Politica di Sviluppo sicuro - PMI

La Politica di Sviluppo sicuro (P24S) è specificamente progettata per le piccole e medie imprese (PMI), con un adattamento particolare per le organizzazioni che non dispongono di team IT o di sicurezza dedicati. Riconoscendo i vincoli di risorse tipici delle PMI, la politica assegna al Direttore Generale (DG) l’autorità centrale per l’approvazione della politica, l’implementazione, la supervisione contrattuale e la conformità, semplificando la governance in contesti in cui ruoli come CISO o SOC potrebbero non esistere. Nonostante questa semplificazione, la politica rimane pienamente allineata a standard di sicurezza riconosciuti a livello internazionale, in particolare ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 ed EU GDPR, garantendo che gli obblighi di conformità siano soddisfatti senza sacrificare l’applicabilità pratica. Lo scopo di questo documento è imporre una baseline di programmazione sicura e pratiche di sviluppo per tutto il software, gli script e gli strumenti basati sul web creati o modificati dall’organizzazione o dai suoi partner. Applica requisiti di sicurezza completi all’intero spettro di codice sviluppato internamente, esternalizzato o fornito da terze parti, inclusi plugin, componenti e strumenti di automazione. L’ambito definito dalla politica copre ogni ambiente coinvolto nelle attività di sviluppo: sviluppo, staging, ambiente di pre-produzione e ambiente di produzione, e disciplina in modo specifico come vengono gestiti i dati di produzione o i dati sensibili in tali contesti. Tra i suoi obiettivi principali, la politica si concentra sulla prevenzione delle vulnerabilità in ogni fase dei cicli di vita dello sviluppo dei sistemi. Ciò include l’uso applicato di standard di programmazione sicura (ad esempio OWASP Top 10), processi formalizzati di revisione del codice, test di sicurezza obbligatori prima del rilascio e controllo degli accessi a tutti i sistemi di sviluppo e di produzione. La politica introduce requisiti espliciti per la Gestione dei fornitori e delle terze parti, incluse clausole contrattuali di sicurezza, validazione dei componenti di terze parti rispetto a vulnerabilità e licenze, e tracciamento o audit regolari della conformità tramite artefatti e documentazione conservati. Per garantire responsabilità operative quotidiane, sono definiti ruoli e responsabilità semplificati: il Direttore Generale supervisiona e approva tutte le attività di sicurezza dello sviluppo; gli sviluppatori interni e i Proprietari delle applicazioni seguono pratiche sicure e obblighi di segnalazione; i Fornitori esterni sono vincolati contrattualmente a impegni di sicurezza e a test obbligatori; e i fornitori IT o gli Amministratori IT gestiscono l’accesso sicuro e le procedure di deployment, applicando la separazione degli ambienti. Una parte intrinseca di questa politica per PMI è il processo strutturato di Trattamento del rischio e Gestione delle eccezioni. Qualsiasi deviazione dalle pratiche sicure, o rischi che non possono essere immediatamente oggetto di azioni di rimedio, deve essere formalmente valutata e approvata dal Direttore Generale, con rivalutazioni periodiche per gestire i cambiamenti nella postura di rischio. La politica stabilisce inoltre controlli solidi di Applicazione e conformità e preparazione all’audit, richiedendo che tutte le liste di controllo, le approvazioni di revisione, i risultati dei test e gli inventari siano conservati in modo sicuro e resi prontamente disponibili per audit ISO, riesame normativo o richieste dei clienti. Infine, i requisiti di riesame e aggiornamento garantiscono che la politica rimanga aggiornata rispetto all’evoluzione di tecnologie e framework di sviluppo e ai cambiamenti normativi, dimostrando un approccio proattivo alla sicurezza dell’organizzazione e alla conformità normativa per il settore PMI.