Politika outsourcovaného vývoja – SME

Táto politika outsourcovaného vývoja (číslo dokumentu P28S) je navrhnutá špecificky pre malé a stredné podniky (SME) a poskytuje pragmatický rámec pre bezpečný, súladný a dobre riadený outsourcovaný vývoj softvéru. Je plne zosúladená s ISO/IEC 27001:2022, čím zabezpečuje, že aj organizácie bez vyhradených IT alebo bezpečnostných tímov môžu pri zapájaní externých vývojárov, freelancerov alebo agentúr tretích strán dodržiavať medzinárodné osvedčené postupy a zákonné povinnosti. Politika stanovuje jasné roly a zodpovednosti pre výkonného riaditeľa (GM), ktorý je hlavnou autoritou pre schvaľovanie dodávateľov, zmluvný dohľad a nápravné opatrenia, a pre vlastníka projektu, ktorý je zodpovedný za každodennú koordináciu, funkčnú validáciu a bezpečné odovzdanie. Dôrazom na vynútiteľné zmluvy, dohodu o mlčanlivosti a zdokumentované dohody o vlastníctve aktív a prevode práv politika chráni organizácie pred rizikami, ako sú nezabezpečený kód, nesprávne opätovné použitie proprietárnych aktív, externá expozícia údajov, uzamknutie u dodávateľa a nesúlad s predpismi (vrátane GDPR, NIS2 a DORA). Sú stanovené povinné riadiace kontroly, ktoré vyžadujú, aby zmluvy špecifikovali povinnosti bezpečného vývoja, pravidelné posúdenie rizík zo strany GM a riadne riadenie všetkých systémových poverení a prístupov. Bezpečnostné očakávania pokrývajú povinnosti vývojára používať techniky bezpečného kódovania (s odkazom na normy ako OWASP Top 10), dôkladnú dokumentáciu, starostlivý výber knižníc a prísny zákaz ponechania prístupu alebo podnikových údajov po uzavretí projektu. Komplexné postupy zabezpečujú, že každý outsourcovaný projekt je predchádzaný due diligence dodávateľov, validovaný funkčným a bezpečnostným testovaním (ideálne niekým iným ako vývojárom) a ukončený až po úplnom dodaní zdrojového kódu, pokynov na zostavenie a prevode všetkých poverení. Politika je špecifická pre SME a používa zjednodušené roly, ako sú výkonný riaditeľ a vlastník projektu, namiesto tradičných pozícií CISO alebo centra bezpečnostných operácií (SOC). To znamená, že poskytuje krokové pokyny vykonateľné obchodnými alebo prevádzkovými manažérmi a zahŕňa postupy posúdenia rizík, sledovanie výnimiek a usmernenia pre reakciu na incidenty prispôsobené organizáciám bez rozsiahlych technických zdrojov. Každé zapojenie musí byť podložené zdokumentovanými dohodami a auditovateľné stopy sú povinné, čím sa podporuje regulačné oznamovanie a interné preskúmania. GM musí vykonávať ročné a priebežné preskúmania politiky, aby sa zabezpečilo, že kontroly zostanú aktuálne vzhľadom na riziká pre SME a vyvíjajúce sa štandardy súladu. Politika outsourcovaného vývoja je súčasťou súboru kontrol zameraných na SME a má sa implementovať spolu so súvisiacimi politikami, ako sú roly správy a riadenia, riadenie prístupu, školenie bezpečnostného povedomia, ochrana údajov, bezpečný vývoj a reakcia na incidenty, aby sa riziká outsourcovaného vývoja riadili holisticky v súlade so štandardmi ako ISO/IEC 27001:2022, ISO 27002:2022, GDPR a ďalšími.