{"id":2098,"date":"2026-03-25T16:51:55","date_gmt":"2026-03-25T15:51:55","guid":{"rendered":"https:\/\/regulated-devsecops.com\/por-donde-empezar-guia-del-auditor-para-la-seguridad-ci-cd\/"},"modified":"2026-03-26T09:49:39","modified_gmt":"2026-03-26T08:49:39","slug":"por-donde-empezar","status":"publish","type":"page","link":"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/","title":{"rendered":"Por D\u00f3nde Empezar \u2014 Gu\u00eda del Auditor para la Seguridad CI\/CD"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Bienvenido, Auditor<\/h2>\n\n\n\n<p>Si audita, eval\u00faa o gobierna organizaciones que entregan software, este sitio est\u00e1 construido para usted. La entrega moderna de software utiliza pipelines automatizados (CI\/CD) que est\u00e1n cada vez m\u00e1s sujetos a supervisi\u00f3n regulatoria \u2014 bajo DORA, NIS2, ISO 27001, SOC 2 y PCI DSS.<\/p>\n\n\n\n<p><strong>No necesita entender c\u00f3digo para auditar pipelines CI\/CD. Necesita entender controles, evidencias y c\u00f3mo se ve una buena gobernanza. Esta gu\u00eda le proporciona esa base.<\/strong><\/p>\n\n\n\n<p>Esta gu\u00eda le ayuda a navegar por el sitio y a ganar confianza en la evaluaci\u00f3n de entornos CI\/CD, incluso sin un profundo conocimiento t\u00e9cnico.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 Es un Pipeline CI\/CD?<\/h2>\n\n\n\n<p>Un pipeline CI\/CD es un sistema automatizado que toma el c\u00f3digo escrito por los desarrolladores y lo hace pasar por una serie de etapas \u2014 construcci\u00f3n, prueba, an\u00e1lisis, aprobaci\u00f3n, implementaci\u00f3n \u2014 antes de llegar a producci\u00f3n. Piense en \u00e9l como una l\u00ednea de montaje controlada para el software, donde cada estaci\u00f3n realiza una verificaci\u00f3n espec\u00edfica de calidad o seguridad.<\/p>\n\n\n\n<p>Aqu\u00ed tiene una vista simplificada de un pipeline t\u00edpico:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>CODE \u2192 BUILD \u2192 TEST \u2192 SCAN \u2192 APPROVE \u2192 DEPLOY \u2192 MONITOR<\/code><\/pre>\n\n\n\n<p>Cada etapa tiene un prop\u00f3sito diferente \u2014 y cada una importa para la garant\u00eda de auditor\u00eda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CODE<\/strong> \u2014 Los desarrolladores escriben y confirman cambios en un repositorio controlado por versiones. A los auditores les importa porque aqu\u00ed es donde comienza la trazabilidad del cambio.<\/li>\n<li><strong>BUILD<\/strong> \u2014 El c\u00f3digo fuente se compila en artefactos implementables. A los auditores les importa porque la integridad de la construcci\u00f3n garantiza que lo que fue revisado es lo que se implementa.<\/li>\n<li><strong>TEST<\/strong> \u2014 Las pruebas automatizadas validan la funcionalidad y detectan regresiones. A los auditores les importa porque las evidencias de prueba demuestran la diligencia debida en el control de calidad.<\/li>\n<li><strong>SCAN<\/strong> \u2014 Los esc\u00e1neres de seguridad comprueban vulnerabilidades, configuraciones incorrectas y riesgos de licencia. A los auditores les importa porque este es el principal control para identificar debilidades conocidas antes de la implementaci\u00f3n.<\/li>\n<li><strong>APPROVE<\/strong> \u2014 Las puertas de aprobaci\u00f3n humanas o automatizadas deciden si el cambio avanza. A los auditores les importa porque la aplicaci\u00f3n de aprobaciones es la piedra angular de la segregaci\u00f3n de funciones.<\/li>\n<li><strong>DEPLOY<\/strong> \u2014 El artefacto se lanza a producci\u00f3n a trav\u00e9s de un proceso automatizado y repetible. A los auditores les importa porque los controles de implementaci\u00f3n determinan si los cambios no autorizados pueden llegar a producci\u00f3n.<\/li>\n<li><strong>MONITOR<\/strong> \u2014 Los sistemas en tiempo de ejecuci\u00f3n detectan anomal\u00edas, problemas de rendimiento y eventos de seguridad. A los auditores les importa porque el monitoreo cierra el ciclo de retroalimentaci\u00f3n y permite la detecci\u00f3n de incidentes.<\/li>\n<\/ul>\n\n\n\n<p><strong>Conclusi\u00f3n clave:<\/strong> Un pipeline bien dise\u00f1ado hace que la seguridad sea obligatoria. Uno mal dise\u00f1ado la hace opcional.<\/p>\n\n\n\n<p>La arquitectura del pipeline determina si los controles de seguridad son <strong>obligatorios<\/strong> (aplicados por dise\u00f1o) u <strong>opcionales<\/strong> (dependientes de la disciplina individual). Esta distinci\u00f3n es cr\u00edtica para los auditores: un pipeline bien dise\u00f1ado hace del cumplimiento una propiedad del sistema, no un proyecto peri\u00f3dico.<\/p>\n\n\n\n<p><em>\u00bfNecesita definiciones? Consulte nuestro <a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> para obtener explicaciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos.<\/em><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Por Qu\u00e9 los Auditores Necesitan Entender la Entrega de Software<\/h2>\n\n\n\n<p>Las regulaciones ahora exigen expl\u00edcitamente que las organizaciones gobiernen sus sistemas de entrega de software:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DORA<\/strong> (Digital Operational Resilience Act) \u2014 trata los pipelines CI\/CD como sistemas TIC sujetos a gesti\u00f3n de riesgos, pruebas y supervisi\u00f3n de terceros<\/li>\n<li><strong>NIS2<\/strong> \u2014 requiere seguridad de la cadena de suministro, reporte de incidentes y medidas de gesti\u00f3n de riesgos que involucran directamente la entrega de software<\/li>\n<li><strong>ISO 27001<\/strong> \u2014 los controles del Anexo A cubren el desarrollo de sistemas, la gesti\u00f3n de cambios y las relaciones con proveedores<\/li>\n<li><strong>SOC 2<\/strong> \u2014 los Criterios de Servicio de Confianza para gesti\u00f3n de cambios (CC8), acceso l\u00f3gico (CC6) y operaciones del sistema (CC7) todos afectan a CI\/CD<\/li>\n<li><strong>PCI DSS v4.0<\/strong> \u2014 el Requisito 6 exige pr\u00e1cticas de desarrollo seguro y gesti\u00f3n de vulnerabilidades<\/li>\n<\/ul>\n\n\n\n<p>La siguiente tabla mapea los requisitos regulatorios espec\u00edficos con lo que exigen para la entrega de software:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th>Regulaci\u00f3n<\/th><th>Art\u00edculo \/ Requisito<\/th><th>Qu\u00e9 Exige para la Entrega de Software<\/th><\/tr><\/thead><tbody><tr><td>DORA<\/td><td>Art. 9<\/td><td>El marco de gesti\u00f3n de riesgos TIC debe cubrir los sistemas CI\/CD, incluidas las capacidades de protecci\u00f3n, detecci\u00f3n y respuesta<\/td><\/tr><tr><td>DORA<\/td><td>Art. 21<\/td><td>La gesti\u00f3n de cambios TIC debe ser controlada, probada y aprobada \u2014 directamente aplicable a la gobernanza del pipeline<\/td><\/tr><tr><td>DORA<\/td><td>Art. 28<\/td><td>La gesti\u00f3n de riesgos TIC de terceros se extiende a proveedores de cloud, herramientas SaaS y proveedores de servicios de pipeline<\/td><\/tr><tr><td>NIS2<\/td><td>Art. 21<\/td><td>Las medidas de gesti\u00f3n de riesgos deben abordar la seguridad de la cadena de suministro, el manejo de vulnerabilidades y las pr\u00e1cticas de desarrollo seguro<\/td><\/tr><tr><td>ISO 27001<\/td><td>A.8.25<\/td><td>Ciclo de vida de desarrollo seguro \u2014 la seguridad debe estar dise\u00f1ada en el proceso de desarrollo<\/td><\/tr><tr><td>ISO 27001<\/td><td>A.8.28<\/td><td>Pr\u00e1cticas de codificaci\u00f3n segura \u2014 el c\u00f3digo debe desarrollarse, revisarse y probarse seg\u00fan est\u00e1ndares de seguridad<\/td><\/tr><tr><td>ISO 27001<\/td><td>A.8.29<\/td><td>Pruebas de seguridad en desarrollo y aceptaci\u00f3n \u2014 las pruebas deben verificar que se cumplen los requisitos de seguridad<\/td><\/tr><tr><td>SOC 2<\/td><td>CC6<\/td><td>Controles de acceso l\u00f3gico y f\u00edsico \u2014 restringir qui\u00e9n puede modificar configuraciones del pipeline e implementar en producci\u00f3n<\/td><\/tr><tr><td>SOC 2<\/td><td>CC7<\/td><td>Operaciones del sistema \u2014 monitoreo, detecci\u00f3n de incidentes y respuesta para la infraestructura CI\/CD<\/td><\/tr><tr><td>SOC 2<\/td><td>CC8<\/td><td>Gesti\u00f3n de cambios \u2014 los cambios deben estar autorizados, probados y aprobados antes de la implementaci\u00f3n<\/td><\/tr><tr><td>PCI DSS<\/td><td>Req. 6<\/td><td>Desarrollar y mantener sistemas seguros \u2014 incluye codificaci\u00f3n segura, gesti\u00f3n de vulnerabilidades y controles de cambios<\/td><\/tr><tr><td>PCI DSS<\/td><td>Req. 8<\/td><td>Identificar usuarios y autenticar el acceso \u2014 MFA y controles de acceso para sistemas de pipeline e implementaci\u00f3n<\/td><\/tr><tr><td>PCI DSS<\/td><td>Req. 10<\/td><td>Registrar y monitorear todos los accesos \u2014 registros de auditor\u00eda para la actividad del pipeline, implementaciones y cambios de configuraci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Si la entrega de software no est\u00e1 en el alcance de su auditor\u00eda, es posible que est\u00e9 omitiendo una superficie de control cr\u00edtica.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Las 5 Cosas que Todo Auditor Debe Verificar<\/h2>\n\n\n\n<p>Independientemente del marco regulatorio, estas cinco \u00e1reas forman la base de la garant\u00eda de auditor\u00eda CI\/CD:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1. Integridad del Pipeline<\/h3>\n\n\n\n<p>\u00bfSe pueden modificar las configuraciones del pipeline sin aprobaci\u00f3n? \u00bfSon las etapas obligatorias u omitibles? \u00bfHay evidencias de ejecuci\u00f3n resistente a la manipulaci\u00f3n?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Evidencias a solicitar:<\/strong> Archivos de configuraci\u00f3n del pipeline (YAML\/JSON) almacenados en control de versiones, registros de auditor\u00eda de cambios en la definici\u00f3n del pipeline, reglas de protecci\u00f3n de ramas que impidan ediciones directas.<\/li>\n<li><strong>Se\u00f1al de alerta:<\/strong> Las definiciones del pipeline se pueden editar directamente en la interfaz de usuario de la herramienta CI\/CD sin control de versiones ni aprobaci\u00f3n \u2014 esto significa que cualquier persona con acceso puede eliminar silenciosamente las etapas de seguridad.<\/li>\n<li><strong>An\u00e1lisis en profundidad:<\/strong> <a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/core-ci-cd-security-controls\/\">Controles de Seguridad Fundamentales de CI\/CD<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">2. Controles de Acceso y Segregaci\u00f3n de Funciones<\/h3>\n\n\n\n<p>\u00bfPuede la misma persona escribir c\u00f3digo e implementarlo en producci\u00f3n? \u00bfEst\u00e1n los roles privilegiados protegidos con MFA? \u00bfSe realizan revisiones de acceso?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Evidencias a solicitar:<\/strong> Matriz de control de acceso basado en roles (RBAC) para herramientas CI\/CD, registros de aplicaci\u00f3n de MFA, registros de revisiones peri\u00f3dicas de acceso, evidencia de que la implementaci\u00f3n requiere un aprobador diferente al autor del c\u00f3digo.<\/li>\n<li><strong>Se\u00f1al de alerta:<\/strong> Una sola cuenta de usuario tiene permisos tanto de \u00abfusionar a main\u00bb como de \u00abimplementar en producci\u00f3n\u00bb sin aprobaci\u00f3n secundaria requerida.<\/li>\n<li><strong>An\u00e1lisis en profundidad:<\/strong> <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/how-auditors-actually-review-ci-cd-pipelines\/\">C\u00f3mo los Auditores Realmente Revisan los Pipelines CI\/CD<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">3. Gesti\u00f3n de Secretos<\/h3>\n\n\n\n<p>\u00bfSe almacenan las credenciales en una b\u00f3veda centralizada? \u00bfSe rotan autom\u00e1ticamente? \u00bfPueden aparecer secretos en registros o c\u00f3digo?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Evidencias a solicitar:<\/strong> Configuraci\u00f3n de la b\u00f3veda y pol\u00edticas de acceso, programas de rotaci\u00f3n de secretos, configuraci\u00f3n de enmascaramiento de registros, resultados de an\u00e1lisis de herramientas de detecci\u00f3n de secretos (por ejemplo, GitLeaks, TruffleHog).<\/li>\n<li><strong>Se\u00f1al de alerta:<\/strong> Las credenciales est\u00e1n codificadas en archivos de configuraci\u00f3n del pipeline o variables de entorno visibles en los registros de construcci\u00f3n.<\/li>\n<li><strong>An\u00e1lisis en profundidad:<\/strong> <a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/#secrets-management\">Glosario \u2014 Gesti\u00f3n de Secretos<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">4. Procedencia de Artefactos<\/h3>\n\n\n\n<p>\u00bfEst\u00e1n los artefactos implementados firmados y trazables a una ejecuci\u00f3n espec\u00edfica del pipeline? \u00bfPueden los artefactos sin firmar o sin analizar llegar a producci\u00f3n?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Evidencias a solicitar:<\/strong> Certificados de firma de artefactos y pol\u00edticas de verificaci\u00f3n, Lista de Materiales de Software (SBOM) para implementaciones recientes, firmas de im\u00e1genes de contenedores, reglas de policy-as-code que bloqueen artefactos sin firmar.<\/li>\n<li><strong>Se\u00f1al de alerta:<\/strong> Los contenedores de producci\u00f3n se extraen de un registro p\u00fablico sin verificaci\u00f3n de firma ni an\u00e1lisis de vulnerabilidades.<\/li>\n<li><strong>An\u00e1lisis en profundidad:<\/strong> <a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/#sbom\">Glosario \u2014 SBOM (Lista de Materiales de Software)<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">5. Aplicaci\u00f3n de Aprobaci\u00f3n de Cambios<\/h3>\n\n\n\n<p>\u00bfSon obligatorias las revisiones de pull request? \u00bfSe registran las aprobaciones? \u00bfPueden los cambios de emergencia eludir los controles sin excepciones documentadas?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Evidencias a solicitar:<\/strong> Reglas de protecci\u00f3n de ramas que requieran aprobaciones, registros de auditor\u00eda de fusi\u00f3n que muestren identidades de revisores, documentaci\u00f3n del procedimiento de cambio de emergencia, registros de excepciones con justificaci\u00f3n y revisi\u00f3n post-incidente.<\/li>\n<li><strong>Se\u00f1al de alerta:<\/strong> La funci\u00f3n de \u00abanulaci\u00f3n de administrador\u00bb se usa regularmente para eludir las revisiones requeridas, sin documentaci\u00f3n de excepci\u00f3n ni auditor\u00eda de seguimiento.<\/li>\n<li><strong>An\u00e1lisis en profundidad:<\/strong> <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/audit-day-playbook-how-to-handle-ci-cd-audits-in-regulated-environments\/\">Manual del D\u00eda de Auditor\u00eda<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Rutas de Lectura<\/h2>\n\n\n\n<p>Elija el camino que mejor se adapte a su rol y objetivos:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Si es nuevo en la auditor\u00eda de CI\/CD:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Aprenda primero la terminolog\u00eda<\/li>\n<li>Esta gu\u00eda \u2014 Comprenda la estructura y los conceptos clave<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/core-ci-cd-security-controls\/\">Controles de Seguridad Fundamentales de CI\/CD<\/a> \u2014 Los controles esenciales que todo pipeline deber\u00eda tener<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/how-auditors-actually-review-ci-cd-pipelines\/\">C\u00f3mo los Auditores Realmente Revisan los Pipelines CI\/CD<\/a> \u2014 Metodolog\u00eda pr\u00e1ctica de revisi\u00f3n<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Si audita bajo DORA:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Comience con la <a href=\"https:\/\/regulated-devsecops.com\/es\/cumplimiento\/dora\/\">P\u00e1gina Central de DORA<\/a> \u2014 descripci\u00f3n general e \u00edndice de art\u00edculos<\/li>\n<li>Lea el <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\">An\u00e1lisis en Profundidad del Art\u00edculo 21 de DORA<\/a> \u2014 controles de gesti\u00f3n de riesgos TIC<\/li>\n<li>Lea la <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/articulo-28-de-dora-explicado-gestion-del-riesgo-ict-de-terceros-en-entornos-ci-cd-y-cloud\/\">Explicaci\u00f3n del Art\u00edculo 28 de DORA<\/a> \u2014 riesgo TIC de terceros<\/li>\n<li>Use la <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-auditor-checklist\/\">Lista de Verificaci\u00f3n del Auditor para el Art\u00edculo 28 de DORA<\/a><\/li>\n<li>Revise el <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-28-controls-evidence-mapping\/\">Mapeo de Controles y Evidencias<\/a><\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Si audita bajo NIS2:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Comience con la <a href=\"https:\/\/regulated-devsecops.com\/es\/cumplimiento\/nis2\/\">P\u00e1gina Central de NIS2<\/a> \u2014 descripci\u00f3n general y alcance<\/li>\n<li>Lea <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-security-architecture-explained\/\">Arquitectura de Seguridad NIS2 Explicada<\/a><\/li>\n<li>Revise el <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-supply-chain-security-deep-dive-what-it-really-means-for-ci-cd-and-vendors\/\">An\u00e1lisis en Profundidad de Seguridad de la Cadena de Suministro NIS2<\/a><\/li>\n<li>Use la <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-supply-chain-auditor-checklist\/\">Lista de Verificaci\u00f3n del Auditor de Cadena de Suministro NIS2<\/a><\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Si audita bajo ISO 27001, SOC 2 o PCI DSS:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Comience con el <a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-iso-27001-soc-2-dora\/\">Mapeo de Cumplimiento (ISO 27001 \/ SOC 2 \/ DORA)<\/a><\/li>\n<li>Lea el <a href=\"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-audit-compliance-mapping-nis2-pci-dss\/\">Mapeo de Cumplimiento (NIS2 \/ PCI DSS)<\/a><\/li>\n<li>Revise la <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/arquitectura-de-doble-cumplimiento-explicado\/\">Arquitectura de Cumplimiento Dual<\/a><\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Si eval\u00faa m\u00faltiples marcos:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/arquitectura-de-doble-cumplimiento-explicado\/\">Arquitectura de Cumplimiento Dual<\/a> \u2014 C\u00f3mo satisfacer requisitos superpuestos de manera eficiente<\/li>\n<li><a href=\"\/es\/iso-27001-vs-dora-vs-nis2-overlap-matrix\/\">Matriz de Superposici\u00f3n ISO 27001 vs DORA vs NIS2<\/a> \u2014 Comparaci\u00f3n lado a lado de requisitos de control<\/li>\n<li><a href=\"\/es\/nis2-vs-dora-overlap-analysis\/\">An\u00e1lisis de Superposici\u00f3n NIS2 vs DORA<\/a> \u2014 Mapeo detallado de obligaciones compartidas y distintas<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Si se est\u00e1 preparando para una auditor\u00eda:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Antes de que Llegue el Auditor: Lista de Verificaci\u00f3n de Preparaci\u00f3n<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/audit-day-playbook-how-to-handle-ci-cd-audits-in-regulated-environments\/\">Manual del D\u00eda de Auditor\u00eda<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/audit-day-qa-cheat-sheet\/\">Hoja de Referencia de Preguntas y Respuestas del D\u00eda de Auditor\u00eda<\/a><\/li>\n<\/ol>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">C\u00f3mo Est\u00e1 Organizado Este Sitio<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/cumplimiento\/\">Marcos Regulatorios<\/a><\/strong> \u2014 DORA, NIS2 y an\u00e1lisis en profundidad espec\u00edficos por regulaci\u00f3n<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/auditoria-y-gobernanza\/\">Auditor\u00eda y Gobernanza<\/a><\/strong> \u2014 Qu\u00e9 eval\u00faan los auditores, modelos de gobernanza, niveles de madurez<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/arquitectura\/\">Arquitectura<\/a><\/strong> \u2014 CI\/CD como sistemas de aplicaci\u00f3n, modelos de madurez<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/application-security\/\">Gobernanza de Seguridad de Aplicaciones<\/a><\/strong> \u2014 SDLC seguro, marcos de riesgo<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/devsecops\/\">Modelos Operativos de DevSecOps<\/a><\/strong> \u2014 Roles, responsabilidades, marcos operativos<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a><\/strong> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<\/ul>\n\n\n\n<p><em>Para orientaci\u00f3n de implementaci\u00f3n t\u00e9cnica (c\u00f3digo, configuraciones, configuraci\u00f3n de herramientas), visite nuestro sitio hermano <a href=\"https:\/\/secure-pipelines.com\" target=\"_blank\" rel=\"noopener\">secure-pipelines.com<\/a>.<\/em><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Referencia R\u00e1pida<\/h2>\n\n\n\n<p>Recursos de uso frecuente en el sitio:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a><\/strong> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos CI\/CD y de seguridad<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/common-audit-findings-ci-cd-top-10-failures\/\">Hallazgos Comunes en Auditor\u00edas \u2014 Top 10<\/a><\/strong> \u2014 Los fallos de control CI\/CD m\u00e1s frecuentes que encuentran los auditores<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Informe Ejecutivo de Auditor\u00eda<\/a><\/strong> \u2014 Resumen de alto nivel para informes de liderazgo y consejo<\/li>\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/recursos\/\">Directorio Completo de Recursos<\/a><\/strong> \u2014 \u00cdndice completo de todas las gu\u00edas, listas de verificaci\u00f3n y materiales de referencia<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><strong>Este sitio est\u00e1 dise\u00f1ado para aumentar su confianza en la evaluaci\u00f3n de entornos CI\/CD. Cada art\u00edculo est\u00e1 escrito desde su perspectiva \u2014 controles, evidencias y verificaci\u00f3n. No se requiere c\u00f3digo.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bienvenido, Auditor Si audita, eval\u00faa o gobierna organizaciones que entregan software, este sitio est\u00e1 construido para usted. La entrega moderna de software utiliza pipelines automatizados (CI\/CD) que est\u00e1n cada vez m\u00e1s sujetos a supervisi\u00f3n regulatoria \u2014 bajo DORA, NIS2, ISO 27001, SOC 2 y PCI DSS. No necesita entender c\u00f3digo para auditar pipelines CI\/CD. Necesita &#8230; <a title=\"Por D\u00f3nde Empezar \u2014 Gu\u00eda del Auditor para la Seguridad CI\/CD\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\" aria-label=\"Leer m\u00e1s sobre Por D\u00f3nde Empezar \u2014 Gu\u00eda del Auditor para la Seguridad CI\/CD\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-2098","page","type-page","status-publish"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/pages\/2098","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2098"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/pages\/2098\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2098"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}