Gobernanza CI/CD

Mapeo completo de los controles del Anexo A de ISO 27001 a entornos de pipelines CI/CD, con orientación específica sobre la evidencia que los auditores deben esperar y las brechas más comunes.

El Artículo 21 de la Directiva NIS2 establece las medidas de gestión del riesgo de ciberseguridad que las entidades esenciales e importantes deben implementar. Esta guía mapea cada requisito a los controles CI/CD correspondientes.

Los pipelines CI/CD son sistemas regulados que deben aplicar controles de seguridad, garantizar la trazabilidad y generar evidencia auditable de forma continua. Este artículo explora cómo CI/CD permite el cumplimiento continuo bajo DORA y otros marcos regulatorios en sectores financiero, asegurador y público.

En entornos regulados, los proveedores que soportan su SDLC son parte de su sistema de entrega. Esta lista de verificación cubre gobernanza de proveedores, controles técnicos CI/CD, monitorización continua y pruebas de estrategia de salida — diseñada como referencia de control compartida para equipos de seguridad, ingeniería, riesgo y auditoría.

En entornos regulados, los pipelines CI/CD son sistemas de aplicación de controles, no simples herramientas de productividad. Este artículo presenta el modelo de arquitectura CI/CD exclusiva: ruta única a producción, aplicación de políticas integrada, segregación de funciones y generación continua de evidencia de auditoría.

Los fallos del DORA Artículo 28 provienen de debilidades ocultas en pipelines CI/CD con alta dependencia de terceros. Este artículo destaca las señales de alerta más comunes: sin plan de salida, runners compartidos, sin visibilidad de subprocesadores, sin derechos de auditoría y sin retención de evidencias.

DORA Artículo 28 exige gestionar los riesgos de los proveedores ICT de terceros. Los pipelines CI/CD son puntos de concentración de riesgo de terceros de alto impacto: plataformas Git, runners, plugins y registros deben gobernarse y monitorizarse como servicios ICT dentro del alcance.