Esta lista de verificación ayuda a las organizaciones a validar que sus pipelines CI/CD están listos para la auditoría antes de que lleguen los auditores. Se centra en la gobernanza, la aplicación de controles y la disponibilidad de evidencias, en lugar de los detalles de configuración de las herramientas.
Use esta lista como una revisión final de preparación para reducir el estrés de la auditoría y evitar hallazgos de última hora.
1. Preparación de Alcance y Gobernanza
Verificación
Sí
No
Los pipelines CI/CD están explícitamente incluidos en el alcance de cumplimiento
⬜
⬜
Los pipelines están clasificados como sistemas ICT / regulados
⬜
⬜
La propiedad y la responsabilidad de CI/CD están definidas
⬜
⬜
CI/CD está cubierto en las evaluaciones de riesgo ICT
⬜
⬜
Los documentos de gobernanza hacen referencia explícita a CI/CD
⬜
⬜
2. Control de Acceso y Privilegios
Verificación
Sí
No
El acceso CI/CD sigue el principio de mínimos privilegios
⬜
⬜
Los usuarios humanos y las identidades del pipeline están separados
⬜
⬜
RBAC se aplica para la administración del pipeline
⬜
⬜
MFA está habilitado para los administradores CI/CD
⬜
⬜
Las revisiones de acceso privilegiado están documentadas
⬜
⬜
3. Segregación de Funciones
Verificación
Sí
No
Los desarrolladores no pueden auto-aprobar cambios en producción
⬜
⬜
Las revisiones de código son obligatorias antes de la ejecución del pipeline
⬜
⬜
Los permisos de compilación y despliegue están separados
⬜
⬜
Las anulaciones de emergencia quedan registradas y aprobadas
⬜
⬜
Las reglas de segregación se revisan periódicamente
⬜
⬜
4. Gestión de Cambios y Trazabilidad
Verificación
Sí
No
Todos los cambios en producción pasan por pipelines CI/CD
⬜
⬜
El código fuente, la ejecución del pipeline y el despliegue están vinculados
⬜
⬜
Las aprobaciones son trazables y tienen marca temporal
⬜
⬜
Los despliegues fuera de banda se previenen o registran
⬜
⬜
Los cambios de producción al azar pueden trazarse de extremo a extremo
⬜
⬜
5. Aplicación de Controles de Seguridad
Verificación
Sí
No
SAST, SCA y otros análisis son obligatorios
⬜
⬜
Las verificaciones de seguridad fallidas bloquean los despliegues
⬜
⬜
Las políticas de seguridad se aplican a través de puertas del pipeline
⬜
⬜
Las excepciones de seguridad están documentadas y aprobadas
⬜
⬜
Los controles de seguridad son consistentes en todos los pipelines
⬜
⬜
6. Registro, Monitorización y Retención
Verificación
Sí
No
Todas las ejecuciones del pipeline quedan registradas
⬜
⬜
Los registros incluyen aprobaciones y resultados de seguridad
⬜
⬜
Los registros se recopilan de forma centralizada
⬜
⬜
La retención de registros cumple los requisitos regulatorios
⬜
⬜
Los registros pueden recuperarse rápidamente cuando se soliciten
⬜
⬜
7. Resiliencia y Preparación ante Incidentes
Verificación
Sí
No
La resiliencia CI/CD está documentada
⬜
⬜
Existen procedimientos de reversión probados
⬜
⬜
Los incidentes CI/CD están cubiertos por manuales de respuesta a incidentes
⬜
⬜
Las credenciales del pipeline pueden revocarse rápidamente
⬜
⬜
Los incidentes CI/CD pasados están documentados
⬜
⬜
8. Preparación de Evidencias
Verificación
Sí
No
La evidencia es generada por el sistema, no manualmente
⬜
⬜
La evidencia tiene marca temporal y es inmutable
⬜
⬜
La evidencia puede reproducirse bajo demanda
⬜
⬜
La evidencia está agrupada por control o regulación
⬜
⬜
Los equipos saben dónde se almacena la evidencia
⬜
⬜
9. Alineación del Equipo y Preparación para la Auditoría
Verificación
Sí
No
Los equipos de ingeniería, seguridad y cumplimiento están alineados
⬜
⬜
Los equipos proporcionan respuestas consistentes
⬜
⬜
Se ha realizado un simulacro de auditoría
⬜
⬜
Las brechas conocidas tienen planes de remediación
⬜
⬜
Los puntos de contacto para la auditoría están definidos
⬜
⬜
Pregunta Final Antes de la Auditoría
Si un auditor solicita un despliegue de producción aleatorio de hace seis meses, ¿puede explicarlo y demostrarlo completamente en minutos?
Si la respuesta es sí, es probable que sus pipelines CI/CD estén listos para la auditoría.
Arquitecto senior DevSecOps y de seguridad, con más de 15 años de experiencia en ingeniería de software segura, seguridad CI/CD y entornos empresariales regulados.
Certificado CSSLP y EC-Council Certified DevSecOps Engineer, con experiencia práctica diseñando arquitecturas CI/CD seguras, auditables y conformes.
