Politica de dezvoltare externalizată

Politica de dezvoltare externalizată (P28) stabilește un cadru cuprinzător pentru gestionarea în siguranță a proiectelor de dezvoltare software sau de sisteme executate de furnizori externi, contractanți sau agenții. Scopul său principal este de a integra controale de securitate și mecanisme de guvernanță pe întregul ciclu de viață al dezvoltării, de la planificare și negocierea contractelor până la livrare, monitorizare și activități post-angajare. Prin impunerea unui set clar definit de obligații de securitate, de la verificarea prealabilă a furnizorilor și evaluări de risc până la standarde de programare securizată și cerințe contractuale, politica urmărește să protejeze confidențialitatea, integritatea și disponibilitatea tuturor aplicațiilor dezvoltate pentru organizație. Domeniul de aplicare al politicii se extinde la orice inițiativă a companiei care implică dezvoltare realizată de terți, inclusiv aplicații web și mobile, sisteme încorporate, API-uri, platforme interne și comerciale și fluxuri de lucru de automatizare. În mod notabil, aceasta guvernează și orice entitate externă care necesită acces la codul sursă al organizației, medii de testare sau fluxuri de integrare și livrare continuă (CI/CD). Cerințele se aplică indiferent de locul sau modul în care operează furnizorul, asigurând că distincțiile geografice sau contractuale nu creează lacune de securitate. Obiectivele politicii au la bază minimizarea expunerii la amenințări din lanțul de aprovizionare, neconformitate legală (de exemplu, cu GDPR sau DORA), furt de proprietate intelectuală și practici de programare nesecurizată care ar putea introduce vulnerabilități sau risc de reglementare. Pentru a realiza acest lucru, politica atribuie responsabilități explicite conducerii executive, CISO, achizițiilor și departamentelor juridic și conformitate, proprietarilor de proiect și produs, echipei de securitate a informațiilor și furnizorilor externi. Central în această abordare este Registrul de dezvoltare realizată de terți, o sursă unică de adevăr pentru toate angajamentele cu furnizorii, constatările de verificare prealabilă a furnizorilor, registrul excepțiilor de politică și stările contractelor. Cerințele de guvernanță includ verificarea prealabilă a furnizorilor, evaluarea riscurilor de securitate și un set de controale contractuale minime, cum ar fi aderarea la cadre de programare securizată, testare de securitate, specificații privind deținerea proprietății intelectuale, executarea unui acord de confidențialitate (NDA) și clauze privind dreptul de audit. Codul sursă este gestionat exclusiv prin platforme controlate de întreprindere, cu protecția ramurilor, evaluare inter pares și protocoale stricte de încetare a colaborării care previn scurgerea codului sau reutilizarea neautorizată. Tot accesul terților este alocat sub guvernanță, limitat în timp, conform principiului privilegiului minim, monitorizat prin jurnalizare de audit și revocat rapid la închiderea angajamentului. Integrarea depozitelor furnizorilor în instrumentele de securitate ale întreprinderii pentru analiza codului, aplicarea politicilor CI/CD și gestionarea excepțiilor este necesară ori de câte ori este fezabil. Solicitările de excepții sunt gestionate printr-un proces formal de tratament al riscului și aprobare condus de CISO, inclusiv documentarea justificării, atenuarea riscurilor și termenele pentru acțiuni de remediere. Echipa de securitate a informațiilor efectuează monitorizare continuă și audituri de conformitate, iar încălcările pot duce la revocarea imediată a accesului, suspendarea proiectului, acțiuni legale sau măsuri disciplinare, după caz. Această politică este revizuită cel puțin anual sau în urma schimbărilor din peisajul de reglementare, a constatărilor din răspunsul la incidente sau a rezultatelor auditului intern. Toate modificările sunt controlate pe versiuni, comunicate și referențiate în documentația procedurală. Prin aceste mecanisme și prin maparea sa strânsă la standarde internaționale de vârf și mandate legale, Politica de dezvoltare externalizată asigură că livrarea software de către terți rămâne securizată și conformă, protejând organizația de riscurile în evoluție ale dezvoltării externalizate.