{"id":1915,"date":"2026-01-06T20:08:44","date_gmt":"2026-01-06T19:08:44","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-articulo-21-lista-de-verificacion-para-auditores-ci-cd-y-gestion-de-riesgos-ict\/"},"modified":"2026-03-26T09:35:13","modified_gmt":"2026-03-26T08:35:13","slug":"dora-article-21-auditor-checklist-ci-cd-ict-risk-management","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/dora-article-21-auditor-checklist-ci-cd-ict-risk-management\/","title":{"rendered":"DORA Art\u00edculo 21 \u2014 Lista de Verificaci\u00f3n para Auditores (CI\/CD y Gesti\u00f3n de Riesgos ICT)"},"content":{"rendered":"\n

Esta lista de verificaci\u00f3n est\u00e1 dise\u00f1ada para evaluar el cumplimiento de los requisitos del Art\u00edculo 21 de DORA a trav\u00e9s de controles de pipeline CI\/CD y procesos ICT de soporte.
Es compatible con auditor\u00edas internas, revisiones supervisoras y evaluaciones regulatorias.<\/p>\n\n\n\n

\n\n\n\n

Art\u00edculo 21(1) \u2014 Marco de Gesti\u00f3n de Riesgos ICT<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Los pipelines CI\/CD est\u00e1n incluidos en el alcance de gesti\u00f3n de riesgos ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los riesgos ICT relacionados con la entrega de software est\u00e1n formalmente identificados<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los controles preventivos se aplican a trav\u00e9s de los pipelines CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Existen mecanismos de detecci\u00f3n para incidentes relacionados con el pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
CI\/CD apoya los procesos de respuesta y recuperaci\u00f3n<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(a) \u2014 Control de Acceso<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
El acceso CI\/CD sigue el principio de m\u00ednimos privilegios<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las identidades del pipeline est\u00e1n separadas de los usuarios humanos<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
RBAC se aplica para la configuraci\u00f3n del pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Se requiere MFA para los administradores CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las acciones privilegiadas est\u00e1n restringidas y monitorizadas<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(b) \u2014 Segregaci\u00f3n de Funciones<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Los desarrolladores no pueden auto-aprobar cambios en producci\u00f3n<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La revisi\u00f3n de c\u00f3digo es obligatoria antes de la ejecuci\u00f3n del pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los permisos de compilaci\u00f3n y despliegue est\u00e1n separados<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las anulaciones y excepciones quedan registradas<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La segregaci\u00f3n de funciones se revisa peri\u00f3dicamente<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(c) \u2014 Registro y Monitorizaci\u00f3n<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Todas las ejecuciones CI\/CD quedan registradas<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los registros incluyen aprobaciones y verificaciones de seguridad<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los registros se recopilan de forma centralizada<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La retenci\u00f3n de registros cumple los requisitos regulatorios<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Existen alertas para comportamientos an\u00f3malos del pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(d) \u2014 Gesti\u00f3n de Cambios e Integridad<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Todos los cambios en producci\u00f3n pasan por pipelines CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La integridad de los artefactos se verifica antes del despliegue<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La procedencia vincula el c\u00f3digo fuente con los artefactos desplegados<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los despliegues fuera de banda se previenen o registran<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las aprobaciones de cambios son auditables<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(e) \u2014 Resiliencia, Copias de Seguridad y Recuperaci\u00f3n<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Los pipelines CI\/CD est\u00e1n dise\u00f1ados para la resiliencia<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los entornos de compilaci\u00f3n est\u00e1n aislados y robustecidos<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las configuraciones del pipeline se respaldan de forma segura<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los procedimientos de reversi\u00f3n han sido probados<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los componentes CI\/CD no representan puntos \u00fanicos de fallo<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Art\u00edculo 21(2)(f) \u2014 Mejora Continua<\/h2>\n\n\n\n
Verificaci\u00f3n de Control<\/strong><\/th>S\u00ed<\/strong><\/th>No<\/strong><\/th><\/tr><\/thead>
Los controles de seguridad CI\/CD se revisan peri\u00f3dicamente<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Los controles del pipeline evolucionan con el panorama de amenazas<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las lecciones aprendidas se incorporan a los pipelines<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Las brechas de cumplimiento generan acciones correctivas<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La supervisi\u00f3n de la direcci\u00f3n incluye la postura de riesgo CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Orientaci\u00f3n para Auditores<\/h2>\n\n\n\n

Al utilizar esta lista de verificaci\u00f3n:<\/p>\n\n\n\n