Politica de dezvoltare securizată - IMM

Politica de dezvoltare securizată (P24S) este elaborată special pentru întreprinderi mici și mijlocii (IMM-uri), cu o adaptare particulară pentru organizațiile care nu au echipe IT sau de securitate dedicate. Recunoscând constrângerile specifice de resurse ale IMM-urilor, politica îl desemnează pe Directorul general (GM) ca autoritate centrală pentru aprobarea politicii, implementare, supravegherea contractelor și conformitate, simplificând guvernanța în medii în care rolurile CISO sau centrul de operațiuni de securitate pot să nu existe. În pofida acestei simplificări, politica rămâne pe deplin aliniată cu standarde de securitate recunoscute internațional, în special ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 și EU GDPR, asigurând îndeplinirea obligațiilor de conformitate fără a sacrifica aplicabilitatea practică. Scopul acestui document este de a impune o bază de referință pentru programare securizată și practici de dezvoltare pentru tot software-ul, scripturile și instrumentele bazate pe web create sau modificate de organizație sau de partenerii săi. Se aplică cerințe de securitate cuprinzătoare pe întreg spectrul de cod dezvoltat intern, servicii externalizate sau furnizat de terți, inclusiv pluginuri, componente și instrumente de automatizare. Domeniul de aplicare definit al politicii acoperă fiecare mediu implicat în activitățile de dezvoltare: dezvoltare, staging, mediu de preproducție și mediu de producție și guvernează în mod specific modul în care sunt gestionate datele de producție sau datele sensibile în aceste setări. Printre obiectivele sale de bază, politica se concentrează pe prevenirea defectelor de securitate în fiecare etapă a ciclului de viață al dezvoltării sistemelor. Aceasta include utilizarea impusă a standardelor de programare securizată (de exemplu, OWASP Top 10), procese formalizate de revizuire a codului, testare de securitate obligatorie înainte de lansare și controlul accesului pentru toate sistemele de dezvoltare și de producție. Politica introduce cerințe explicite pentru managementul furnizorilor și al terților, inclusiv clauze contractuale de securitate, validarea componentelor terțe pentru vulnerabilități și licențiere și urmărirea sau auditarea periodică a conformității prin artefacte și documentație păstrate. Pentru responsabilitatea zilnică, sunt definite roluri și responsabilități simplificate: Directorul general supraveghează și aprobă toate activitățile de securitate ale dezvoltării, dezvoltatorii interni și proprietarii de aplicații urmează practici securizate și raportarea incidentelor, furnizorii externi sunt obligați contractual la angajamente de securitate și testare obligatorie, iar furnizorii IT sau administratorii gestionează accesul securizat și implementarea, aplicând separarea mediilor. O parte inerentă a acestei politici pentru IMM este tratamentul riscului și procesul de excepții structurat. Orice abateri de la practicile securizate sau riscuri care nu pot fi remediate imediat trebuie evaluate formal și aprobate de Directorul general, cu reevaluare periodică pentru a gestiona schimbările în profilul de risc. Politica stabilește, de asemenea, controale solide de aplicare și conformitate și pregătire pentru audit, solicitând ca toate listele de verificare, aprobările de revizuire, rezultatele testelor și inventarele să fie păstrate în siguranță și să fie disponibile prompt pentru audituri ISO, revizuire reglementară sau solicitări ale clienților. În final, cerințele de revizuire și actualizare garantează că politica rămâne actuală în raport cu tehnologiile de dezvoltare, cadrele și schimbările de reglementare în evoluție, demonstrând o abordare proactivă a securității organizaționale și a conformității cu reglementările pentru sectorul IMM.