Señales de Alerta DORA Artículo 28: Fallos Comunes de Riesgo de Terceros en CI/CD

por

Los fallos del DORA Artículo 28 raramente provienen de políticas inexistentes.

Provienen de debilidades ocultas en pipelines CI/CD con alta dependencia de terceros que solo afloran durante auditorías o incidentes.

Los auditores buscan señales de alerta — indicios de que el riesgo ICT de terceros no está gestionado, no se aplica o no está respaldado por evidencias.

Las plataformas CI/CD son una fuente frecuente de estos hallazgos porque combinan servicios externos, ejecución privilegiada y automatización.

Este artículo destaca las señales de alerta más comunes del Artículo 28 relacionadas con los pipelines CI/CD, por qué son importantes y cómo las interpretan los auditores.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS No audit rights CI/CD SaaS Orchestrator No exit plan CI Runners Cloud execution Shared runners Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

Por qué las Señales de Alerta CI/CD Importan bajo el Artículo 28

Bajo DORA, el riesgo de terceros no es teórico.

Los auditores evalúan si un fallo en un proveedor de terceros podría:

  • interrumpir servicios críticos,
  • comprometer la integridad del sistema,
  • o impedir el cumplimiento de las obligaciones regulatorias.

Los pipelines CI/CD son a menudo puntos únicos de fallo en la entrega de software.

Las señales de alerta en este ámbito se tratan por tanto como hallazgos de alta gravedad.

Señal de Alerta #1 — Sin Plan de Salida de Plataformas CI/CD SaaS

Lo que observan los auditores

Las organizaciones dependen en gran medida de las plataformas SaaS CI/CD pero no pueden demostrar:

  • cómo migrar los pipelines,
  • cómo recuperar logs históricos y artefactos,
  • cómo mantener la continuidad si el proveedor deja de estar disponible.

Por qué es una señal de alerta

DORA Artículo 28 exige explícitamente estrategias de salida para los proveedores ICT de terceros críticos.

Un plan de salida que solo existe en papel — sin viabilidad técnica — se considera insuficiente.

Conclusión típica del auditor

«La organización está operativamente bloqueada en un proveedor ICT crítico.»

Señal de Alerta #2 — Runners de CI Compartidos entre Inquilinos

Lo que observan los auditores

Los trabajos de CI se ejecutan en:

  • runners compartidos,
  • infraestructura multi-inquilino,
  • con visibilidad limitada sobre los controles de aislamiento.

A menudo, las organizaciones no pueden explicar:

  • cómo se aplica el aislamiento de los runners,
  • quién controla el entorno de ejecución,
  • si la fuga de datos está técnicamente prevenida.

Por qué es una señal de alerta

Los runners compartidos incrementan:

  • el riesgo de confidencialidad,
  • el riesgo de integridad,
  • la exposición a movimiento lateral.

Bajo el Artículo 28, esto plantea interrogantes sobre la clasificación del riesgo del proveedor y la eficacia de los controles.

Señal de Alerta #3 — Sin Visibilidad sobre los Subprocesadores

Lo que observan los auditores

Las organizaciones:

  • contratan con un proveedor CI/CD o Git primario,
  • pero carecen de visibilidad sobre los subprocesadores (proveedores de nube, runners, registros, servicios de monitorización).

Los inventarios de proveedores suelen detenerse en el primer nivel.

Por qué es una señal de alerta

DORA Artículo 28 exige supervisión no solo de los proveedores directos, sino también de las cadenas de subcontratación críticas.

La falta de visibilidad sobre los subprocesadores indica:

  • evaluación de riesgos incompleta,
  • gobernanza insuficiente de proveedores.

Señal de Alerta #4 — Sin Derechos de Auditoría en los Contratos CI/CD

Lo que observan los auditores

Los contratos con proveedores CI/CD o Git SaaS:

  • carecen de cláusulas de auditoría o inspección,
  • o contienen derechos de auditoría prácticamente inutilizables.

En algunos casos, los equipos de ingeniería desconocen las limitaciones contractuales.

Por qué es una señal de alerta

Sin derechos de auditoría:

  • los controles no pueden verificarse de forma independiente,
  • la dependencia de las garantías del proveedor se vuelve inevitable.

Los auditores tratan esto como una brecha de cumplimiento estructural, no como una omisión procedimental.

Señal de Alerta #5 — Sin Retención de Evidencias para Actividades CI/CD

Lo que observan los auditores

Las plataformas CI/CD generan logs, aprobaciones y trazas de ejecución, pero:

  • los logs se conservan durante periodos cortos,
  • la evidencia se sobreescribe o es inaccesible,
  • las políticas de retención están indefinidas.

La evidencia se recopila a menudo tras la notificación de la auditoría, no de forma continua.

Por qué es una señal de alerta

DORA Artículo 28 se basa en la evidencia.

Si la evidencia no puede producirse a demanda, los controles se consideran ineficaces.

Esta señal de alerta frecuentemente resulta en:

  • observaciones de auditoría,
  • planes de remediación,
  • revisiones de seguimiento.

Señales de Alerta CI/CD Adicionales que los Auditores Identifican Habitualmente

  • Uso sin restricciones de plugins del marketplace CI/CD
  • Sin puertas de aprobación para los cambios de pipeline
  • Secretos expuestos a contextos de ejecución de terceros
  • Sin monitorización de la disponibilidad de la plataforma CI/CD
  • Aplicación inconsistente de controles entre pipelines

Cada uno de estos puntos debilita la confianza en la gestión del riesgo de terceros.

Cómo Utilizan los Auditores las Señales de Alerta

Las señales de alerta raramente se evalúan de forma aislada.

Los auditores buscan patrones:

  • múltiples señales de alerta en torno al mismo proveedor,
  • brechas entre los contratos y la aplicación técnica,
  • vínculos perdidos entre controles y evidencias.

Cuando emergen patrones, los auditores pueden:

  • elevar la criticidad del proveedor,
  • ampliar el alcance de la auditoría,
  • solicitar remediación en plazos estrictos.

Cómo Abordar estas Señales de Alerta de Forma Proactiva

Las organizaciones que obtienen buenos resultados bajo el Artículo 28 habitualmente:

  • delimitan explícitamente las plataformas CI/CD como terceros ICT,
  • aplican controles mediante la configuración del pipeline,
  • alinean los contratos con la realidad técnica,
  • generan evidencia continua e inmutable.

Lo más importante, tratan la seguridad CI/CD como parte de la gobernanza del riesgo de terceros, no solo como herramientas DevOps.

Conclusión Clave

Los pipelines CI/CD son de las fuentes más comunes de hallazgos de auditoría del Artículo 28.

Señales de alerta como:

  • falta de estrategias de salida,
  • aislamiento deficiente,
  • ausencia de derechos de auditoría,
  • retención insuficiente de evidencias

indican un riesgo de terceros no gestionado.

Abordar estos problemas a tiempo transforma los pipelines CI/CD de pasivos de auditoría en activos sólidos de cumplimiento.

Contenido Relacionado

Contexto “audit-ready”

Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI/CD y evidencia por diseño para auditorías.

Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retención de evidencia de extremo a extremo.

Ver la metodología en la página About.