redovito praćenje ili reviziju usklađenosti putem zadržanih artefakata i dokumentacije. Radi svakodnevne odgovornosti definirane su pojednostavljene uloge i odgovornosti: glavni izvršni direktor nadzire i odobrava sve aktivnosti sigurnosti razvoja, interni razvijatelji i vlasnici aplikacija slijede sigurne prakse i prijavljivanje, vanjski dobavljači su ugovorno vezani sigurnosnim obvezama i obveznim testiranjem, a IT pružatelji usluga ili IT administratori upravljaju sigurnim pristupom i implementacijom, provodeći razdvajanje okruženja. Sastavni dio ove SME politike je strukturirani proces obrade rizika i postupanje s iznimkama. Svaka odstupanja od sigurnih praksi ili rizici koji se ne mogu odmah otkloniti moraju biti formalno procijenjeni i odobreni od strane glavnog izvršnog direktora, uz periodično ponovno vrednovanje radi upravljanja promjenama u profilu rizika. Politika također uspostavlja snažne kontrole provedbe i spremnosti za reviziju, zahtijevajući da se sve kontrolne liste, odobrenja pregleda, rezultati testiranja i popisi imovine sigurno zadrže i budu odmah dostupni za ISO revizije, regulatorni pregled ili zahtjeve kupaca. Naposljetku, zahtjevi za pregled i ažuriranje jamče da politika ostane aktualna s razvojnim tehnologijama, okvirima i regulatornim promjenama, pokazujući proaktivan pristup organizacijskoj sigurnosti i usklađenosti s propisima za SME sektor.