Politika varnega razvoja – SME

Politika varnega razvoja (P24S) je posebej pripravljena za mala in srednje velika podjetja (SME), zlasti prilagojena organizacijam, ki nimajo namenskih ekip IT ali varnosti. Ker upošteva posebne omejitve virov v SME, politika določa glavnega izvršnega direktorja (GM) kot osrednjo avtoriteto za odobritev politike, implementacijo, nadzor pogodb in skladnost, s čimer poenostavi upravljanje v okoljih, kjer vloge CISO ali SOC morda ne obstajajo. Kljub tej poenostavitvi politika ostaja v celoti usklajena z mednarodno priznanimi varnostnimi standardi, zlasti ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 in EU GDPR, ter zagotavlja, da so obveznosti skladnosti izpolnjene brez žrtvovanja praktične uporabnosti. Namen tega dokumenta je zahtevati osnovni nabor varnega programiranja in razvojnih praks za vso programsko opremo, skripte in spletna orodja, ki jih organizacija ali njeni partnerji ustvarijo ali spremenijo. Uvaja celovite varnostne zahteve za celoten spekter interno razvite, zunanje izvajane ali programske opreme tretjih oseb, vključno z vtičniki, komponentami in orodji za avtomatizacijo. Opredeljeni obseg politike zajema vsako okolje, vključeno v razvojne dejavnosti: razvojno, pripravljalno, predprodukcijsko in produkcijsko okolje, ter posebej ureja, kako se v teh nastavitvah obravnava občutljive ali produkcijske podatke. Med ključnimi cilji se politika osredotoča na preprečevanje varnostnih pomanjkljivosti v vsaki fazi življenjskih ciklov razvoja sistemov. To vključuje uveljavljeno uporabo standardov varnega programiranja (kot je OWASP Top 10), formalizirane procese pregleda izvorne kode, obvezno varnostno testiranje pred izdajo ter nadzorovan dostop do vseh razvojnih in produkcijskih sistemov. Politika uvaja izrecne zahteve za upravljanje dobaviteljev in upravljanje tretjih oseb, vključno s pogodbenimi varnostnimi klavzulami, validacijo komponent tretjih oseb glede ranljivosti in licenciranja ter rednim sledenjem ali presojami skladnosti prek hranjenih artefaktov in dokumentacije. Za vsakodnevno odgovornost so opredeljene poenostavljene vloge in odgovornosti: glavni izvršni direktor nadzira in potrdi vse dejavnosti varnosti razvoja; razvijalci in lastniki aplikacij upoštevajo varne prakse in poročanje; zunanji dobavitelji so pogodbeno zavezani varnostnim zavezam in zahtevanemu testiranju; ponudniki IT ali IT-administratorji pa upravljajo varen dostop in uvajanje ter uveljavljajo ločevanje okolij. Sestavni del te politike za SME je strukturirana obravnava tveganja in obravnava izjem. Vsaka odstopanja od varnih praks ali tveganja, ki jih ni mogoče takoj odpraviti, morajo biti formalno ocenjena in odobrena s strani glavnega izvršnega direktorja, z občasnim ponovnim vrednotenjem za upravljanje sprememb v profilu tveganja. Politika vzpostavlja tudi močne kontrole uveljavljanja in skladnosti ter pripravljenost na revizijo, saj zahteva, da so vsi kontrolni seznami, odobritve pregledov, rezultati testiranja in popisi varno hranjeni in hitro dostopni za presoje ISO, regulativni pregled ali zahteve strank. Nazadnje zahteve za pregled in posodobitev zagotavljajo, da politika ostaja aktualna glede na razvoj razvojnih tehnologij, ogrodij in regulativnih sprememb ter izkazuje proaktiven pristop k organizacijski varnosti in skladnosti s predpisi za sektor SME.