Politica de dezvoltare externalizată - IMM

Această Politică de dezvoltare externalizată (numărul documentului P28S) este concepută special pentru întreprinderi mici și mijlocii (IMM-uri), oferind un cadru pragmatic pentru dezvoltare software externalizată sigură, conformă și bine gestionată. Este pe deplin aliniată la ISO/IEC 27001:2022, asigurând că inclusiv organizațiile fără echipe IT sau de securitate dedicate pot respecta cele mai bune practici internaționale și obligații legale atunci când angajează dezvoltatori externi, freelanceri sau agenții terțe. Politica stabilește roluri și responsabilități clare pentru directorul general (GM), care acționează ca autoritate principală pentru aprobarea furnizorilor, supraveghere contractuală și acțiuni de remediere, și pentru proprietarul de proces, care are sarcina coordonării zilnice, validării funcționale și predării securizate. Prin accentuarea necesității de contracte aplicabile, a unui acord de confidențialitate (NDA) și a acordurilor documentate privind deținerea activelor și transferul drepturilor, politica protejează organizațiile de riscuri precum cod nesigur, reutilizare necorespunzătoare a activelor proprietare, expunere de date, blocare la furnizor și neconformitate cu reglementările (inclusiv GDPR, NIS2 și DORA). Sunt stabilite controale obligatorii de guvernanță, solicitând ca acordurile contractuale să specifice obligații de dezvoltare securizată, evaluarea regulată a riscurilor de către GM și gestionarea corespunzătoare a tuturor credențialelor de sistem și a accesului. Așteptările de securitate acoperă obligațiile dezvoltatorilor de a utiliza tehnici de programare securizată (cu referințe la standarde precum OWASP Top 10), documentație completă, selecție atentă a bibliotecilor și o interdicție strictă privind păstrarea accesului sau a datelor corporative după închiderea proiectului. Proceduri cuprinzătoare asigură că fiecare proiect externalizat este precedat de verificarea prealabilă a furnizorilor, validat prin testare și validare funcțională și testare de securitate (preferabil de către altcineva decât dezvoltatorul) și încheiat numai după livrarea completă a codului sursă, instrucțiunilor de build și transferul tuturor credențialelor. Politica este specifică IMM-urilor, folosind roluri simplificate precum director general și proprietar de proces în locul pozițiilor tradiționale CISO sau centru de operațiuni de securitate. Aceasta înseamnă că oferă instrucțiuni pas cu pas executabile de către manageri de business sau operațiuni și include proceduri de evaluare a riscurilor, urmărirea excepțiilor și îndrumări de răspuns la incidente adaptate organizațiilor fără resurse tehnice extinse. Fiecare angajament trebuie susținut de acorduri documentate, iar pistele auditabile sunt obligatorii, sprijinind obligații de raportare de reglementare și revizuiri interne. Revizuiri anuale și intermediare ale politicii trebuie efectuate de către GM, asigurând că controalele rămân actuale în raport cu riscurile specifice IMM-urilor și standardele de conformitate în evoluție. Politica de dezvoltare externalizată face parte dintr-un set de controale orientate către IMM-uri, destinat implementării împreună cu politici conexe, precum roluri de guvernanță, controlul accesului, conștientizare de securitate, protecția datelor, dezvoltare securizată și răspuns la incidente, pentru a gestiona holistic riscurile dezvoltării externalizate, în conformitate cu standarde precum ISO/IEC 27001:2022, ISO 27002:2022, GDPR și altele.