Por qué los pipelines CI/CD están dentro del alcance del SGSI según ISO 27001
Los pipelines de Integración Continua y Entrega Continua (CI/CD) no son meras conveniencias de ingeniería — son instalaciones de procesamiento de información que manejan código fuente, credenciales, claves criptográficas y autoridad de despliegue en producción. Bajo ISO 27001, cualquier sistema que procese, almacene o transmita activos de información debe estar dentro del alcance de su Sistema de Gestión de Seguridad de la Información (SGSI).
Para auditores y responsables de cumplimiento, la pregunta crítica no es si los pipelines CI/CD están en el alcance, sino si la organización los ha identificado como activos de información, ha evaluado los riesgos asociados y ha aplicado los controles apropiados del Anexo A. No incluir la infraestructura CI/CD en el alcance del SGSI es en sí mismo una no conformidad.
Este artículo proporciona un mapeo completo de los controles del Anexo A a los entornos de pipelines CI/CD, con orientación específica sobre qué evidencia deben esperar los auditores y qué brechas surgen habitualmente.
Mapeo completo del Anexo A a CI/CD
La siguiente tabla mapea cada dominio de control relevante del Anexo A a su relevancia en el pipeline CI/CD, con expectativas de evidencia específicas para los auditores de certificación.
| Control Anexo A | Objetivo de control | Relevancia en CI/CD | Evidencia para auditores |
|---|---|---|---|
| A.5 — Políticas de seguridad de la información | Dirección de gestión para la seguridad de la información | Los pipelines CI/CD deben estar gobernados por políticas de seguridad documentadas que aborden los procesos automatizados de compilación, prueba y despliegue | Política de seguridad CI/CD aprobada; registros de revisión de políticas; aprobación de la dirección; evidencia de comunicación de políticas a los administradores de pipeline |
| A.6 — Organización de la seguridad de la información | Organización interna y trabajo móvil/en remoto | Los roles y responsabilidades para la seguridad del pipeline deben estar definidos — quién es propietario de la configuración del pipeline, quién aprueba las reglas de despliegue, segregación de funciones entre desarrollo y versiones | Matriz RACI para operaciones CI/CD; descripciones de puestos con responsabilidades de pipeline; evidencia de segregación entre la configuración del pipeline y la autoría del código |
| A.8 — Gestión de activos | Responsabilidad sobre los activos, clasificación de la información, manejo de medios | Los componentes del pipeline (servidores de compilación, repositorios de artefactos, almacenes de secretos) son activos de información que deben inventariarse y clasificarse | Registro de activos incluyendo la infraestructura CI/CD; etiquetas de clasificación aplicadas a los artefactos del pipeline; procedimientos de manejo de datos para las salidas de compilación |
| A.9 — Control de acceso ★ | Requisitos de negocio, gestión de acceso de usuarios, acceso a sistemas/aplicaciones | El acceso al pipeline es un punto de control crítico — quién puede modificar las definiciones del pipeline, activar despliegues, acceder a secretos u omitir las puertas de calidad | Política de control de acceso que cubre CI/CD; revisiones de acceso de usuarios a plataformas de pipeline; evidencia de mínimo privilegio; registros de aplicación de MFA; registros de acceso privilegiado a la administración del pipeline |
| A.10 — Criptografía | Controles criptográficos y gestión de claves | Los pipelines manejan claves de firma, certificados TLS, cifrado de secretos en reposo y en tránsito, firma de artefactos | Procedimientos de gestión de claves para secretos del pipeline; estándares de cifrado para el almacenamiento de secretos; registros de gestión de certificados; procedimientos de verificación de firma de artefactos |
| A.12 — Seguridad de las operaciones ★ | Procedimientos operativos, protección contra malware, copias de seguridad, registro, gestión de vulnerabilidades | Las operaciones del pipeline requieren gestión de cambios, planificación de capacidad, separación de entornos, registro exhaustivo y análisis de vulnerabilidades de la propia infraestructura del pipeline | Registros de gestión de cambios para la configuración del pipeline; evidencia de separación entre pipelines de compilación/staging/producción; registros de ejecución del pipeline con retención; resultados de análisis de vulnerabilidades de la plataforma CI/CD; procedimientos de copia de seguridad para las definiciones del pipeline |
| A.14 — Adquisición, desarrollo y mantenimiento de sistemas ★ | Requisitos de seguridad, desarrollo seguro, datos de prueba | El dominio de control más directamente relevante — cubre el ciclo de vida de desarrollo seguro, procedimientos de control de cambios, integración de pruebas de seguridad y criterios de aceptación aplicados a través de pipelines | Política de desarrollo seguro; evidencia de control de cambios aplicado por el pipeline; resultados de pruebas de seguridad automatizadas; configuraciones de puertas de aceptación; registros de revisión de código vinculados a activadores del pipeline |
| A.15 — Relaciones con proveedores ★ | Seguridad de la información en las relaciones con proveedores, gestión de entrega de servicios | Los pipelines CI/CD dependen en gran medida de componentes de terceros — plugins, imágenes base, registros de paquetes, servicios CI en la nube y dependencias de código abierto | Registro de proveedores que incluye proveedores de servicios CI/CD; evaluaciones de riesgos de terceros para herramientas de pipeline; SLAs para servicios CI/CD alojados; registros de procedencia de dependencias; políticas de seguridad de la cadena de suministro |
| A.16 — Gestión de incidentes de seguridad de la información | Gestión de incidentes y mejoras | Los compromisos de pipeline (filtraciones de secretos, ataques a la cadena de suministro, despliegues no autorizados) deben estar cubiertos por los procedimientos de gestión de incidentes | Procedimientos de respuesta a incidentes que cubren escenarios CI/CD; evidencia de simulacros de incidentes específicos del pipeline; registros de revisión posterior al incidente; rutas de escalada para eventos de seguridad en el pipeline |
| A.18 — Cumplimiento | Cumplimiento con requisitos legales/contractuales, revisiones de seguridad de la información | Las configuraciones del pipeline y los registros de despliegue sirven como evidencia de cumplimiento; los propios pipelines deben cumplir con los requisitos regulatorios | Registro de requisitos de cumplimiento referenciando CI/CD; rastro de auditoría de configuraciones del pipeline; evidencia de revisiones periódicas de cumplimiento de las operaciones del pipeline; registros de evaluaciones de impacto de cambios regulatorios en los pipelines |
★ Denota los dominios de control más críticos para los entornos CI/CD.
Controles críticos para CI/CD: A.9, A.12, A.14, A.15
A.9 — Control de acceso
El control de acceso en entornos CI/CD presenta desafíos únicos en los que los auditores se centran intensamente. Los pipelines a menudo requieren un acceso amplio para desplegar en todos los entornos, lo que crea una tensión entre la necesidad operativa y el mínimo privilegio. Las áreas clave de escrutinio incluyen:
- Gestión de identidad del pipeline — ¿Las cuentas de servicio utilizadas por los pipelines son individualmente identificables y están sujetas a revisiones de acceso?
- Alcance del acceso a secretos — ¿Un trabajo del pipeline puede acceder solo a los secretos que necesita, o hereda un acceso amplio a credenciales?
- Controles de anulación humana — ¿Quién puede saltarse las puertas de calidad automatizadas y esto se registra y revisa?
- Segregación de funciones — ¿Puede la misma persona que escribe código también aprobar y activar su despliegue en producción?
A.12 — Seguridad de las operaciones
La seguridad de las operaciones para CI/CD requiere que los auditores verifiquen que la infraestructura del pipeline se trata con el mismo rigor operativo que los sistemas de producción. Áreas de enfoque habituales en la auditoría:
- Gestión de cambios para las definiciones del pipeline — Los cambios de pipeline como código deben pasar por un control de cambios formal
- Separación de entornos — Los pipelines de compilación, prueba, staging y producción deben demostrar separación lógica o física
- Integridad del registro — Cada ejecución del pipeline, aprobación, anulación y cambio de configuración debe registrarse con rastros de auditoría inmutables
- Gestión de vulnerabilidades — La propia plataforma CI/CD debe estar sujeta a evaluación de vulnerabilidades y aplicación de parches
A.14 — Adquisición, desarrollo y mantenimiento de sistemas
Este es el dominio de control fundamental para CI/CD. Los auditores esperan ver que el pipeline aplique el ciclo de vida de desarrollo seguro en lugar de simplemente documentarlo. La evidencia debe demostrar que las pruebas de seguridad son automatizadas y obligatorias, que los procedimientos de control de cambios no pueden eludirse y que los criterios de aceptación están definidos y se aplican antes del despliegue en producción.
A.15 — Relaciones con proveedores
Los pipelines CI/CD modernos tienen extensas dependencias en la cadena de suministro. Los auditores se centran cada vez más en si las organizaciones comprenden y gestionan el riesgo de los componentes de pipeline de terceros, los plugins, las imágenes base y los servicios alojados. Un Software Bill of Materials (SBOM) y el seguimiento de la procedencia de dependencias se están convirtiendo en expectativas de referencia.
Qué buscan específicamente los auditores de certificación
Durante una auditoría de certificación de Etapa 2, los auditores que examinan entornos CI/CD normalmente solicitan:
- Alcance documentado — Inclusión explícita de la infraestructura CI/CD en la declaración de alcance del SGSI
- Cobertura de la evaluación de riesgos — Riesgos específicos de CI/CD identificados en el registro de riesgos con planes de tratamiento
- Alineación de políticas — Políticas de seguridad que abordan específicamente los procesos automatizados de desarrollo y despliegue
- Evidencia de implementación de controles — No solo que existen controles, sino que son eficaces y operan de forma consistente
- Mejora continua — Evidencia de que los controles de seguridad CI/CD se revisan y mejoran con el tiempo
- Registros de competencia — Evidencia de que el personal que gestiona la seguridad del pipeline tiene la formación y concienciación apropiadas
Brechas comunes en entornos CI/CD
Basándose en los hallazgos de auditoría en distintas organizaciones, las brechas identificadas con mayor frecuencia incluyen:
| Área de brecha | Hallazgo típico | Nivel de riesgo |
|---|---|---|
| Pipeline no en el registro de activos | Infraestructura CI/CD ausente del inventario de activos de información | Alto |
| Sin revisiones de acceso para pipelines | Cuentas de servicio y credenciales del pipeline nunca sujetas a revisión periódica de acceso | Alto |
| Falta control de cambios para la configuración del pipeline | Definiciones del pipeline modificadas sin gestión de cambios formal | Alto |
| Registro insuficiente | Rastros de auditoría del pipeline incompletos, mutables o no conservados según la política | Alto |
| Riesgo de terceros no evaluado | Plugins y servicios CI/CD no incluidos en las evaluaciones de riesgo de proveedores | Medio |
| Sin escenarios de incidentes para CI/CD | Los procedimientos de respuesta a incidentes no cubren escenarios de compromiso del pipeline | Medio |
| Pruebas de seguridad opcionales | Las puertas de calidad pueden omitirse sin justificación y aprobación documentadas | Alto |
| Secretos en los registros del pipeline | Valores sensibles expuestos en los registros de compilación sin controles de enmascaramiento | Crítico |
Próximos pasos
Para una comprensión más profunda de los requisitos de certificación ISO 27001 para entornos CI/CD, consulte nuestros recursos relacionados:
Relacionado para auditores
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
- Dual-Compliance Architecture
- Core CI/CD Security Controls
- How Auditors Review CI/CD
¿Nuevo en la auditoría CI/CD? Comience con nuestra Guía para Auditores.
