Politika zunanjega razvoja – SME

Ta politika zunanjega razvoja (številka dokumenta P28S) je posebej zasnovana za mala in srednje velika podjetja (SME) ter zagotavlja pragmatičen okvir za varen, skladen in dobro upravljan zunanji razvoj programske opreme. V celoti je usklajena z ISO/IEC 27001:2022, kar zagotavlja, da lahko tudi organizacije brez namenskih ekip IT ali varnosti upoštevajo mednarodne najboljše industrijske prakse in zakonske obveznosti pri angažiranju zunanjih razvijalcev, samostojnih izvajalcev ali agencij tretjih oseb. Politika vzpostavlja jasne vloge in odgovornosti za glavnega izvršnega direktorja (GM), ki deluje kot glavna avtoriteta za odobritev dobaviteljev, pogodbeni nadzor in sanacijske ukrepe, ter lastnika projekta, ki je zadolžen za dnevno koordinacijo, funkcionalno validacijo in varno predajo. S poudarkom na potrebi po izvršljivih pogodbah, pogodbi o nerazkrivanju informacij (NDA) in dokumentiranih dogovorih o lastništvu sredstev ter prenosu pravic politika ščiti organizacije pred tveganji, kot so nezavarovana koda, neustrezna ponovna uporaba lastniških sredstev, izpostavljenost podatkov, vezanost na dobavitelja in neskladnost s predpisi (vključno z GDPR, NIS2 in DORA). Določene so obvezne kontrole upravljanja, ki zahtevajo, da pogodbe opredelijo obveznosti varnega razvoja, redne ocene tveganja s strani GM ter ustrezno upravljanje vseh sistemskih poverilnic in dostopa. Varnostna pričakovanja zajemajo obveznosti razvijalcev glede uporabe tehnik varnega programiranja (s sklicevanjem na standarde, kot je OWASP Top 10), temeljito dokumentacijo, skrbno izbiro knjižnic ter strogo prepoved ohranjanja dostopa ali podatkov podjetja po zaključku projekta. Celoviti postopki zagotavljajo, da je vsak zunanji projekt predhodno podprt s skrbnim pregledom dobaviteljev, validiran s funkcionalnim in varnostnim testiranjem (po možnosti s strani nekoga drugega kot razvijalca) ter zaključen šele po popolni dobavi izvorne kode, navodil za gradnjo in prenosu vseh poverilnic. Politika je specifična za SME in uporablja poenostavljene vloge, kot sta GM in lastnik projekta, namesto tradicionalnih položajev CISO ali centra za varnostne operacije (SOC). To pomeni, da zagotavlja navodila po korakih, izvedljiva za poslovne ali operativne vodje, ter vključuje postopke ocenjevanja tveganj, sledenje izjemam in smernice za odziv na incidente, prilagojene organizacijam brez obsežnih tehničnih virov. Vsak angažma mora biti podprt z dokumentiranimi dogovori, obvezne pa so tudi revidirljive sledi, ki podpirajo regulativno poročanje in notranje preglede. GM mora izvajati letne in vmesne preglede politike, s čimer zagotavlja, da kontrole ostajajo aktualne glede na tveganja, relevantna za SME, in razvijajoče se standarde skladnosti. Politika zunanjega razvoja je del nabora kontrol, usmerjenih v SME, in je namenjena uvedbi skupaj s povezanimi politikami, kot so vloge upravljanja, nadzor dostopa, usposabljanje za ozaveščanje o varnosti, varstvo podatkov, varen razvoj in odziv na incidente, da se tveganja zunanjega razvoja obravnavajo celovito, skladno s standardi, kot so ISO/IEC 27001:2022, ISO 27002:2022, GDPR in drugi.