Descripción General del Proceso de Auditoría de Certificación ISO 27001
La certificación ISO 27001 implica una auditoría externa en dos etapas realizada por un organismo de certificación acreditado. Comprender este proceso es esencial para los responsables de cumplimiento que preparan entornos CI/CD para la evaluación.
Etapa 1 — Revisión de Documentación
La auditoría de Etapa 1 es principalmente una revisión documental. El auditor evalúa si la documentación del SGSI está completa y si la organización está preparada para la evaluación de Etapa 2. Para los entornos CI/CD, esto implica verificar que:
- El alcance del SGSI incluye explícitamente la infraestructura y los procesos de los pipelines CI/CD
- La Declaración de Aplicabilidad (SoA) aborda los controles del Anexo A relevantes para CI/CD
- Las evaluaciones de riesgos cubren escenarios de amenazas específicos de CI/CD
- Las políticas y procedimientos hacen referencia a los procesos automatizados de desarrollo y despliegue
- El programa de auditoría interna ha cubierto los controles de seguridad de CI/CD
Resultado frecuente de la Etapa 1 para CI/CD: Los auditores detectan habitualmente que la documentación del SGSI fue redactada antes de la adopción de CI/CD y no ha sido actualizada. Esto genera una recomendación de actualizar la documentación antes de proceder a la Etapa 2.
Etapa 2 — Auditoría de Evidencia
La auditoría de Etapa 2 es donde los auditores examinan evidencia de implementación y efectividad. Para los entornos CI/CD, esto significa demostrar que los controles documentados están realmente en funcionamiento y producen resultados verificables. Los auditores solicitarán artefactos específicos, entrevistarán al personal responsable de la seguridad del pipeline y podrán observar las operaciones del pipeline.
La auditoría de Etapa 2 generalmente ocurre de cuatro a ocho semanas después de la Etapa 1, para dar tiempo a subsanar cualquier brecha documental.
Qué Solicitan los Auditores Durante la Etapa 2 en Entornos CI/CD
Los auditores abordan la recopilación de evidencia de CI/CD de forma sistemática en los distintos dominios de control. Las siguientes secciones detallan qué se solicita, qué formato es aceptable y cuánto tiempo debe retenerse la evidencia.
Categorías de Evidencia y Artefactos de CI/CD
1. Documentación del SGSI
La base de la auditoría. Los auditores verifican que el marco del SGSI aborde específicamente el CI/CD.
- Artefactos CI/CD específicos: Declaración de alcance del SGSI que nombre los sistemas CI/CD; política de seguridad de la información que haga referencia a los pipelines automatizados; política de desarrollo seguro; planes de tratamiento de riesgos específicos de CI/CD
- Formatos aceptables: Documentos aprobados en el sistema de gestión documental con control de versiones, fechas de revisión y firmas de aprobación
- Requisitos de retención: Versión actual más al menos la versión anterior; historial de revisiones para el ciclo de certificación completo (tres años)
2. Registros de Evaluación de Riesgos
Los auditores esperan que los riesgos específicos de CI/CD sean identificados, evaluados y tratados.
- Artefactos CI/CD específicos: Entradas del registro de riesgos para el compromiso del pipeline, ataques a la cadena de suministro, exposición de secretos, despliegues no autorizados y manipulación del entorno de compilación; planes de tratamiento de riesgos con mapeo de controles; metodología de evaluación de riesgos que cubra escenarios de amenazas de CI/CD
- Formatos aceptables: Registro de riesgos (hoja de cálculo, exportación de plataforma GRC o formato documentado); informes de evaluación de riesgos con fechas e identificación del evaluador
- Requisitos de retención: Registro de riesgos actual más versiones históricas que muestren la evolución del riesgo; mínimo tres años de registros de evaluación de riesgos
3. Evidencia de Control de Acceso
Una de las áreas más examinadas para CI/CD.
- Artefactos CI/CD específicos: Listados de usuarios de la plataforma de pipeline con asignaciones de roles; inventarios de cuentas de servicio; registros de revisión de accesos que muestren recertificación periódica; evidencia de aplicación de autenticación multifactor; registros de acceso privilegiado para la administración del pipeline; registros de aprovisionamiento y desaprovisionamiento de acceso
- Formatos aceptables: Informes de acceso generados por la plataforma; registros de aprobación de revisión de accesos; capturas de pantalla de configuración de autenticación con marcas de tiempo; flujos de trabajo de solicitud y aprobación de accesos
- Requisitos de retención: Configuraciones de acceso actuales; registros de revisión de accesos durante al menos 12 meses; registros de cambios de acceso para el ciclo de certificación completo
4. Registros de Gestión de Cambios
La función principal del pipeline —mover cambios a través de etapas controladas— debe estar a su vez evidenciada.
- Artefactos CI/CD específicos: Historiales de ejecución del pipeline que muestren el ciclo de vida completo del cambio; registros de aprobación para despliegues en producción; registros de cambios de emergencia con revisiones retrospectivas; historial de cambios de configuración del pipeline (control de versiones de pipeline-as-code); registros de lanzamiento con trazabilidad hasta los cambios aprobados
- Formatos aceptables: Registros de auditoría de la plataforma de pipeline; historial del sistema de control de versiones; registros de flujos de trabajo de aprobación; actas de reuniones del comité de gestión de cambios (CAB) donde corresponda
- Requisitos de retención: Historial completo de despliegues durante al menos 12 meses; historial de configuración del pipeline para el ciclo de certificación completo; registros de cambios de emergencia retenidos para revisión
5. Resultados de Pruebas de Seguridad
Evidencia de que las pruebas de seguridad están integradas, son obligatorias y son efectivas.
- Artefactos CI/CD específicos: Resultados de análisis estático por ejecución de pipeline; resultados de escaneo de vulnerabilidades de dependencias; resultados de pruebas de seguridad dinámicas; informes de pruebas de penetración para la infraestructura del pipeline; tasas de aprobación/rechazo de pruebas de seguridad a lo largo del tiempo; registros de fallos de pruebas de seguridad que bloquearon despliegues
- Formatos aceptables: Informes de herramientas de seguridad vinculados a ejecuciones específicas del pipeline; paneles de análisis de tendencias con datos de respaldo; informes de pruebas de penetración de testers calificados
- Requisitos de retención: Resultados individuales de escaneo retenidos durante al menos 12 meses; datos de tendencias para el ciclo de certificación completo; informes de pruebas de penetración retenidos hasta la próxima evaluación
6. Registros de Gestión de Incidentes
Evidencia de que los incidentes de seguridad relacionados con CI/CD son detectados, atendidos y aprendidos.
- Artefactos CI/CD específicos: Registros de incidentes para cualquier evento de seguridad del pipeline; documentación de procedimientos de respuesta a incidentes que cubra escenarios CI/CD; informes de revisión post-incidente; evidencia de simulacros de incidentes o ejercicios de mesa que involucren escenarios de compromiso del pipeline; registros de acciones correctivas
- Formatos aceptables: Registros del sistema de gestión de incidentes; documentos de revisión post-incidente; informes de ejercicios de simulacro; registros de seguimiento de acciones correctivas
- Requisitos de retención: Todos los registros de incidentes para el ciclo de certificación completo (tres años); acciones correctivas rastreadas hasta su cierre
7. Registros de Gestión de Proveedores
Evidencia de que las dependencias de terceros en CI/CD están gestionadas y monitoreadas.
- Artefactos CI/CD específicos: Registro de proveedores que incluya proveedores de plataformas CI/CD, proveedores de plugins y proveedores de servicios en la nube; evaluaciones de riesgos de terceros para proveedores de servicios CI/CD; requisitos contractuales de seguridad; registros de monitoreo de niveles de servicio; inventario de dependencias (SBOM) para componentes del pipeline
- Formatos aceptables: Entradas del registro de proveedores; informes de evaluación de riesgos; extractos de contratos que muestren cláusulas de seguridad; actas de reuniones de revisión de servicios; salidas de SBOM en formatos estándar
- Requisitos de retención: Registro de proveedores y contratos actuales; evaluaciones de riesgos actualizadas al menos anualmente; registros de revisión de servicios durante un mínimo de 12 meses
Tabla Resumen de Evidencia
| Tipo de Evidencia | Sistema de Origen | Formato | Retención |
|---|---|---|---|
| Alcance y políticas del SGSI | Sistema de gestión documental | Documentos aprobados con control de versiones | Versión actual + anterior; historial de revisiones de 3 años |
| Registro de riesgos (entradas CI/CD) | Plataforma GRC o registro de riesgos | Entradas de riesgos estructuradas con fechas de evaluación | Versión actual + históricas; 3 años |
| Listados de acceso de usuarios del pipeline | Consola de administración de la plataforma CI/CD | Exportación usuario/rol con marcas de tiempo | Config actual + registros de cambios de 12 meses |
| Aprobaciones de revisión de accesos | Herramienta de gobernanza de accesos o registros manuales | Registros de revisión con identidad del revisor y fecha | Mínimo 12 meses |
| Trazas de auditoría de ejecución del pipeline | Registros de la plataforma CI/CD | Entradas de registro inmutables por ejecución | Mínimo 12 meses |
| Registros de aprobación de despliegue | Plataforma CI/CD o herramienta de flujo de trabajo | Registros de aprobación con identidad del aprobador y marca de tiempo | Mínimo 12 meses |
| Historial de configuración del pipeline | Sistema de control de versiones | Historial de commits para archivos pipeline-as-code | Ciclo de certificación completo (3 años) |
| Resultados de escaneos de seguridad | Herramientas de pruebas de seguridad integradas en el pipeline | Informes de herramientas vinculados a IDs de ejecución del pipeline | 12 meses individuales; 3 años datos de tendencia |
| Informes de pruebas de penetración | Proveedor de pruebas calificado | Informe formal con alcance, hallazgos, remediación | Hasta la próxima evaluación |
| Registros de incidentes | Sistema de gestión de incidentes | Tickets de incidentes con cronología y resolución | 3 años |
| Evaluaciones de riesgos de proveedores | Plataforma GRC o registros manuales | Informes de evaluación con calificaciones de riesgo | Actualización anual; 3 años histórico |
| SBOM / inventario de dependencias | Herramienta de escaneo de dependencias del pipeline | Formato SBOM estándar (CycloneDX, SPDX) | Por lanzamiento; mínimo 12 meses |
Causas Frecuentes de No Conformidades en Entornos CI/CD
Las siguientes no conformidades se reportan con mayor frecuencia durante las auditorías de certificación de organizaciones con pipelines CI/CD:
- Brecha en el alcance del SGSI: La infraestructura CI/CD no está incluida explícitamente en el alcance del SGSI, lo que resulta en controles no aplicados
- Documentación desactualizada: Políticas y procedimientos redactados antes de la adopción de CI/CD y nunca actualizados para reflejar los procesos automatizados
- Revisiones de acceso incompletas: Las cuentas de servicio del pipeline y las credenciales de automatización excluidas de las revisiones periódicas de acceso
- Trazas de auditoría ausentes: Los registros del pipeline son mutables, incompletos o no se retienen durante el período requerido
- Puertas de seguridad eludibles: Las etapas de pruebas de seguridad en el pipeline pueden omitirse sin aprobación formal y documentación
- Sin evaluación de riesgos de proveedores para herramientas CI/CD: Las plataformas y plugins CI/CD de terceros no están incluidos en el registro de riesgos de proveedores
- Cambios de emergencia sin revisión retrospectiva: Hotfixes desplegados fuera del pipeline estándar sin justificación documentada y revisión post-despliegue
- Brechas en la evaluación de riesgos: Escenarios de amenazas específicos de CI/CD (ataque a la cadena de suministro, exposición de secretos, compromiso del pipeline) no evaluados en el registro de riesgos
Expectativas de la Auditoría de Vigilancia
Después de la certificación inicial, se realizan auditorías de vigilancia anuales (que típicamente cubren un tercio de los controles cada año). Para los entornos CI/CD, los auditores de vigilancia se enfocarán en:
- Efectividad continua: ¿Siguen funcionando eficazmente los controles que eran conformes en la certificación?
- Cobertura de revisión de la dirección: ¿Ha revisado la dirección el desempeño de seguridad de CI/CD?
- Acciones correctivas: ¿Se han abordado y verificado las no conformidades de la auditoría anterior?
- Cambios desde la última auditoría: ¿Ha habido cambios significativos en el entorno CI/CD y fueron objeto de evaluación de riesgos?
- Hallazgos de auditoría interna: ¿Las auditorías internas cubrieron los controles CI/CD y se abordaron los hallazgos?
- Mejora continua: ¿Existe evidencia de que los controles de seguridad CI/CD han mejorado desde la última auditoría?
Preparación para la Recertificación
La auditoría de recertificación trienal es más exhaustiva que las auditorías de vigilancia. Reevalúa todo el SGSI. Para los entornos CI/CD, la preparación debe incluir:
- Revisión y actualización completa de todas las políticas y procedimientos relacionados con CI/CD
- Ciclo completo de revisiones de acceso para todas las cuentas y credenciales del pipeline
- Evaluación de riesgos actualizada que cubra las nuevas tecnologías o procesos CI/CD adoptados durante el ciclo de certificación
- Evidencia de tres años de operación continua de controles (trazas de auditoría, registros de revisión, registros de incidentes)
- Registros de revisión de la dirección que aborden específicamente las tendencias de desempeño de seguridad CI/CD
- Informes de auditoría interna que cubran todos los controles del Anexo A relevantes para CI/CD
- Evidencia de iniciativas de mejora continua para la seguridad del pipeline
Lectura Adicional
- Centro de Cumplimiento ISO 27001
- Antes de que Llegue el Auditor — Lista de Verificación de Preparación para Auditoría CI/CD
Relacionado para Auditores
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
- Playbook del Día de Auditoría
- Informe Ejecutivo de Auditoría
- Arquitectura de Cumplimiento Dual
¿Nuevo en la auditoría de CI/CD? Comience con nuestra Guía para Auditores.
