DORA Artículo 21 ↔ Mapeo de Controles CI/CD

Esta tabla mapea los requisitos de gestión de riesgos ICT del Artículo 21 de DORA a controles concretos de seguridad en pipelines CI/CD.
Apoya la interpretación regulatoria, la preparación de auditorías y las revisiones de implementación técnica.

Artículo 21(1) — Marco de Gestión de Riesgos ICT

Requisito DORA	Control CI/CD	Evidencia Generada
Identificar y evaluar riesgos ICT	Pruebas de seguridad automatizadas (SAST, SCA, DAST)	Informes de análisis, registros de pipeline
Prevenir y mitigar riesgos ICT	Aplicación de políticas y puertas de pipeline	Decisiones de puertas, aprobaciones
Detectar actividades anómalas	Monitorización y alertas de pipeline	Registros de alertas, eventos SIEM
Responder a incidentes ICT	Reversiones y redespliegues controlados	Historial de despliegues
Recuperarse de interrupciones	Compilaciones y versiones reproducibles	Metadatos de compilación

Artículo 21(2)(a) — Control de Acceso

Requisito DORA	Control CI/CD	Evidencia Generada
Prevenir accesos no autorizados	RBAC para la configuración CI/CD	Registros de control de acceso
Proteger operaciones privilegiadas	Cuentas de servicio con mínimos privilegios	Políticas IAM
Asegurar el acceso administrativo	MFA para administradores CI/CD	Registros de autenticación
Controlar identidades de automatización	Identidades de pipeline separadas	Inventario de identidades

Artículo 21(2)(b) — Segregación de Funciones

Requisito DORA	Control CI/CD	Evidencia Generada
Separar roles en conflicto	Requisitos de revisión de código	Historial de pull requests
Prevenir la auto-aprobación	Reglas de aprobación aplicadas por el pipeline	Registros de aprobación
Controlar la autorización de lanzamientos	Permisos separados de compilación y despliegue	Mapeo de roles del pipeline
Registrar anulaciones y excepciones	Registro de excepciones	Registros de auditoría de anulaciones

Artículo 21(2)(c) — Registro y Monitorización

Requisito DORA	Control CI/CD	Evidencia Generada
Monitorizar la actividad del sistema ICT	Registro completo de ejecución del pipeline	Registros de ejecución
Detectar eventos relevantes para la seguridad	Alertas de controles fallidos y anomalías	Alertas de seguridad
Retener registros de forma segura	Almacenamiento centralizado de registros	Configuración de retención
Apoyar investigaciones	Pistas de auditoría inmutables	Registros preparados para análisis forense

Artículo 21(2)(d) — Gestión de Cambios e Integridad

Requisito DORA	Control CI/CD	Evidencia Generada
Controlar cambios en sistemas ICT	Pipelines CI/CD obligatorios	Historial de despliegues
Garantizar la integridad de los cambios	Firma y verificación de artefactos	Metadatos de firma
Rastrear cambios de extremo a extremo	Vinculación fuente → pipeline → artefacto	Registros de procedencia
Prevenir despliegues no autorizados	Puertas de políticas y aprobaciones	Registros de aplicación de puertas

Artículo 21(2)(e) — Resiliencia, Copias de Seguridad y Recuperación

Requisito DORA	Control CI/CD	Evidencia Generada
Garantizar la resiliencia del sistema	Entornos de compilación robustecidos y aislados	Configuración del entorno
Prevenir puntos únicos de fallo	Componentes CI/CD redundantes	Documentación de arquitectura
Habilitar mecanismos de recuperación	Flujos de trabajo de reversión y redespliegue	Registros de recuperación
Proteger configuraciones	Copia de seguridad segura de la configuración del pipeline	Registros de copias de seguridad

Artículo 21(2)(f) — Mejora Continua

Requisito DORA	Control CI/CD	Evidencia Generada
Revisar la postura de riesgo ICT	Revisiones periódicas de seguridad del pipeline	Informes de revisión
Actualizar controles según sea necesario	Cambios en la configuración del pipeline	Registros de cambios
Mejorar la detección y prevención	Actualizaciones de herramientas y ajuste de reglas	Historial de versiones
Alinearse con las amenazas emergentes	Actualizaciones del pipeline informadas por amenazas	Evaluaciones de riesgos

Cómo Utilizan Esta Tabla los Auditores

Validar que los requisitos del Artículo 21 se aplican técnicamente
Identificar dónde contribuye CI/CD a la gestión de riesgos ICT
Solicitar evidencia específica generada por los pipelines
Evaluar la consistencia y repetibilidad de los controles

Recursos Relacionados

DORA Article 21 Deep Dive
CI/CD Security Audit — ISO 27001 / SOC 2 / DORA Mapping
DORA Compliance Architecture
Compliance

Contexto “audit-ready”

Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI/CD y evidencia por diseño para auditorías.

Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retención de evidencia de extremo a extremo.

Ver la metodología en la página About.