Hoja de Referencia de Preguntas y Respuestas para el Día de Auditoría

por

CI/CD Pipelines en Entornos Regulados

Utilice esta hoja de referencia durante el día de auditoría para responder preguntas comunes sobre CI/CD de forma clara, coherente y con evidencias.

Respuestas cortas. Sin especulaciones. Siempre respalde con pruebas.

1. Alcance y Gobernanza

P: ¿Los pipelines CI/CD están en el alcance del cumplimiento?

Respuesta

Sí. Los pipelines CI/CD se tratan como sistemas ICT regulados porque impactan directamente en los sistemas de producción.

Evidencia a mostrar

  • Inventario de sistemas ICT
  • Evaluación de riesgos que incluya CI/CD

P: ¿Quién es responsable de la seguridad y gobernanza de CI/CD?

Respuesta

La gobernanza de CI/CD es responsabilidad compartida de Ingeniería de Plataformas y Seguridad, con responsabilidades definidas.

Evidencia

  • Documento RACI o de propiedad
  • Referencia a la política de gobernanza

2. Control de Acceso

P: ¿Quién puede modificar los pipelines CI/CD?

Respuesta

Solo los administradores autorizados con RBAC y MFA pueden modificar las configuraciones del pipeline.

Evidencia

  • Configuración RBAC de CI/CD
  • Políticas IAM
  • Pantalla/registros de aplicación de MFA

P: ¿Los pipelines usan credenciales compartidas?

Respuesta

No. Cada pipeline usa cuentas de servicio dedicadas con privilegio mínimo.

Evidencia

  • Lista de cuentas de servicio
  • Alcances de permisos

3. Segregación de Funciones

P: ¿Pueden los desarrolladores desplegar directamente a producción?

Respuesta

No. Los despliegues a producción requieren aprobación independiente aplicada por el pipeline.

Evidencia

  • Reglas de aprobación
  • Definición del flujo de trabajo de despliegue

P: ¿Puede alguien aprobar sus propios cambios?

Respuesta

No. La auto-aprobación está técnicamente impedida.

Evidencia

  • Reglas de pull request
  • Ejemplo de historial de aprobaciones

4. Gestión de Cambios

P: ¿Cómo se garantiza que todos los cambios en producción pasen por CI/CD?

Respuesta

El acceso directo a producción está restringido. Todos los despliegues se ejecutan a través de pipelines CI/CD.

Evidencia

  • Registros de despliegue
  • Restricciones de acceso a la infraestructura

P: ¿Puede rastrearse un lanzamiento a producción hasta el código fuente?

Respuesta

Sí. Mantenemos trazabilidad completa desde el commit hasta el despliegue.

Evidencia

  • ID de commit
  • ID de ejecución del pipeline
  • Metadatos del artefacto

5. Controles de Seguridad

P: ¿Son obligatorios los análisis de seguridad?

Respuesta

Sí. Los análisis de seguridad son obligatorios y bloquean el despliegue en caso de fallo.

Evidencia

  • Definición del pipeline
  • Ejemplo de build fallida

P: ¿Cómo se gestionan las excepciones de seguridad?

Respuesta

Las excepciones requieren aprobación formal y quedan registradas.

Evidencia

  • Registros de excepciones
  • Registros de aprobación

6. Registro y Monitoreo

P: ¿Se registran las actividades de CI/CD?

Respuesta

Sí. Todas las ejecuciones y cambios del pipeline se registran de forma centralizada.

Evidencia

  • Panel de registros centralizado
  • Muestra de registros del pipeline

P: ¿Durante cuánto tiempo se conservan los registros de CI/CD?

Respuesta

Los registros se conservan de acuerdo con los requisitos normativos.

Evidencia

  • Política de retención
  • Configuración del SIEM

7. Incidentes y Resiliencia

P: ¿Qué sucede si una credencial de CI/CD se ve comprometida?

Respuesta

Las credenciales pueden revocarse inmediatamente y los pipelines pueden desactivarse.

Evidencia

  • Proceso de revocación IAM
  • Extracto del playbook de incidentes

P: ¿Se prueban los procedimientos de rollback?

Respuesta

Sí. Los procedimientos de rollback y recuperación se prueban regularmente.

Evidencia

  • Registros de pruebas
  • Historial de despliegues

8. Calidad de la Evidencia

P: ¿Cómo se proporciona evidencia de auditoría?

Respuesta

La evidencia es generada por el sistema, con marca de tiempo y reproducible.

Evidencia

  • Registros
  • Metadatos del pipeline
  • Muestras de pistas de auditoría

P: ¿Puede reproducirse la evidencia bajo demanda?

Respuesta

Sí. La evidencia puede recuperarse directamente de los sistemas CI/CD y de registro.

Evidencia

  • Consulta en vivo o informe preparado

9. Gestión de Preguntas Difíciles

P: «¿Por qué no hacen X?»

Respuesta segura

Este control se aborda a través de mecanismos alternativos alineados con nuestra evaluación de riesgos.

👉 Luego muestre lo que sí hace, no lo que no hace.

P: «¿No es esto incumplimiento?»

Respuesta segura

Basándonos en nuestra interpretación y los controles establecidos, este requisito está contemplado. Estamos abiertos a una mayor aclaración.

⚠️ Nunca discuta la interpretación normativa emocionalmente.

10. Reglas de Oro Finales (Imprima Esto)

  • No especule
  • No sobre-explique
  • Muestre evidencia, luego detenga
  • Una voz a la vez
  • CI/CD es un sistema regulado

Recursos Relacionados

📌 NOTAS DE USO (importante)

  • Mantenga esto abierto durante las llamadas de auditoría
  • Comparta solo con el equipo de cara al auditor
  • No improvise fuera de este alcance
  • Actualícelo después de cada auditoría
Sobre el autor

Arquitecto senior DevSecOps y de seguridad, con más de 15 años de experiencia en ingeniería de software segura, seguridad CI/CD y entornos empresariales regulados.

Certificado CSSLP y EC-Council Certified DevSecOps Engineer, con experiencia práctica diseñando arquitecturas CI/CD seguras, auditables y conformes.

Más información en la página About.