Gobernanza, CI/CD, Proveedores y Cadena de Suministro de Software
Esta lista de verificación refleja cómo los requisitos de cadena de suministro NIS2 son realmente revisados por auditores y autoridades supervisoras. Se centra en la gobernanza, la aplicación técnica y la evidencia, en lugar de declaraciones políticas de alto nivel.
Utilice esta lista de verificación para evaluar la preparación antes de una auditoría o para guiar la preparación de evidencias durante la supervisión.
1. Alcance e Identificación de Proveedores
Enfoque del auditor
¿Están identificados y en el alcance todos los proveedores relevantes?
Lista de verificación
- ⬜ El inventario de proveedores existe y se mantiene actualizado
- ⬜ El inventario incluye:
- proveedores de software
- plataformas CI/CD
- proveedores de nube e infraestructura
- servicios ICT subcontratados
- ⬜ Los proveedores están mapeados a los servicios o sistemas que respaldan
- ⬜ El alcance de la cadena de suministro está formalmente documentado
Señales de alerta típicas
- Proveedores CI/CD excluidos del alcance del proveedor
- Listas de proveedores incompletas o desactualizadas
2. Criticidad del Proveedor y Clasificación de Riesgos
Enfoque del auditor
¿Se evalúan los riesgos de la cadena de suministro de forma proporcional?
Lista de verificación
- ⬜ Los proveedores están clasificados por criticidad
- ⬜ Los criterios de clasificación incluyen:
- impacto en los servicios esenciales
- nivel de acceso privilegiado
- sensibilidad de los datos
- sustituibilidad
- ⬜ Las evaluaciones de riesgos están documentadas y son repetibles
- ⬜ Los proveedores críticos están claramente identificados
Señales de alerta típicas
- Sin distinción entre proveedores críticos y no críticos
- Evaluaciones de riesgos realizadas de forma informal
3. Gobernanza y Propiedad del Proveedor
Enfoque del auditor
¿Quién es responsable del riesgo del proveedor?
Lista de verificación
- ⬜ Cada proveedor tiene un propietario interno claramente asignado
- ⬜ Los roles de gobernanza del proveedor están definidos
- ⬜ Se realizan revisiones periódicas de proveedores
- ⬜ Los riesgos relacionados con proveedores se escalan adecuadamente
Señales de alerta típicas
- Propiedad del proveedor poco clara o implícita
- Sin evidencia de supervisión continua del proveedor
4. Controles de Contratación y Contractuales
Enfoque del auditor
¿Son aplicables los requisitos de ciberseguridad?
Lista de verificación
- ⬜ Requisitos de ciberseguridad integrados en la contratación
- ⬜ Los contratos incluyen:
- obligaciones de seguridad
- requisitos de notificación de incidentes
- cláusulas de cooperación
- ⬜ Cláusulas de seguridad aplicadas de forma coherente a proveedores críticos
- ⬜ Las excepciones contractuales están documentadas y justificadas
Señales de alerta típicas
- Requisitos de seguridad aplicados de forma inconsistente
- Sin trazabilidad entre contratos y evaluaciones de riesgos
5. Controles de Cadena de Suministro CI/CD
Enfoque del auditor
¿Cómo se aplica técnicamente el riesgo de la cadena de suministro?
Lista de verificación
- ⬜ Los pipelines CI/CD son obligatorios para los cambios en producción
- ⬜ El acceso a las plataformas CI/CD está restringido (RBAC, MFA)
- ⬜ Las modificaciones del pipeline están controladas y registradas
- ⬜ La segregación de funciones se aplica mediante aprobaciones
- ⬜ Las integraciones de terceros en CI/CD están gobernadas
Señales de alerta típicas
- Despliegues manuales o fuera de banda
- Cuentas de servicio CI/CD con exceso de privilegios
6. Controles de Dependencias e Integridad del Software
Enfoque del auditor
¿Cómo confía en lo que despliega?
Lista de verificación
- ⬜ Existen inventarios de dependencias para aplicaciones críticas
- ⬜ Se realiza análisis de dependencias (SCA)
- ⬜ Las vulnerabilidades críticas desencadenan remediación o decisión
- ⬜ Los SBOMs están disponibles para sistemas críticos (donde corresponda)
- ⬜ La integridad y procedencia de los artefactos están garantizadas
Señales de alerta típicas
- Sin visibilidad sobre las dependencias
- Incapacidad para rastrear los artefactos desplegados
7. Gestión del Acceso de Terceros
Enfoque del auditor
¿Los proveedores tienen acceso controlado?
Lista de verificación
- ⬜ Las cuentas de terceros y de servicio están inventariadas
- ⬜ El acceso sigue los principios de privilegio mínimo
- ⬜ El acceso privilegiado está aprobado y registrado
- ⬜ Se realizan revisiones periódicas de acceso
- ⬜ Existen procedimientos de revocación de acceso
Señales de alerta típicas
- Cuentas de proveedor de larga duración sin revisión
- Credenciales compartidas o no documentadas
8. Monitoreo y Detección
Enfoque del auditor
¿Puede detectar eventos relacionados con la cadena de suministro?
Lista de verificación
- ⬜ La actividad del pipeline CI/CD está monitoreada
- ⬜ Las alertas de vulnerabilidades de dependencias están monitoreadas
- ⬜ Las anomalías relacionadas con proveedores son detectables
- ⬜ Las alertas tienen rutas de escalada definidas
Señales de alerta típicas
- Los registros existen pero no se revisan
- Sin alertas para problemas de CI/CD o dependencias
9. Respuesta a Incidentes y Coordinación con Proveedores
Enfoque del auditor
¿Está preparado para incidentes de proveedores?
Lista de verificación
- ⬜ Los planes de respuesta a incidentes incluyen escenarios de proveedores
- ⬜ Las rutas de escalada y notificación del proveedor están definidas
- ⬜ Capacidad para revocar el acceso del proveedor rápidamente
- ⬜ Simulaciones o pruebas de incidentes realizadas
- ⬜ Revisiones post-incidente documentadas
Señales de alerta típicas
- Incidentes de proveedores gestionados de forma ad hoc
- Sin proceso de coordinación documentado
10. Retención de Evidencias y Auditabilidad
Enfoque del auditor
¿Puede producirse evidencia bajo demanda?
Lista de verificación
- ⬜ Los períodos de retención de evidencias están definidos
- ⬜ Los registros CI/CD y los registros de seguridad se conservan
- ⬜ La documentación del proveedor está archivada
- ⬜ La evidencia histórica puede recuperarse
Señales de alerta típicas
- Períodos de retención cortos
- Evidencia dispersa en múltiples sistemas
Preguntas Finales de Evaluación del Auditor
Antes de cerrar una auditoría, los supervisores típicamente se preguntan:
- ¿Se entienden claramente los riesgos de la cadena de suministro?
- ¿Los controles se aplican técnicamente, no solo se documentan?
- ¿La evidencia es fiable, completa y recuperable?
- ¿CI/CD se trata como parte del entorno regulado?
Si estas preguntas pueden responderse con confianza, la preparación de la cadena de suministro NIS2 generalmente se considera satisfactoria.
Conclusión
El cumplimiento de la cadena de suministro NIS2 se evalúa a través de evidencia, aplicación y responsabilidad. Esta lista de verificación refleja cómo los auditores evalúan la madurez en la práctica y ayuda a las organizaciones a identificar brechas antes de que ocurra la supervisión.
Contenido Relacionado
- Paquete de Evidencias de Cadena de Suministro NIS2
- Análisis Profundo de Seguridad de la Cadena de Suministro NIS2
- Arquitectura de Seguridad NIS2 — Explicada
- Lista de Verificación de Gobernanza de Proveedores y Controles CI/CD
- Cómo los Auditores Revisan Realmente los Pipelines CI/CD
