Politika ta’ Żvilupp Sigur - SME

Il-Politika ta’ Żvilupp Sigur (P24S) hija mfassla speċifikament għal intrapriżi żgħar u medji (SMEs), b’adattament partikolari għal organizzazzjonijiet li m’għandhomx timijiet iddedikati tal-IT jew tas-sigurtà. B’rikonoxximent tar-restrizzjonijiet uniċi tar-riżorsi tal-SMEs, il-politika tassenja lill-Kap Eżekuttiv Ġenerali (GM) bħala l-awtorità ċentrali għall-approvazzjoni tal-politika, l-implimentazzjoni, is-sorveljanza tal-kuntratti u l-konformità, u b’hekk tissimplifika l-governanza f’ambjenti fejn rwoli ta’ CISO jew SOC jistgħu ma jeżistux. Minkejja din is-simplifikazzjoni, il-politika tibqa’ kompletament allinjata ma’ standards ta’ sigurtà rikonoxxuti internazzjonalment, b’mod partikolari ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 u EU GDPR, u tiżgura li l-obbligi ta’ konformità jintlaħqu mingħajr ma tiġi sagrifikata l-applikabbiltà prattika. L-għan ta’ dan id-dokument huwa li jobbliga linja bażi ta’ kodifikazzjoni sigura u prattiki ta’ żvilupp għas-softwer, scripts u għodod ibbażati fuq il-web kollha maħluqa jew modifikati mill-organizzazzjoni jew mill-imsieħba tagħha. Japplika rekwiżiti komprensivi ta’ sigurtà fuq l-ispettru kollu tal-kodiċi żviluppat internament, esternalizzat jew ipprovdut minn partijiet terzi, inklużi plugins, komponenti u għodod ta’ awtomazzjoni. Il-kamp ta’ applikazzjoni definit tal-politika jkopri kull ambjent involut fl-attivitajiet ta’ żvilupp, staging, ambjent ta’ pre-produzzjoni u ambjent ta’ produzzjoni, u b’mod speċifiku jirregola kif tiġi mmaniġġjata dejta sensittiva jew dejta tal-produzzjoni f’dawn l-issettjar. Fost l-objettivi ewlenin tagħha, il-politika tiffoka fuq il-prevenzjoni ta’ difetti ta’ sigurtà f’kull stadju taċ-ċikli ta’ ħajja tal-iżvilupp tas-sistemi. Dan jinkludi użu infurzat ta’ standards ta’ kodifikazzjoni sigura (bħal OWASP Top 10), proċessi formalizzati ta’ reviżjoni tal-kodiċi, ittestjar tas-sigurtà obbligatorju qabel ir-rilaxx u kontroll tal-aċċess ikkontrollat għas-sistemi kollha ta’ żvilupp u produzzjoni. Il-politika tintroduċi rekwiżiti espliċiti għal ġestjoni tal-fornituri u tal-partijiet terzi, inklużi klawżoli kuntrattwali tas-sigurtà, validazzjoni tal-komponenti minn partijiet terzi għal vulnerabbiltajiet u liċenzjar, u traċċar jew awditjar regolari tal-konformità permezz ta’ artefatti miżmuma u dokumentazzjoni. Biex tiġi indirizzata r-responsabbiltà ta’ kuljum, jiġu definiti rwoli u responsabbiltajiet issimplifikati: il-Kap Eżekuttiv Ġenerali jissorvelja u jiffirma l-attivitajiet kollha ta’ sigurtà tal-iżvilupp; żviluppaturi interni u sidien tal-applikazzjonijiet isegwu prattiki siguri u rappurtar; fornituri esterni huma marbuta kuntrattwalment ma’ impenji ta’ sigurtà u ittestjar meħtieġ; u fornituri jew amministraturi tal-IT jimmaniġġjaw aċċess sigur u tqegħid fis-servizz, u jinfurzaw is-separazzjoni tal-ambjenti. Parti inerenti ta’ din il-politika għall-SME hija l-proċess strutturat ta’ trattament tar-riskju u immaniġġjar tal-eċċezzjonijiet. Kwalunkwe devjazzjoni minn prattiki siguri, jew riskji li ma jistgħux jiġu rimedjati immedjatament, għandhom jiġu vvalutati formalment u approvati mill-Kap Eżekuttiv Ġenerali, b’rivalutazzjoni perjodika biex jiġu mmaniġġjati bidliet fil-pożizzjoni tar-riskju. Il-politika tistabbilixxi wkoll kontrolli b’saħħithom ta’ infurzar u konformità u tħejjija għall-awditu, u teħtieġ li l-listi ta’ kontroll kollha, approvazzjonijiet tar-reviżjoni, riżultati tat-testijiet u inventarji jinżammu b’mod sigur u jkunu disponibbli minnufih għal awditi ISO, rieżami regolatorju jew talbiet tal-klijenti. Fl-aħħar nett, ir-rekwiżiti ta’ rieżami u aġġornament jiggarantixxu li l-politika tibqa’ aġġornata ma’ teknoloġiji, qafasijiet u bidliet regolatorji li qed jevolvu, u turi approċċ proattiv għas-sigurtà organizzattiva u l-konformità regolatorja għas-settur tal-SME.