Bienvenido, Auditor
Si audita, evalúa o gobierna organizaciones que entregan software, este sitio está construido para usted. La entrega moderna de software utiliza pipelines automatizados (CI/CD) que están cada vez más sujetos a supervisión regulatoria — bajo DORA, NIS2, ISO 27001, SOC 2 y PCI DSS.
No necesita entender código para auditar pipelines CI/CD. Necesita entender controles, evidencias y cómo se ve una buena gobernanza. Esta guía le proporciona esa base.
Esta guía le ayuda a navegar por el sitio y a ganar confianza en la evaluación de entornos CI/CD, incluso sin un profundo conocimiento técnico.
¿Qué Es un Pipeline CI/CD?
Un pipeline CI/CD es un sistema automatizado que toma el código escrito por los desarrolladores y lo hace pasar por una serie de etapas — construcción, prueba, análisis, aprobación, implementación — antes de llegar a producción. Piense en él como una línea de montaje controlada para el software, donde cada estación realiza una verificación específica de calidad o seguridad.
Aquí tiene una vista simplificada de un pipeline típico:
CODE → BUILD → TEST → SCAN → APPROVE → DEPLOY → MONITORCada etapa tiene un propósito diferente — y cada una importa para la garantía de auditoría:
- CODE — Los desarrolladores escriben y confirman cambios en un repositorio controlado por versiones. A los auditores les importa porque aquí es donde comienza la trazabilidad del cambio.
- BUILD — El código fuente se compila en artefactos implementables. A los auditores les importa porque la integridad de la construcción garantiza que lo que fue revisado es lo que se implementa.
- TEST — Las pruebas automatizadas validan la funcionalidad y detectan regresiones. A los auditores les importa porque las evidencias de prueba demuestran la diligencia debida en el control de calidad.
- SCAN — Los escáneres de seguridad comprueban vulnerabilidades, configuraciones incorrectas y riesgos de licencia. A los auditores les importa porque este es el principal control para identificar debilidades conocidas antes de la implementación.
- APPROVE — Las puertas de aprobación humanas o automatizadas deciden si el cambio avanza. A los auditores les importa porque la aplicación de aprobaciones es la piedra angular de la segregación de funciones.
- DEPLOY — El artefacto se lanza a producción a través de un proceso automatizado y repetible. A los auditores les importa porque los controles de implementación determinan si los cambios no autorizados pueden llegar a producción.
- MONITOR — Los sistemas en tiempo de ejecución detectan anomalías, problemas de rendimiento y eventos de seguridad. A los auditores les importa porque el monitoreo cierra el ciclo de retroalimentación y permite la detección de incidentes.
Conclusión clave: Un pipeline bien diseñado hace que la seguridad sea obligatoria. Uno mal diseñado la hace opcional.
La arquitectura del pipeline determina si los controles de seguridad son obligatorios (aplicados por diseño) u opcionales (dependientes de la disciplina individual). Esta distinción es crítica para los auditores: un pipeline bien diseñado hace del cumplimiento una propiedad del sistema, no un proyecto periódico.
¿Necesita definiciones? Consulte nuestro Glosario para obtener explicaciones en lenguaje sencillo de términos técnicos.
Por Qué los Auditores Necesitan Entender la Entrega de Software
Las regulaciones ahora exigen explícitamente que las organizaciones gobiernen sus sistemas de entrega de software:
- DORA (Digital Operational Resilience Act) — trata los pipelines CI/CD como sistemas TIC sujetos a gestión de riesgos, pruebas y supervisión de terceros
- NIS2 — requiere seguridad de la cadena de suministro, reporte de incidentes y medidas de gestión de riesgos que involucran directamente la entrega de software
- ISO 27001 — los controles del Anexo A cubren el desarrollo de sistemas, la gestión de cambios y las relaciones con proveedores
- SOC 2 — los Criterios de Servicio de Confianza para gestión de cambios (CC8), acceso lógico (CC6) y operaciones del sistema (CC7) todos afectan a CI/CD
- PCI DSS v4.0 — el Requisito 6 exige prácticas de desarrollo seguro y gestión de vulnerabilidades
La siguiente tabla mapea los requisitos regulatorios específicos con lo que exigen para la entrega de software:
| Regulación | Artículo / Requisito | Qué Exige para la Entrega de Software |
|---|---|---|
| DORA | Art. 9 | El marco de gestión de riesgos TIC debe cubrir los sistemas CI/CD, incluidas las capacidades de protección, detección y respuesta |
| DORA | Art. 21 | La gestión de cambios TIC debe ser controlada, probada y aprobada — directamente aplicable a la gobernanza del pipeline |
| DORA | Art. 28 | La gestión de riesgos TIC de terceros se extiende a proveedores de cloud, herramientas SaaS y proveedores de servicios de pipeline |
| NIS2 | Art. 21 | Las medidas de gestión de riesgos deben abordar la seguridad de la cadena de suministro, el manejo de vulnerabilidades y las prácticas de desarrollo seguro |
| ISO 27001 | A.8.25 | Ciclo de vida de desarrollo seguro — la seguridad debe estar diseñada en el proceso de desarrollo |
| ISO 27001 | A.8.28 | Prácticas de codificación segura — el código debe desarrollarse, revisarse y probarse según estándares de seguridad |
| ISO 27001 | A.8.29 | Pruebas de seguridad en desarrollo y aceptación — las pruebas deben verificar que se cumplen los requisitos de seguridad |
| SOC 2 | CC6 | Controles de acceso lógico y físico — restringir quién puede modificar configuraciones del pipeline e implementar en producción |
| SOC 2 | CC7 | Operaciones del sistema — monitoreo, detección de incidentes y respuesta para la infraestructura CI/CD |
| SOC 2 | CC8 | Gestión de cambios — los cambios deben estar autorizados, probados y aprobados antes de la implementación |
| PCI DSS | Req. 6 | Desarrollar y mantener sistemas seguros — incluye codificación segura, gestión de vulnerabilidades y controles de cambios |
| PCI DSS | Req. 8 | Identificar usuarios y autenticar el acceso — MFA y controles de acceso para sistemas de pipeline e implementación |
| PCI DSS | Req. 10 | Registrar y monitorear todos los accesos — registros de auditoría para la actividad del pipeline, implementaciones y cambios de configuración |
Si la entrega de software no está en el alcance de su auditoría, es posible que esté omitiendo una superficie de control crítica.
Las 5 Cosas que Todo Auditor Debe Verificar
Independientemente del marco regulatorio, estas cinco áreas forman la base de la garantía de auditoría CI/CD:
1. Integridad del Pipeline
¿Se pueden modificar las configuraciones del pipeline sin aprobación? ¿Son las etapas obligatorias u omitibles? ¿Hay evidencias de ejecución resistente a la manipulación?
- Evidencias a solicitar: Archivos de configuración del pipeline (YAML/JSON) almacenados en control de versiones, registros de auditoría de cambios en la definición del pipeline, reglas de protección de ramas que impidan ediciones directas.
- Señal de alerta: Las definiciones del pipeline se pueden editar directamente en la interfaz de usuario de la herramienta CI/CD sin control de versiones ni aprobación — esto significa que cualquier persona con acceso puede eliminar silenciosamente las etapas de seguridad.
- Análisis en profundidad: Controles de Seguridad Fundamentales de CI/CD
2. Controles de Acceso y Segregación de Funciones
¿Puede la misma persona escribir código e implementarlo en producción? ¿Están los roles privilegiados protegidos con MFA? ¿Se realizan revisiones de acceso?
- Evidencias a solicitar: Matriz de control de acceso basado en roles (RBAC) para herramientas CI/CD, registros de aplicación de MFA, registros de revisiones periódicas de acceso, evidencia de que la implementación requiere un aprobador diferente al autor del código.
- Señal de alerta: Una sola cuenta de usuario tiene permisos tanto de «fusionar a main» como de «implementar en producción» sin aprobación secundaria requerida.
- Análisis en profundidad: Cómo los Auditores Realmente Revisan los Pipelines CI/CD
3. Gestión de Secretos
¿Se almacenan las credenciales en una bóveda centralizada? ¿Se rotan automáticamente? ¿Pueden aparecer secretos en registros o código?
- Evidencias a solicitar: Configuración de la bóveda y políticas de acceso, programas de rotación de secretos, configuración de enmascaramiento de registros, resultados de análisis de herramientas de detección de secretos (por ejemplo, GitLeaks, TruffleHog).
- Señal de alerta: Las credenciales están codificadas en archivos de configuración del pipeline o variables de entorno visibles en los registros de construcción.
- Análisis en profundidad: Glosario — Gestión de Secretos
4. Procedencia de Artefactos
¿Están los artefactos implementados firmados y trazables a una ejecución específica del pipeline? ¿Pueden los artefactos sin firmar o sin analizar llegar a producción?
- Evidencias a solicitar: Certificados de firma de artefactos y políticas de verificación, Lista de Materiales de Software (SBOM) para implementaciones recientes, firmas de imágenes de contenedores, reglas de policy-as-code que bloqueen artefactos sin firmar.
- Señal de alerta: Los contenedores de producción se extraen de un registro público sin verificación de firma ni análisis de vulnerabilidades.
- Análisis en profundidad: Glosario — SBOM (Lista de Materiales de Software)
5. Aplicación de Aprobación de Cambios
¿Son obligatorias las revisiones de pull request? ¿Se registran las aprobaciones? ¿Pueden los cambios de emergencia eludir los controles sin excepciones documentadas?
- Evidencias a solicitar: Reglas de protección de ramas que requieran aprobaciones, registros de auditoría de fusión que muestren identidades de revisores, documentación del procedimiento de cambio de emergencia, registros de excepciones con justificación y revisión post-incidente.
- Señal de alerta: La función de «anulación de administrador» se usa regularmente para eludir las revisiones requeridas, sin documentación de excepción ni auditoría de seguimiento.
- Análisis en profundidad: Manual del Día de Auditoría
Rutas de Lectura
Elija el camino que mejor se adapte a su rol y objetivos:
Si es nuevo en la auditoría de CI/CD:
- Glosario — Aprenda primero la terminología
- Esta guía — Comprenda la estructura y los conceptos clave
- Controles de Seguridad Fundamentales de CI/CD — Los controles esenciales que todo pipeline debería tener
- Cómo los Auditores Realmente Revisan los Pipelines CI/CD — Metodología práctica de revisión
Si audita bajo DORA:
- Comience con la Página Central de DORA — descripción general e índice de artículos
- Lea el Análisis en Profundidad del Artículo 21 de DORA — controles de gestión de riesgos TIC
- Lea la Explicación del Artículo 28 de DORA — riesgo TIC de terceros
- Use la Lista de Verificación del Auditor para el Artículo 28 de DORA
- Revise el Mapeo de Controles y Evidencias
Si audita bajo NIS2:
- Comience con la Página Central de NIS2 — descripción general y alcance
- Lea Arquitectura de Seguridad NIS2 Explicada
- Revise el Análisis en Profundidad de Seguridad de la Cadena de Suministro NIS2
- Use la Lista de Verificación del Auditor de Cadena de Suministro NIS2
Si audita bajo ISO 27001, SOC 2 o PCI DSS:
- Comience con el Mapeo de Cumplimiento (ISO 27001 / SOC 2 / DORA)
- Lea el Mapeo de Cumplimiento (NIS2 / PCI DSS)
- Revise la Arquitectura de Cumplimiento Dual
Si evalúa múltiples marcos:
- Arquitectura de Cumplimiento Dual — Cómo satisfacer requisitos superpuestos de manera eficiente
- Matriz de Superposición ISO 27001 vs DORA vs NIS2 — Comparación lado a lado de requisitos de control
- Análisis de Superposición NIS2 vs DORA — Mapeo detallado de obligaciones compartidas y distintas
Si se está preparando para una auditoría:
- Antes de que Llegue el Auditor: Lista de Verificación de Preparación
- Manual del Día de Auditoría
- Hoja de Referencia de Preguntas y Respuestas del Día de Auditoría
Cómo Está Organizado Este Sitio
- Marcos Regulatorios — DORA, NIS2 y análisis en profundidad específicos por regulación
- Auditoría y Gobernanza — Qué evalúan los auditores, modelos de gobernanza, niveles de madurez
- Arquitectura — CI/CD como sistemas de aplicación, modelos de madurez
- Gobernanza de Seguridad de Aplicaciones — SDLC seguro, marcos de riesgo
- Modelos Operativos de DevSecOps — Roles, responsabilidades, marcos operativos
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
Para orientación de implementación técnica (código, configuraciones, configuración de herramientas), visite nuestro sitio hermano secure-pipelines.com.
Referencia Rápida
Recursos de uso frecuente en el sitio:
- Glosario — Definiciones en lenguaje sencillo de términos CI/CD y de seguridad
- Hallazgos Comunes en Auditorías — Top 10 — Los fallos de control CI/CD más frecuentes que encuentran los auditores
- Informe Ejecutivo de Auditoría — Resumen de alto nivel para informes de liderazgo y consejo
- Directorio Completo de Recursos — Índice completo de todas las guías, listas de verificación y materiales de referencia
Este sitio está diseñado para aumentar su confianza en la evaluación de entornos CI/CD. Cada artículo está escrito desde su perspectiva — controles, evidencias y verificación. No se requiere código.
