{"id":1914,"date":"2026-03-25T17:00:36","date_gmt":"2026-03-25T16:00:36","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/evaluacion-de-preparacion-para-soc-2-lista-de-verificacion-especifica-para-ci-cd\/"},"modified":"2026-03-26T09:20:59","modified_gmt":"2026-03-26T08:20:59","slug":"evaluacion-de-preparacion-para-soc-2-lista-de-verificacion-especifica-para-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/evaluacion-de-preparacion-para-soc-2-lista-de-verificacion-especifica-para-ci-cd\/","title":{"rendered":"Evaluaci\u00f3n de Preparaci\u00f3n para SOC 2 \u2014 Lista de Verificaci\u00f3n Espec\u00edfica para CI\/CD"},"content":{"rendered":"

Prop\u00f3sito de Esta Evaluaci\u00f3n de Preparaci\u00f3n<\/h2>\n

Esta lista de verificaci\u00f3n de autoevaluaci\u00f3n est\u00e1 dise\u00f1ada para organizaciones que se preparan para un examen SOC 2 Type II que incluye pipelines de CI\/CD dentro del alcance de la auditor\u00eda. \u00dasela para identificar brechas de controles, priorizar los esfuerzos de remediaci\u00f3n y generar confianza en que su entorno de pipeline soportar\u00e1 el escrutinio del auditor.<\/p>\n

Para cada elemento de la lista de verificaci\u00f3n, eval\u00fae su estado actual como S\u00ed<\/strong> (completamente implementado y evidenciado), Parcial<\/strong> (parcialmente implementado o sin evidencia suficiente), o No<\/strong> (no implementado). Los elementos evaluados como Parcial o No requieren remediaci\u00f3n antes de que comience el per\u00edodo de auditor\u00eda.<\/p>\n

CC6: Lista de Verificaci\u00f3n de Controles de Acceso<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n\n
#<\/th>\nElemento de Control<\/th>\nEstado (S\/P\/N)<\/th>\nEvidencia Requerida<\/th>\nGu\u00eda de Remediaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
6.1<\/td>\nRBAC est\u00e1 configurado en todas las plataformas de pipeline (repositorio, sistema de compilaci\u00f3n, registro de artefactos, herramientas de despliegue)<\/td>\n<\/td>\nExportaciones de configuraci\u00f3n RBAC, documento de definici\u00f3n de roles<\/td>\nDefinir roles est\u00e1ndar (desarrollador, revisor, aprobador, administrador) y asignarlos al modelo de permisos de cada plataforma<\/td>\n<\/tr>\n
6.2<\/td>\nMFA est\u00e1 aplicado para todas las cuentas de usuarios con acceso a los sistemas de pipeline<\/td>\n<\/td>\nConfiguraci\u00f3n de pol\u00edtica MFA, informes de inscripci\u00f3n, registro de excepciones<\/td>\nHabilitar MFA en toda la organizaci\u00f3n; documentar cualquier excepci\u00f3n t\u00e9cnica con controles compensatorios<\/td>\n<\/tr>\n
6.3<\/td>\nLas cuentas de servicio siguen el principio de m\u00ednimo privilegio con justificaci\u00f3n documentada para cada permiso<\/td>\n<\/td>\nInventario de cuentas de servicio, matriz de justificaci\u00f3n de permisos<\/td>\nAuditar todas las cuentas de servicio; eliminar permisos innecesarios; documentar la justificaci\u00f3n empresarial para los permisos restantes<\/td>\n<\/tr>\n
6.4<\/td>\nLas revisiones de acceso trimestrales est\u00e1n programadas y cubren todos los sistemas de pipeline<\/td>\n<\/td>\nCalendario de revisiones, registros de revisiones completadas, evidencia de remediaci\u00f3n<\/td>\nEstablecer eventos recurrentes en el calendario; asignar responsables de revisi\u00f3n; crear plantilla est\u00e1ndar de revisi\u00f3n<\/td>\n<\/tr>\n
6.5<\/td>\nLos procedimientos de incorporaci\u00f3n\/baja incluyen el aprovisionamiento y desaprovisionamiento del acceso a los sistemas de pipeline<\/td>\n<\/td>\nDocumentaci\u00f3n de integraci\u00f3n con RRHH, listas de verificaci\u00f3n de desaprovisionamiento, registros de puntualidad<\/td>\nAgregar los sistemas de pipeline a las listas de verificaci\u00f3n de incorporaci\u00f3n\/baja de TI; automatizar donde sea posible<\/td>\n<\/tr>\n
6.6<\/td>\nLos procedimientos de acceso de emergencia y break-glass est\u00e1n documentados y requieren revisi\u00f3n posterior al uso<\/td>\n<\/td>\nDocumento de procedimiento de acceso de emergencia, registros de uso, registros de revisi\u00f3n posterior al uso<\/td>\nDocumentar el procedimiento de acceso de emergencia; implementar alertas sobre el uso del acceso de emergencia<\/td>\n<\/tr>\n
6.7<\/td>\nLos secretos y credenciales se gestionan mediante una soluci\u00f3n dedicada de gesti\u00f3n de secretos (sin codificaci\u00f3n fija)<\/td>\n<\/td>\nConfiguraci\u00f3n de la herramienta de gesti\u00f3n de secretos, resultados de escaneo que muestren que no hay secretos codificados<\/td>\nImplementar herramienta de gesti\u00f3n de secretos; ejecutar escaneo de secretos en todos los repositorios<\/td>\n<\/tr>\n
6.8<\/td>\nEl acceso de red a la infraestructura de pipeline est\u00e1 restringido a redes y personal autorizados<\/td>\n<\/td>\nDocumentaci\u00f3n de configuraci\u00f3n de red, reglas de firewall, configuraci\u00f3n VPN\/zero-trust<\/td>\nImplementar restricciones de red; documentar las rutas de acceso permitidas<\/td>\n<\/tr>\n
6.9<\/td>\nEl acceso de los runners\/agentes del pipeline est\u00e1 aislado y no puede acceder a recursos fuera de su alcance definido<\/td>\n<\/td>\nConfiguraci\u00f3n de runners, documentaci\u00f3n de aislamiento, evidencia de segmentaci\u00f3n de red<\/td>\nConfigurar aislamiento de runners; implementar segmentaci\u00f3n de red para entornos de compilaci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

CC7: Lista de Verificaci\u00f3n de Operaciones del Sistema<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n
#<\/th>\nElemento de Control<\/th>\nEstado (S\/P\/N)<\/th>\nEvidencia Requerida<\/th>\nGu\u00eda de Remediaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
7.1<\/td>\nLos cambios de configuraci\u00f3n del pipeline est\u00e1n registrados y monitoreados con alertas para modificaciones no autorizadas<\/td>\n<\/td>\nConfiguraci\u00f3n de monitoreo, reglas de alerta, ejemplos de notificaciones de alerta<\/td>\nImplementar monitoreo de cambios de configuraci\u00f3n; configurar alertas para el equipo de seguridad<\/td>\n<\/tr>\n
7.2<\/td>\nLa detecci\u00f3n de anomal\u00edas est\u00e1 implementada para actividad inusual en el pipeline (compilaciones fuera de horario, patrones de despliegue inusuales)<\/td>\n<\/td>\nReglas de detecci\u00f3n de anomal\u00edas, documentaci\u00f3n de l\u00ednea base, historial de alertas<\/td>\nDefinir l\u00edneas base del comportamiento normal del pipeline; configurar alertas de anomal\u00edas<\/td>\n<\/tr>\n
7.3<\/td>\nLos incidentes del pipeline est\u00e1n integrados en el programa de respuesta a incidentes de la organizaci\u00f3n<\/td>\n<\/td>\nPlan de IR que cubra CI\/CD, criterios de clasificaci\u00f3n de incidentes, procedimientos de escalaci\u00f3n<\/td>\nActualizar el plan de IR para incluir escenarios de CI\/CD; capacitar al equipo de IR en incidentes espec\u00edficos del pipeline<\/td>\n<\/tr>\n
7.4<\/td>\nLa capacidad de la infraestructura de pipeline est\u00e1 monitoreada y gestionada para prevenir la degradaci\u00f3n<\/td>\n<\/td>\nPaneles de monitoreo de capacidad, pol\u00edticas de escalado, documentos de planificaci\u00f3n de capacidad<\/td>\nImplementar monitoreo de capacidad; establecer umbrales y procedimientos de escalado<\/td>\n<\/tr>\n
7.5<\/td>\nExisten procedimientos de respaldo y recuperaci\u00f3n para la configuraci\u00f3n e infraestructura del pipeline<\/td>\n<\/td>\nProgramas de respaldo, procedimientos de recuperaci\u00f3n, resultados de pruebas de recuperaci\u00f3n<\/td>\nImplementar respaldos de configuraci\u00f3n del pipeline; documentar y probar los procedimientos de recuperaci\u00f3n<\/td>\n<\/tr>\n
7.6<\/td>\nEl registro de actividad est\u00e1 centralizado con per\u00edodos de retenci\u00f3n definidos que cumplen los requisitos de auditor\u00eda<\/td>\n<\/td>\nConfiguraci\u00f3n de agregaci\u00f3n de registros, documentaci\u00f3n de pol\u00edtica de retenci\u00f3n, verificaci\u00f3n de almacenamiento<\/td>\nCentralizar los registros del pipeline; configurar la retenci\u00f3n para cubrir el per\u00edodo de auditor\u00eda m\u00e1s un margen<\/td>\n<\/tr>\n
7.7<\/td>\nLas alertas de eventos de seguridad tienen procedimientos de respuesta definidos y propietarios asignados<\/td>\n<\/td>\nPlaybooks de respuesta a alertas, asignaciones de propietarios, SLAs de tiempo de respuesta<\/td>\nCrear playbooks de respuesta para cada tipo de alerta; asignar y capacitar a los propietarios<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

CC8: Lista de Verificaci\u00f3n de Gesti\u00f3n de Cambios<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
#<\/th>\nElemento de Control<\/th>\nEstado (S\/P\/N)<\/th>\nEvidencia Requerida<\/th>\nGu\u00eda de Remediaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
8.1<\/td>\nTodos los cambios en producci\u00f3n requieren revisi\u00f3n de c\u00f3digo por pares por parte de un revisor calificado que no sea el autor<\/td>\n<\/td>\nReglas de protecci\u00f3n de ramas, configuraci\u00f3n de solicitudes de fusi\u00f3n, registros de revisi\u00f3n de muestra<\/td>\nConfigurar protecci\u00f3n de ramas; aplicar requisitos m\u00ednimos de revisores<\/td>\n<\/tr>\n
8.2<\/td>\nSe requiere aprobaci\u00f3n formal antes del despliegue en producci\u00f3n, con la aprobaci\u00f3n documentada y atribuida<\/td>\n<\/td>\nConfiguraci\u00f3n de aprobaci\u00f3n de despliegue, registros de aprobaci\u00f3n con marcas de tiempo e identidad del aprobador<\/td>\nImplementar puertas de aprobaci\u00f3n de despliegue; asegurar que las aprobaciones sean registradas con atribuci\u00f3n<\/td>\n<\/tr>\n
8.3<\/td>\nSe aplica la segregaci\u00f3n de funciones \u2014 el autor no puede aprobar ni desplegar sus propios cambios<\/td>\n<\/td>\nConfiguraci\u00f3n de aplicaci\u00f3n de SoD, informes de validaci\u00f3n que muestren que no hay autoaprobaciones<\/td>\nConfigurar la aplicaci\u00f3n t\u00e9cnica que impida la autoaprobaci\u00f3n; ejecutar informes de validaci\u00f3n<\/td>\n<\/tr>\n
8.4<\/td>\nEl escaneo de seguridad automatizado (SAST, SCA, detecci\u00f3n de secretos) se ejecuta en cada cambio con umbrales definidos<\/td>\n<\/td>\nConfiguraci\u00f3n del pipeline que muestre los pasos de escaneo, configuraci\u00f3n de umbrales, registros de aplicaci\u00f3n de puertas<\/td>\nIntegrar herramientas de escaneo de seguridad; definir umbrales basados en severidad; configurar puertas de bloqueo<\/td>\n<\/tr>\n
8.5<\/td>\nLas puertas de pruebas automatizadas impiden el despliegue cuando no se cumplen los criterios de calidad<\/td>\n<\/td>\nConfiguraci\u00f3n de puertas de pruebas, registros de aprobaci\u00f3n\/rechazo, informes de cobertura de pruebas<\/td>\nDefinir criterios m\u00ednimos de calidad; configurar la aplicaci\u00f3n automatizada<\/td>\n<\/tr>\n
8.6<\/td>\nLos procedimientos de reversi\u00f3n est\u00e1n documentados, probados y pueden ejecutarse dentro de los plazos definidos<\/td>\n<\/td>\nDocumentaci\u00f3n de procedimientos de reversi\u00f3n, registros de pruebas, mediciones del tiempo de ejecuci\u00f3n<\/td>\nDocumentar los procedimientos de reversi\u00f3n; programar y realizar pruebas de reversi\u00f3n<\/td>\n<\/tr>\n
8.7<\/td>\nLos procedimientos de cambios de emergencia est\u00e1n documentados con controles mejorados (revisi\u00f3n post-implementaci\u00f3n, aprobaci\u00f3n acelerada)<\/td>\n<\/td>\nDocumento de procedimiento de cambio de emergencia, registro de cambios de emergencia, registros de revisi\u00f3n post-implementaci\u00f3n<\/td>\nDefinir procedimiento de cambio de emergencia; implementar seguimiento y revisi\u00f3n post-implementaci\u00f3n obligatoria<\/td>\n<\/tr>\n
8.8<\/td>\nLa segregaci\u00f3n de entornos impide que los cambios de desarrollo\/pruebas afecten directamente la producci\u00f3n<\/td>\n<\/td>\nDocumentaci\u00f3n de arquitectura de entornos, restricciones de acceso entre entornos<\/td>\nImplementar segregaci\u00f3n de entornos; restringir el acceso a producci\u00f3n a la automatizaci\u00f3n de despliegue<\/td>\n<\/tr>\n
8.9<\/td>\nLos registros de cambios proporcionan trazabilidad completa desde el requisito hasta el despliegue en producci\u00f3n<\/td>\n<\/td>\nRegistros de cambios de muestra que muestran trazabilidad de extremo a extremo, configuraci\u00f3n de herramientas de vinculaci\u00f3n<\/td>\nConfigurar la vinculaci\u00f3n de incidencias a despliegues; asegurar que todos los cambios hagan referencia a un elemento de trabajo rastreado<\/td>\n<\/tr>\n
8.10<\/td>\nLos cambios en pipeline-as-code est\u00e1n sujetos al mismo proceso de revisi\u00f3n y aprobaci\u00f3n que los cambios de aplicaci\u00f3n<\/td>\n<\/td>\nProtecci\u00f3n de ramas en archivos de configuraci\u00f3n del pipeline, registros de revisi\u00f3n para cambios de pipeline<\/td>\nExtender la protecci\u00f3n de ramas a los archivos de definici\u00f3n del pipeline; tratar como cambios de producci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

CC9: Lista de Verificaci\u00f3n de Mitigaci\u00f3n de Riesgos<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n
#<\/th>\nElemento de Control<\/th>\nEstado (S\/P\/N)<\/th>\nEvidencia Requerida<\/th>\nGu\u00eda de Remediaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
9.1<\/td>\nExiste un inventario completo de componentes y dependencias de terceros consumidos a trav\u00e9s del pipeline<\/td>\n<\/td>\nLista de materiales de software (SBOM), informes de inventario de dependencias<\/td>\nImplementar generaci\u00f3n de SBOM; ejecutar inventario de dependencias en todos los proyectos<\/td>\n<\/tr>\n
9.2<\/td>\nEl escaneo automatizado de dependencias identifica vulnerabilidades conocidas con SLAs de remediaci\u00f3n definidos<\/td>\n<\/td>\nConfiguraci\u00f3n de escaneo, informes de vulnerabilidades, documentaci\u00f3n de SLA, seguimiento de remediaci\u00f3n<\/td>\nImplementar escaneo de dependencias; definir SLAs de remediaci\u00f3n basados en severidad<\/td>\n<\/tr>\n
9.3<\/td>\nLos proveedores SaaS del pipeline han sido evaluados en materia de seguridad y se han revisado sus informes SOC 2<\/td>\n<\/td>\nRegistros de evaluaci\u00f3n de proveedores, revisiones de informes SOC 2, documentaci\u00f3n de aceptaci\u00f3n de riesgos<\/td>\nSolicitar informes SOC 2 a todos los proveedores del pipeline; realizar y documentar las evaluaciones<\/td>\n<\/tr>\n
9.4<\/td>\nLos riesgos de infraestructura compartida (runners compartidos, entornos de compilaci\u00f3n multi-inquilino) est\u00e1n evaluados y mitigados<\/td>\n<\/td>\nDocumentaci\u00f3n de evaluaci\u00f3n de riesgos, controles de mitigaci\u00f3n, verificaci\u00f3n de aislamiento<\/td>\nEvaluar los riesgos de infraestructura compartida; implementar runners dedicados donde el riesgo lo justifique<\/td>\n<\/tr>\n
9.5<\/td>\nEl cumplimiento de licencias para componentes de c\u00f3digo abierto est\u00e1 monitoreado y gestionado<\/td>\n<\/td>\nConfiguraci\u00f3n de escaneo de licencias, informes de cumplimiento, lista de licencias aprobadas<\/td>\nImplementar escaneo de licencias; definir lista de licencias aprobadas; establecer proceso de revisi\u00f3n para excepciones<\/td>\n<\/tr>\n
9.6<\/td>\nLos vectores de ataque a la cadena de suministro (confusi\u00f3n de dependencias, paquetes comprometidos) est\u00e1n evaluados con controles preventivos<\/td>\n<\/td>\nDocumentaci\u00f3n de evaluaci\u00f3n de amenazas, configuraci\u00f3n de registro privado, configuraci\u00f3n de verificaci\u00f3n de paquetes<\/td>\nImplementar registros privados o proxies; configurar la verificaci\u00f3n de firmas de paquetes<\/td>\n<\/tr>\n
9.7<\/td>\nEl acceso de integraciones de terceros (webhooks, tokens de API, aplicaciones OAuth) est\u00e1 inventariado y revisado peri\u00f3dicamente<\/td>\n<\/td>\nInventario de integraciones, documentaci\u00f3n del alcance de acceso, registros de revisi\u00f3n peri\u00f3dica<\/td>\nInventariar todas las integraciones; documentar los alcances de acceso; programar revisiones peri\u00f3dicas<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

An\u00e1lisis de Brechas: C\u00f3mo Priorizar la Remediaci\u00f3n<\/h2>\n

Despu\u00e9s de completar la evaluaci\u00f3n, categorice los hallazgos utilizando el siguiente marco de prioridades:<\/p>\n\n\n\n\n\n\n\n\n
Prioridad<\/th>\nCriterios<\/th>\nPlazo de Remediaci\u00f3n<\/th>\nEjemplos<\/th>\n<\/tr>\n<\/thead>\n
Cr\u00edtica<\/td>\nEl control est\u00e1 ausente; afecta directamente la opini\u00f3n de auditor\u00eda<\/td>\nInmediato (dentro de 2 semanas)<\/td>\nSin aplicaci\u00f3n de aprobaci\u00f3n, sin revisiones de acceso, sin registro<\/td>\n<\/tr>\n
Alta<\/td>\nEl control est\u00e1 parcialmente implementado; existen brechas de evidencia<\/td>\nDentro de 30 d\u00edas<\/td>\nMFA no universal, revisiones incompletas, algunos sistemas excluidos<\/td>\n<\/tr>\n
Media<\/td>\nEl control existe pero la calidad de la evidencia es insuficiente<\/td>\nDentro de 60 d\u00edas<\/td>\nEvidencia manual, documentaci\u00f3n incompleta, procesos informales<\/td>\n<\/tr>\n
Baja<\/td>\nOportunidad de mejora del control; no cr\u00edtica para la auditor\u00eda<\/td>\nDentro de 90 d\u00edas<\/td>\nMejoras de automatizaci\u00f3n, monitoreo adicional, informes mejorados<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Cronograma de Preparaci\u00f3n Recomendado (6 Meses Antes de la Auditor\u00eda)<\/h2>\n\n\n\n\n\n\n\n\n\n\n
Plazo<\/th>\nActividad<\/th>\nEntregable<\/th>\n<\/tr>\n<\/thead>\n
Mes 1<\/td>\nCompletar esta evaluaci\u00f3n de preparaci\u00f3n; identificar todas las brechas<\/td>\nLista de verificaci\u00f3n completada con an\u00e1lisis de brechas y plan de remediaci\u00f3n priorizado<\/td>\n<\/tr>\n
Mes 2<\/td>\nRemediar las brechas de prioridad Cr\u00edtica y Alta<\/td>\nImplementaciones de controles actualizadas, generaci\u00f3n de evidencia confirmada<\/td>\n<\/tr>\n
Mes 3<\/td>\nRemediar las brechas de prioridad Media; comenzar la validaci\u00f3n de la recopilaci\u00f3n de evidencia<\/td>\nTodos los controles operativos, recuperaci\u00f3n de evidencia probada<\/td>\n<\/tr>\n
Mes 4<\/td>\nRealizar una evaluaci\u00f3n interna de prueba utilizando la metodolog\u00eda de muestreo del auditor<\/td>\nInforme de evaluaci\u00f3n interna con hallazgos<\/td>\n<\/tr>\n
Mes 5<\/td>\nAbordar los hallazgos de la prueba; capacitar a los equipos en la producci\u00f3n de evidencia y la preparaci\u00f3n para entrevistas<\/td>\nRemediaci\u00f3n completa, sesiones de preparaci\u00f3n del equipo realizadas<\/td>\n<\/tr>\n
Mes 6<\/td>\nRevisi\u00f3n final de preparaci\u00f3n; confirmar que todos los flujos de evidencia est\u00e1n activos y completos<\/td>\nConfirmaci\u00f3n de preparaci\u00f3n, \u00edndice de evidencia, lista de puntos de contacto para los auditores<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Recursos Relacionados<\/h2>\n