Propósito de Esta Evaluación de Preparación
Esta lista de verificación de autoevaluación está diseñada para organizaciones que se preparan para un examen SOC 2 Type II que incluye pipelines de CI/CD dentro del alcance de la auditoría. Úsela para identificar brechas de controles, priorizar los esfuerzos de remediación y generar confianza en que su entorno de pipeline soportará el escrutinio del auditor.
Para cada elemento de la lista de verificación, evalúe su estado actual como Sí (completamente implementado y evidenciado), Parcial (parcialmente implementado o sin evidencia suficiente), o No (no implementado). Los elementos evaluados como Parcial o No requieren remediación antes de que comience el período de auditoría.
CC6: Lista de Verificación de Controles de Acceso
| # | Elemento de Control | Estado (S/P/N) | Evidencia Requerida | Guía de Remediación |
|---|---|---|---|---|
| 6.1 | RBAC está configurado en todas las plataformas de pipeline (repositorio, sistema de compilación, registro de artefactos, herramientas de despliegue) | Exportaciones de configuración RBAC, documento de definición de roles | Definir roles estándar (desarrollador, revisor, aprobador, administrador) y asignarlos al modelo de permisos de cada plataforma | |
| 6.2 | MFA está aplicado para todas las cuentas de usuarios con acceso a los sistemas de pipeline | Configuración de política MFA, informes de inscripción, registro de excepciones | Habilitar MFA en toda la organización; documentar cualquier excepción técnica con controles compensatorios | |
| 6.3 | Las cuentas de servicio siguen el principio de mínimo privilegio con justificación documentada para cada permiso | Inventario de cuentas de servicio, matriz de justificación de permisos | Auditar todas las cuentas de servicio; eliminar permisos innecesarios; documentar la justificación empresarial para los permisos restantes | |
| 6.4 | Las revisiones de acceso trimestrales están programadas y cubren todos los sistemas de pipeline | Calendario de revisiones, registros de revisiones completadas, evidencia de remediación | Establecer eventos recurrentes en el calendario; asignar responsables de revisión; crear plantilla estándar de revisión | |
| 6.5 | Los procedimientos de incorporación/baja incluyen el aprovisionamiento y desaprovisionamiento del acceso a los sistemas de pipeline | Documentación de integración con RRHH, listas de verificación de desaprovisionamiento, registros de puntualidad | Agregar los sistemas de pipeline a las listas de verificación de incorporación/baja de TI; automatizar donde sea posible | |
| 6.6 | Los procedimientos de acceso de emergencia y break-glass están documentados y requieren revisión posterior al uso | Documento de procedimiento de acceso de emergencia, registros de uso, registros de revisión posterior al uso | Documentar el procedimiento de acceso de emergencia; implementar alertas sobre el uso del acceso de emergencia | |
| 6.7 | Los secretos y credenciales se gestionan mediante una solución dedicada de gestión de secretos (sin codificación fija) | Configuración de la herramienta de gestión de secretos, resultados de escaneo que muestren que no hay secretos codificados | Implementar herramienta de gestión de secretos; ejecutar escaneo de secretos en todos los repositorios | |
| 6.8 | El acceso de red a la infraestructura de pipeline está restringido a redes y personal autorizados | Documentación de configuración de red, reglas de firewall, configuración VPN/zero-trust | Implementar restricciones de red; documentar las rutas de acceso permitidas | |
| 6.9 | El acceso de los runners/agentes del pipeline está aislado y no puede acceder a recursos fuera de su alcance definido | Configuración de runners, documentación de aislamiento, evidencia de segmentación de red | Configurar aislamiento de runners; implementar segmentación de red para entornos de compilación |
CC7: Lista de Verificación de Operaciones del Sistema
| # | Elemento de Control | Estado (S/P/N) | Evidencia Requerida | Guía de Remediación |
|---|---|---|---|---|
| 7.1 | Los cambios de configuración del pipeline están registrados y monitoreados con alertas para modificaciones no autorizadas | Configuración de monitoreo, reglas de alerta, ejemplos de notificaciones de alerta | Implementar monitoreo de cambios de configuración; configurar alertas para el equipo de seguridad | |
| 7.2 | La detección de anomalías está implementada para actividad inusual en el pipeline (compilaciones fuera de horario, patrones de despliegue inusuales) | Reglas de detección de anomalías, documentación de línea base, historial de alertas | Definir líneas base del comportamiento normal del pipeline; configurar alertas de anomalías | |
| 7.3 | Los incidentes del pipeline están integrados en el programa de respuesta a incidentes de la organización | Plan de IR que cubra CI/CD, criterios de clasificación de incidentes, procedimientos de escalación | Actualizar el plan de IR para incluir escenarios de CI/CD; capacitar al equipo de IR en incidentes específicos del pipeline | |
| 7.4 | La capacidad de la infraestructura de pipeline está monitoreada y gestionada para prevenir la degradación | Paneles de monitoreo de capacidad, políticas de escalado, documentos de planificación de capacidad | Implementar monitoreo de capacidad; establecer umbrales y procedimientos de escalado | |
| 7.5 | Existen procedimientos de respaldo y recuperación para la configuración e infraestructura del pipeline | Programas de respaldo, procedimientos de recuperación, resultados de pruebas de recuperación | Implementar respaldos de configuración del pipeline; documentar y probar los procedimientos de recuperación | |
| 7.6 | El registro de actividad está centralizado con períodos de retención definidos que cumplen los requisitos de auditoría | Configuración de agregación de registros, documentación de política de retención, verificación de almacenamiento | Centralizar los registros del pipeline; configurar la retención para cubrir el período de auditoría más un margen | |
| 7.7 | Las alertas de eventos de seguridad tienen procedimientos de respuesta definidos y propietarios asignados | Playbooks de respuesta a alertas, asignaciones de propietarios, SLAs de tiempo de respuesta | Crear playbooks de respuesta para cada tipo de alerta; asignar y capacitar a los propietarios |
CC8: Lista de Verificación de Gestión de Cambios
| # | Elemento de Control | Estado (S/P/N) | Evidencia Requerida | Guía de Remediación |
|---|---|---|---|---|
| 8.1 | Todos los cambios en producción requieren revisión de código por pares por parte de un revisor calificado que no sea el autor | Reglas de protección de ramas, configuración de solicitudes de fusión, registros de revisión de muestra | Configurar protección de ramas; aplicar requisitos mínimos de revisores | |
| 8.2 | Se requiere aprobación formal antes del despliegue en producción, con la aprobación documentada y atribuida | Configuración de aprobación de despliegue, registros de aprobación con marcas de tiempo e identidad del aprobador | Implementar puertas de aprobación de despliegue; asegurar que las aprobaciones sean registradas con atribución | |
| 8.3 | Se aplica la segregación de funciones — el autor no puede aprobar ni desplegar sus propios cambios | Configuración de aplicación de SoD, informes de validación que muestren que no hay autoaprobaciones | Configurar la aplicación técnica que impida la autoaprobación; ejecutar informes de validación | |
| 8.4 | El escaneo de seguridad automatizado (SAST, SCA, detección de secretos) se ejecuta en cada cambio con umbrales definidos | Configuración del pipeline que muestre los pasos de escaneo, configuración de umbrales, registros de aplicación de puertas | Integrar herramientas de escaneo de seguridad; definir umbrales basados en severidad; configurar puertas de bloqueo | |
| 8.5 | Las puertas de pruebas automatizadas impiden el despliegue cuando no se cumplen los criterios de calidad | Configuración de puertas de pruebas, registros de aprobación/rechazo, informes de cobertura de pruebas | Definir criterios mínimos de calidad; configurar la aplicación automatizada | |
| 8.6 | Los procedimientos de reversión están documentados, probados y pueden ejecutarse dentro de los plazos definidos | Documentación de procedimientos de reversión, registros de pruebas, mediciones del tiempo de ejecución | Documentar los procedimientos de reversión; programar y realizar pruebas de reversión | |
| 8.7 | Los procedimientos de cambios de emergencia están documentados con controles mejorados (revisión post-implementación, aprobación acelerada) | Documento de procedimiento de cambio de emergencia, registro de cambios de emergencia, registros de revisión post-implementación | Definir procedimiento de cambio de emergencia; implementar seguimiento y revisión post-implementación obligatoria | |
| 8.8 | La segregación de entornos impide que los cambios de desarrollo/pruebas afecten directamente la producción | Documentación de arquitectura de entornos, restricciones de acceso entre entornos | Implementar segregación de entornos; restringir el acceso a producción a la automatización de despliegue | |
| 8.9 | Los registros de cambios proporcionan trazabilidad completa desde el requisito hasta el despliegue en producción | Registros de cambios de muestra que muestran trazabilidad de extremo a extremo, configuración de herramientas de vinculación | Configurar la vinculación de incidencias a despliegues; asegurar que todos los cambios hagan referencia a un elemento de trabajo rastreado | |
| 8.10 | Los cambios en pipeline-as-code están sujetos al mismo proceso de revisión y aprobación que los cambios de aplicación | Protección de ramas en archivos de configuración del pipeline, registros de revisión para cambios de pipeline | Extender la protección de ramas a los archivos de definición del pipeline; tratar como cambios de producción |
CC9: Lista de Verificación de Mitigación de Riesgos
| # | Elemento de Control | Estado (S/P/N) | Evidencia Requerida | Guía de Remediación |
|---|---|---|---|---|
| 9.1 | Existe un inventario completo de componentes y dependencias de terceros consumidos a través del pipeline | Lista de materiales de software (SBOM), informes de inventario de dependencias | Implementar generación de SBOM; ejecutar inventario de dependencias en todos los proyectos | |
| 9.2 | El escaneo automatizado de dependencias identifica vulnerabilidades conocidas con SLAs de remediación definidos | Configuración de escaneo, informes de vulnerabilidades, documentación de SLA, seguimiento de remediación | Implementar escaneo de dependencias; definir SLAs de remediación basados en severidad | |
| 9.3 | Los proveedores SaaS del pipeline han sido evaluados en materia de seguridad y se han revisado sus informes SOC 2 | Registros de evaluación de proveedores, revisiones de informes SOC 2, documentación de aceptación de riesgos | Solicitar informes SOC 2 a todos los proveedores del pipeline; realizar y documentar las evaluaciones | |
| 9.4 | Los riesgos de infraestructura compartida (runners compartidos, entornos de compilación multi-inquilino) están evaluados y mitigados | Documentación de evaluación de riesgos, controles de mitigación, verificación de aislamiento | Evaluar los riesgos de infraestructura compartida; implementar runners dedicados donde el riesgo lo justifique | |
| 9.5 | El cumplimiento de licencias para componentes de código abierto está monitoreado y gestionado | Configuración de escaneo de licencias, informes de cumplimiento, lista de licencias aprobadas | Implementar escaneo de licencias; definir lista de licencias aprobadas; establecer proceso de revisión para excepciones | |
| 9.6 | Los vectores de ataque a la cadena de suministro (confusión de dependencias, paquetes comprometidos) están evaluados con controles preventivos | Documentación de evaluación de amenazas, configuración de registro privado, configuración de verificación de paquetes | Implementar registros privados o proxies; configurar la verificación de firmas de paquetes | |
| 9.7 | El acceso de integraciones de terceros (webhooks, tokens de API, aplicaciones OAuth) está inventariado y revisado periódicamente | Inventario de integraciones, documentación del alcance de acceso, registros de revisión periódica | Inventariar todas las integraciones; documentar los alcances de acceso; programar revisiones periódicas |
Análisis de Brechas: Cómo Priorizar la Remediación
Después de completar la evaluación, categorice los hallazgos utilizando el siguiente marco de prioridades:
| Prioridad | Criterios | Plazo de Remediación | Ejemplos |
|---|---|---|---|
| Crítica | El control está ausente; afecta directamente la opinión de auditoría | Inmediato (dentro de 2 semanas) | Sin aplicación de aprobación, sin revisiones de acceso, sin registro |
| Alta | El control está parcialmente implementado; existen brechas de evidencia | Dentro de 30 días | MFA no universal, revisiones incompletas, algunos sistemas excluidos |
| Media | El control existe pero la calidad de la evidencia es insuficiente | Dentro de 60 días | Evidencia manual, documentación incompleta, procesos informales |
| Baja | Oportunidad de mejora del control; no crítica para la auditoría | Dentro de 90 días | Mejoras de automatización, monitoreo adicional, informes mejorados |
Cronograma de Preparación Recomendado (6 Meses Antes de la Auditoría)
| Plazo | Actividad | Entregable |
|---|---|---|
| Mes 1 | Completar esta evaluación de preparación; identificar todas las brechas | Lista de verificación completada con análisis de brechas y plan de remediación priorizado |
| Mes 2 | Remediar las brechas de prioridad Crítica y Alta | Implementaciones de controles actualizadas, generación de evidencia confirmada |
| Mes 3 | Remediar las brechas de prioridad Media; comenzar la validación de la recopilación de evidencia | Todos los controles operativos, recuperación de evidencia probada |
| Mes 4 | Realizar una evaluación interna de prueba utilizando la metodología de muestreo del auditor | Informe de evaluación interna con hallazgos |
| Mes 5 | Abordar los hallazgos de la prueba; capacitar a los equipos en la producción de evidencia y la preparación para entrevistas | Remediación completa, sesiones de preparación del equipo realizadas |
| Mes 6 | Revisión final de preparación; confirmar que todos los flujos de evidencia están activos y completos | Confirmación de preparación, índice de evidencia, lista de puntos de contacto para los auditores |
Recursos Relacionados
- Centro de Cumplimiento SOC 2
- Playbook del Día de Auditoría — Cómo Manejar Auditorías CI/CD en Entornos Regulados
Relacionado para Auditores
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
- Playbook del Día de Auditoría
- Cómo los Auditores Revisan los CI/CD
- Controles de Seguridad Principales para CI/CD
¿Nuevo en la auditoría de CI/CD? Comience con nuestra Guía para Auditores.
