Politica sui requisiti di sicurezza delle applicazioni

La Politica sui requisiti di sicurezza delle applicazioni (P25) fornisce un mandato organizzativo completo per integrare solidi controlli di sicurezza in ogni fase del ciclo di vita delle applicazioni. Il suo scopo principale è applicare requisiti obbligatori di sicurezza a livello applicativo per tutto il software sviluppato, acquisito, integrato o implementato dall’organizzazione. La politica si applica non solo alle soluzioni sviluppate internamente, ma anche a strumenti SaaS, realizzati su misura e acquisiti esternamente. Questa ampia applicabilità garantisce che ogni asset tecnologico a supporto di operazioni aziendali critiche, accesso dei clienti o trattamento di dati regolamentati sia protetto in conformità ai principi di sviluppo sicuro, ai requisiti legali e alla postura di gestione dei rischi per la sicurezza delle informazioni dell’organizzazione. In termini di ambito, la politica copre le applicazioni in tutti gli ambienti, inclusi sviluppo, test, staging, ambiente di produzione e ambiente di ripristino in caso di disastro, indipendentemente dal fatto che siano ospitate in locale, in data center privati o nel cloud. Anche l’insieme delle parti responsabili è completo: dal Responsabile della sicurezza delle informazioni (CISO), che detiene la titolarità della politica e la allinea alla strategia dell’organizzazione, ai Responsabili della sicurezza delle applicazioni e ai responsabili DevSecOps incaricati di definire e convalidare i controlli di sicurezza, fino a sviluppatori, ingegneri, proprietari del prodotto, team operativi e fornitori terzi o fornitori di software. Ogni gruppo deve rispettare i requisiti, garantendo una catena di responsabilità e conformità. Gli obiettivi chiave della politica includono la definizione di requisiti di sicurezza di baseline funzionali e non funzionali; l’applicazione di meccanismi sicuri di autenticazione, autorizzazione e controllo degli accessi; l’integrazione di protezioni quali validazione degli input, codifica degli output e una solida gestione degli errori e delle sessioni; e l’applicazione di un’attenzione specifica alla sicurezza delle API, ai componenti di terze parti e alle integrazioni esterne. La protezione dei dati è affrontata tramite cifratura obbligatoria, classificazione dei dati e protocolli di conservazione definiti, con un divieto rigoroso di credenziali non cifrate o dati sensibili. La politica prescrive inoltre test di sicurezza regolari, inclusi analisi statica e dinamica, revisione del codice, penetration test e monitoraggio continuo della conformità, per consentire la rilevazione precoce e la mitigazione delle vulnerabilità. È definito un solido quadro di governance, che richiede convalida della sicurezza documentata in fase di pianificazione o approvvigionamento per tutte le nuove applicazioni, inclusione dei requisiti in contratti e Accordi sul livello di servizio (SLA), e una gestione strutturata delle eccezioni basata sul rischio. È obbligatorio l’uso di tecnologie sicure (incluse SAST, DAST, IAST e SCA), penetration test annuali per applicazioni ad alto rischio e, se giustificati dal rischio, RASP o WAF. Qualsiasi eccezione deve essere richiesta formalmente con analisi dei rischi, controlli compensativi, un piano di remediation e documentazione completa. La non conformità o l’elusione dei controlli può comportare la rimozione delle applicazioni, la sospensione degli accessi o l’escalation verso Risorse Umane (HR), Funzione legale e compliance o Gestione dei fornitori. La politica viene riesaminata almeno annualmente o in risposta a incidenti di sicurezza, cambiamenti normativi o importanti variazioni nelle pratiche di sviluppo; tutte le revisioni sono soggette a sistemi di controllo delle versioni e distribuzione ai team pertinenti. Infine, il documento è mappato con attenzione a una serie di politiche correlate, come Politica per la sicurezza delle informazioni, Politica di controllo degli accessi, P05 Politica di gestione dei cambiamenti, Politiche di protezione dei dati, Sviluppo sicuro e Politica di risposta agli incidenti (P30), garantendo un approccio stratificato e coerente al rischio e alla conformità aziendali.