Beleid voor veilige ontwikkeling - SME

Het Beleid voor veilige ontwikkeling (P24S) is specifiek opgesteld voor small and medium enterprises (SME’s), met een bijzondere aanpassing voor organisaties die geen toegewijde IT- of beveiligingsteams hebben. Rekening houdend met de unieke resourcebeperkingen van SME’s wijst het beleid de algemeen directeur (GM) aan als centrale autoriteit voor beleidsgoedkeuring, implementatie, contracttoezicht en naleving, waardoor governance wordt gestroomlijnd in omgevingen waar CISO- of Security Operations Center (SOC)-rollen mogelijk niet bestaan. Ondanks deze vereenvoudiging blijft het beleid volledig in lijn met internationaal erkende beveiligingsstandaarden, met name ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 en EU GDPR, zodat nalevingsverplichtingen worden gehaald zonder praktische toepasbaarheid op te offeren. Het doel van dit document is het verplicht stellen van een baseline van veilig programmeren en ontwikkelpraktijken voor alle software, scripts en webgebaseerde tools die door de organisatie of haar partners worden gemaakt of gewijzigd. Het legt uitgebreide beveiligingseisen op over het volledige spectrum van intern ontwikkelde, uitbestede of door dienstverleners van derde partijen geleverde code, inclusief plugins, componenten en automatiseringstools. De gedefinieerde scope omvat elke omgeving die betrokken is bij ontwikkelactiviteiten: development, staging, pre-productieomgeving en productieomgeving, en regelt specifiek hoe gevoelige gegevens of productiegegevens in deze settings worden verwerkt. Onder de kernobjectieven richt het beleid zich op het voorkomen van beveiligingsfouten in elke fase van de levenscyclus van systeemontwikkeling. Dit omvat afgedwongen gebruik van standaarden voor veilig programmeren (zoals OWASP Top 10), geformaliseerde code review-processen, verplichte beveiligingstesten vóór release en toegangscontrole tot alle ontwikkel- en productiesystemen. Het beleid introduceert expliciete eisen voor leveranciers- en beheer van derde partijen, waaronder contractuele beveiligingsclausules, validatie van componenten van derde partijen op kwetsbaarheden en licenties, en regelmatige opvolging of auditing van naleving via bewaarde artefacten en documentatie. Voor dagelijkse verantwoordingsplicht worden gestroomlijnde rollen en verantwoordelijkheden gedefinieerd: de algemeen directeur houdt toezicht op en geeft formele goedkeuring voor alle activiteiten rond ontwikkelbeveiliging; interne ontwikkelaars en applicatie-eigenaren volgen veilige praktijken en rapportage; externe leveranciers zijn contractueel gebonden aan beveiligingsverplichtingen en vereiste testen; en IT-beheerders of dienstverleners beheren veilige toegang en uitrol en dwingen scheiding van omgevingen af. Een inherent onderdeel van dit SME-beleid is het gestructureerde risicobehandelings- en afhandelingsproces voor uitzonderingen. Afwijkingen van veilige praktijken, of risico’s die niet onmiddellijk kunnen worden verholpen, moeten formeel worden beoordeeld en door de algemeen directeur worden goedgekeurd, met periodieke herbeoordeling om veranderingen in de risicopositie te beheren. Het beleid stelt ook sterke handhavings-, nalevings- en auditgereedheidsbeheersmaatregelen vast en vereist dat alle checklists, reviewgoedkeuringen, testresultaten en inventarissen veilig worden bewaard en snel beschikbaar zijn voor ISO-audits, regelgevende toetsing of klantverzoeken. Tot slot waarborgen eisen voor herziening en bijwerking dat het beleid actueel blijft met evoluerende ontwikkeltechnologieën, frameworks en regelgevende wijzigingen, wat een proactieve benadering van organisatiebeveiliging en naleving van de regelgeving voor de SME-sector aantoont.