Politica di sviluppo esternalizzato - PMI

Questa Politica di sviluppo esternalizzato (numero documento P28S) è progettata specificamente per le piccole e medie imprese (PMI), fornendo un quadro pragmatico per uno sviluppo software esternalizzato sicuro, conforme e ben gestito. È pienamente allineata a ISO/IEC 27001:2022, garantendo che anche le organizzazioni prive di team IT o di sicurezza dedicati possano aderire alle migliori pratiche internazionali e agli obblighi legali quando coinvolgono sviluppatori esterni, freelance o agenzie terze. La politica stabilisce ruoli e responsabilità chiari per il Direttore Generale (DG), che funge da autorità principale per l’approvazione dei fornitori, la vigilanza contrattuale e le azioni di rimedio, e per il Proprietario del progetto, incaricato del coordinamento quotidiano, della convalida funzionale e del passaggio di consegne sicuro. Sottolineando la necessità di contratti applicabili, accordi di riservatezza e accordi documentati su titolarità degli asset e trasferimento dei diritti, la politica protegge le organizzazioni da rischi quali codice non sicuro, riutilizzo improprio di asset proprietari, esposizione dei dati, lock-in del fornitore e non conformità alle normative (inclusi GDPR, NIS2 e DORA). Sono definiti controlli di governance obbligatori, che richiedono che i contratti specifichino obblighi di sviluppo sicuro, valutazioni del rischio regolari da parte del DG e una corretta gestione di tutte le credenziali di sistema e degli accessi. Le aspettative di sicurezza coprono gli obblighi degli sviluppatori di utilizzare tecniche di programmazione sicura (con riferimento a standard come OWASP Top 10), documentazione completa, selezione accurata delle librerie e un divieto rigoroso di mantenere accesso o dati aziendali dopo la chiusura del progetto. Procedure complete assicurano che ogni progetto esternalizzato sia preceduto da due diligence, validato tramite test funzionali e di sicurezza (preferibilmente da qualcuno diverso dallo sviluppatore) e concluso solo dopo la consegna completa del codice sorgente, delle istruzioni di build e il trasferimento di tutte le credenziali. La politica è specifica per le PMI, utilizzando ruoli semplificati come Direttore Generale e Proprietario del progetto al posto di posizioni tradizionali come Responsabile della sicurezza delle informazioni (CISO) o Centro operativo di sicurezza (SOC). Ciò significa che fornisce istruzioni passo passo eseguibili da responsabili business o operativi e include procedure di valutazione del rischio, tracciamento delle eccezioni e indicazioni di risposta agli incidenti calibrate per organizzazioni prive di risorse tecniche estese. Ogni incarico deve essere supportato da accordi documentati e le tracce auditabili sono obbligatorie, a supporto della segnalazione normativa e dei riesami interni. Il DG deve condurre riesami annuali e intermedi della politica, assicurando che i controlli rimangano aggiornati rispetto ai rischi tipici delle PMI e all’evoluzione delle norme di conformità. La Politica di sviluppo esternalizzato fa parte di una suite di controlli orientati alle PMI, destinata a essere implementata insieme a politiche correlate, come ruoli di governance, controllo degli accessi, formazione e sensibilizzazione alla sicurezza delle informazioni, protezione dei dati, sviluppo sicuro e risposta agli incidenti, per gestire in modo olistico i rischi dello sviluppo esternalizzato, in conformità con standard come ISO/IEC 27001:2022, ISO 27002:2022, GDPR e altri.