Qué Mostrar, Dónde Encontrarlo y Por Qué Es Importante
Este paquete de evidencias enumera los artefactos técnicos y operativos que las entidades financieras deben presentar para demostrar el cumplimiento del Artículo 21 de DORA. Se centra en los pipelines CI/CD como sistemas ICT regulados y hace hincapié en evidencias reproducibles y preparadas para la auditoría.
Cómo Utilizar Este Paquete de Evidencias
Úselo como lista de verificación durante la preparación de la auditoría
Compártalo con los equipos de ingeniería, seguridad y cumplimiento
Adjunte referencias a sistemas reales, registros y repositorios
Asegúrese de que la evidencia sea actual, trazable y reproducible
Artículo 21(1) — Marco de Gestión de Riesgos ICT
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Registro de riesgos ICT
Los pipelines CI/CD figuran explícitamente como sistemas ICT dentro del alcance
Modelos de amenazas
Riesgos relacionados con CI/CD (abuso de credenciales, cadena de suministro, integridad)
Planes de tratamiento de riesgos
Controles mapeados a los pipelines CI/CD
Documentación de gobernanza
Propietarios de la seguridad y el riesgo CI/CD
Fuentes Habituales
Herramientas de gestión de riesgos
Documentación de arquitectura
Repositorios de gobernanza de seguridad
Artículo 21(2)(a) — Control de Acceso
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Políticas IAM
Mínimos privilegios para cuentas de servicio CI/CD
Configuración RBAC
Separación de roles para la administración del pipeline
Aplicación de MFA
Prueba de que MFA es obligatorio para usuarios privilegiados
Inventario de identidades
Distinción entre identidades humanas y de automatización
Fuentes Habituales
Plataforma IAM
Configuración del sistema CI/CD
Informes de revisión de accesos
Artículo 21(2)(b) — Segregación de Funciones
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Reglas de revisión de código
Revisión por pares obligatoria aplicada
Flujos de trabajo de aprobación
Aprobación independiente para cambios en producción
Mapeo de roles
Separación entre roles de compilación, validación y despliegue
Registros de excepciones
Registros de anulaciones y aprobaciones
Fuentes Habituales
Plataforma de control de código fuente
Definiciones del pipeline CI/CD
Registros de auditoría
Artículo 21(2)(c) — Registro y Monitorización
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Registros de ejecución del pipeline
Historial completo de ejecuciones y resultados
Registros de eventos de seguridad
Verificaciones fallidas, lanzamientos bloqueados
Paneles de monitorización
Visibilidad sobre el estado del pipeline
Políticas de retención de registros
Alineación con los requisitos regulatorios
Fuentes Habituales
Plataformas CI/CD
SIEM / sistemas de registro
Herramientas de monitorización
Artículo 21(2)(d) — Gestión de Cambios e Integridad
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Registros de despliegue
Todos los cambios en producción trazables a los pipelines
Firma de artefactos
Prueba de integridad criptográfica
Metadatos de procedencia
Vinculación fuente → compilación → artefacto
Aprobaciones de lanzamientos
Puntos de decisión auditables
Fuentes Habituales
Repositorios de artefactos
Almacenes de metadatos CI/CD
Sistemas de gestión de lanzamientos
Artículo 21(2)(e) — Resiliencia, Copias de Seguridad y Recuperación
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Diagramas de arquitectura CI/CD
Redundancia y aislamiento
Procedimientos de copia de seguridad
Copias de seguridad seguras de las configuraciones del pipeline
Pruebas de recuperación
Evidencia de ejercicios de reversión y recuperación
Manuales de incidentes
Procedimientos de respuesta específicos para CI/CD
Fuentes Habituales
Documentación de arquitectura
Sistemas de copia de seguridad
Herramientas de gestión de incidentes
Artículo 21(2)(f) — Mejora Continua
Evidencias a Aportar
Tipo de Evidencia
Qué Esperan los Auditores
Informes de revisión
Revisiones periódicas de seguridad CI/CD
Registros de cambios
Mejoras en los controles del pipeline
Métricas e indicadores clave
Indicadores de seguridad y resiliencia
Supervisión de la dirección
Evidencia de revisión de gobernanza
Fuentes Habituales
Registros de revisiones de seguridad
Historial de cambios CI/CD
Actas de reuniones de gobernanza
Errores Comunes en Auditorías (Qué NO Mostrar de Forma Aislada)
Los auditores cuestionarán:
Políticas de alto nivel sin aplicación técnica
Capturas de pantalla sin trazabilidad
Certificaciones manuales sin evidencia del sistema
Ejemplos puntuales en lugar de controles repetibles
La evidencia debe ser generada por el sistema, con marca temporal y reproducible.
Consejos para Presentar la Evidencia de Forma Eficaz
Agrupar la evidencia por subsección del Artículo 21
Proporcionar acceso de solo lectura a registros y paneles
Incluir evidencia de muestra con explicación
Indicar claramente los responsables del control
Evitar sobrecargar a los auditores con datos irrelevantes
