DORA Art\u00edculo 28 exige que las entidades financieras reguladas demuestren un control efectivo sobre los riesgos de terceros ICT<\/strong>.<\/p>\n\n\n\n Esta obligaci\u00f3n va mucho m\u00e1s all\u00e1 de cuestionarios a proveedores o declaraciones contractuales. Los auditores no eval\u00faan intenciones \u2014 eval\u00faan evidencias<\/strong>.<\/p>\n\n\n\n Este art\u00edculo proporciona un paquete de evidencias pr\u00e1ctico para DORA Art\u00edculo 28, centr\u00e1ndose en lo que los auditores suelen solicitar, de d\u00f3nde debe provenir la evidencia y c\u00f3mo los sistemas CI\/CD y de entrega en la nube deben respaldar la gesti\u00f3n de riesgos de terceros ICT.<\/p>\n\n\n\n Tiende un puente entre dos perspectivas complementarias:<\/p>\n\n\n\n Ambas perspectivas son v\u00e1lidas \u2014 pero no son intercambiables<\/strong>. Este art\u00edculo muestra qu\u00e9 verifican realmente los auditores, c\u00f3mo deben los ingenieros implementar controles para satisfacer esas expectativas y d\u00f3nde suelen producirse malentendidos.<\/p>\n\n\n\n Desde una perspectiva de auditor\u00eda, el Art\u00edculo 28 responde a cuatro preguntas fundamentales:<\/p>\n\n\n\n La evidencia debe ser operacional<\/strong>, trazable<\/strong> y verificable<\/strong> \u2014 no solo documental.<\/p>\n\n\n\n Los auditores no comienzan con herramientas o diagramas de arquitectura. Comienzan con preguntas de riesgo<\/strong>:<\/p>\n\n\n\n La evidencia se eval\u00faa como prueba de control operacional<\/strong>, no como confirmaci\u00f3n de pol\u00edtica.<\/p>\n\n\n\n Un paquete de evidencias DORA Art\u00edculo 28 abarca t\u00edpicamente cinco dominios de evidencia<\/strong>:<\/p>\n\n\n\n Cada dominio a continuaci\u00f3n explica qu\u00e9 esperan los auditores, qu\u00e9 evidencia mostrar y de d\u00f3nde debe provenir \u2014 desde la Visi\u00f3n del Auditor<\/strong> y la Visi\u00f3n del Ingeniero<\/strong>.<\/p>\n\n\n\n Los auditores quieren pruebas de que usted ha:<\/p>\n\n\n\n Esperan la inclusi\u00f3n de plataformas SaaS de CI\/CD (no solo proveedores tradicionales), visibilidad sobre servicios en la nube, registros y alojamiento de c\u00f3digo, y vinculaci\u00f3n entre proveedores y los sistemas realmente en uso.<\/p>\n\n\n\n Los auditores preguntan:<\/p>\n\n\n\n Lo que verifican: integridad del inventario, coherencia con los sistemas realmente en uso y trazabilidad hasta las decisiones de gesti\u00f3n de riesgos.<\/p>\n\n\n\n Los ingenieros deben garantizar que:<\/p>\n\n\n\n Implementaci\u00f3n t\u00edpica:<\/p>\n\n\n\n Los contratos deben habilitar el control<\/strong>, no solo describirlo. Los auditores buscan cl\u00e1usulas exigibles que cubran:<\/p>\n\n\n\n M\u00e1s importante a\u00fan, verifican que estas cl\u00e1usulas sean operativamente exigibles<\/strong>.<\/p>\n\n\n\n \u00abTiene derechos de auditor\u00eda en el contrato \u2014 \u00bfc\u00f3mo los ejerce en la pr\u00e1ctica?\u00bb<\/em><\/p>\n<\/blockquote>\n\n\n\n Los auditores buscan:<\/p>\n\n\n\n No<\/em> asumen que los contratos son efectivos solo porque existen.<\/p>\n\n\n\n Los ingenieros deben:<\/p>\n\n\n\n Implementaci\u00f3n t\u00edpica:<\/p>\n\n\n\n Los auditores verifican que las herramientas de terceros est\u00e1n controladas en la pr\u00e1ctica<\/strong>, no confiadas ciegamente. Esto incluye plataformas de alojamiento de c\u00f3digo fuente, servicios de orquestaci\u00f3n CI\/CD, runners y entornos de ejecuci\u00f3n, y registros de artefactos y ecosistemas de dependencias.<\/p>\n\n\n\n Los auditores quieren pruebas de que:<\/p>\n\n\n\n Comprueban si los controles son sistem\u00e1ticos<\/strong>, no manuales.<\/p>\n\n\n\n Los ingenieros implementan:<\/p>\n\n\n\n Cambio de mentalidad clave:<\/p>\n\n\n\n \u00abSeguro por defecto\u00bb no es suficiente \u2014 los controles deben ser demostrables.<\/em><\/p>\n<\/blockquote>\n\n\n\n DORA exige una monitorizaci\u00f3n continua<\/strong>, no comprobaciones peri\u00f3dicas. Los auditores verifican que los servicios de terceros se monitorizan, los incidentes se detectan y la evidencia se retiene y es trazable.<\/p>\n\n\n\n Buscan:<\/p>\n\n\n\n La evidencia de monitorizaci\u00f3n debe demostrar que la degradaci\u00f3n de terceros ser\u00eda detectada y los incidentes se escalar\u00edan dentro de los plazos definidos. Las evaluaciones de riesgo est\u00e1ticas por s\u00ed solas son insuficientes.<\/p>\n\n\n\n Los auditores eval\u00faan si:<\/p>\n\n\n\n Rechazan las evaluaciones de riesgo anuales sin monitorizaci\u00f3n operacional.<\/p>\n\n\n\n Los ingenieros garantizan que:<\/p>\n\n\n\n Implementaci\u00f3n t\u00edpica:<\/p>\n\n\n\n Los auditores verifican que:<\/p>\n\n\n\n A menudo solicitan ejemplos de incidentes pasados, marcas de tiempo que muestren los retrasos en las notificaciones, y evidencia de escalada y respuesta. Un SLA que nunca se ha ejercido se considera no probado<\/strong>.<\/p>\n\n\n\n Las estrategias de salida deben ser realistas y probadas<\/strong>. Los auditores cuestionar\u00e1n si existen planes de salida, si se aplican a los proveedores cr\u00edticos y si alguna vez han sido probados.<\/p>\n\n\n\n Los auditores preguntan:<\/p>\n\n\n\n Un plan de salida en PDF por s\u00ed solo es insuficiente.<\/p>\n\n\n\n Los ingenieros respaldan las estrategias de salida mediante:<\/p>\n\n\n\n Implementaci\u00f3n t\u00edpica:<\/p>\n\n\n\n Los auditores eval\u00faan la evidencia seg\u00fan cuatro criterios impl\u00edcitos:<\/p>\n\n\n\n La evidencia que no cumple alguno de estos criterios debilita todo el paquete. Las hojas de c\u00e1lculo manuales por s\u00ed solas raramente cumplen estos criterios.<\/p>\n\n\n\n Los auditores elevan con frecuencia hallazgos cuando observan:<\/p>\n\n\n\n Seg\u00fan la experiencia en auditor\u00edas, los paquetes de evidencias suelen fallar porque:<\/p>\n\n\n\n Estos problemas suelen surgir durante la auditor\u00eda<\/strong>, no durante la preparaci\u00f3n. Dise\u00f1ar la evidencia en los pipelines evita estas brechas.<\/p>\n\n\n\n El cumplimiento moderno del Art\u00edculo 28 depende en gran medida de la arquitectura CI\/CD y en la nube:<\/p>\n\n\n\n Sin evidencia a nivel de CI\/CD, el cumplimiento del Art\u00edculo 28 sigue siendo fr\u00e1gil.<\/p>\n\n\n\n Las organizaciones m\u00e1s maduras:<\/p>\n\n\n\n Esta es la base del cumplimiento continuo<\/strong> bajo DORA.<\/p>\n\n\n\n DORA Art\u00edculo 28 no es un ejercicio de documentaci\u00f3n \u2014 es un problema de control operacional<\/strong>.<\/p>\n\n\n\n Los paquetes de evidencias m\u00e1s s\u00f3lidos:<\/p>\n\n\n\n Si los auditores pueden verificar los controles sin depender de explicaciones, su postura respecto al Art\u00edculo 28 es s\u00f3lida.<\/p>\n\n\n\n\n
De qu\u00e9 tratan realmente las auditor\u00edas del Art\u00edculo 28<\/h2>\n\n\n\n
\n
C\u00f3mo abordan los auditores una revisi\u00f3n del Art\u00edculo 28<\/h3>\n\n\n\n
\n
Perspectiva<\/th> Enfoque<\/th><\/tr><\/thead> Visi\u00f3n del Auditor<\/strong><\/td> \u00bfPuede esta organizaci\u00f3n demostrar un control efectivo del riesgo ICT de terceros?<\/td><\/tr> Visi\u00f3n del Ingeniero<\/strong><\/td> \u00bfC\u00f3mo aplicamos y generamos evidencias a trav\u00e9s de CI\/CD y sistemas en la nube?<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Descripci\u00f3n general del paquete de evidencias<\/h2>\n\n\n\n
\n
1. Inventario de Proveedores y Criticidad<\/h2>\n\n\n\n
Qu\u00e9 esperan los auditores<\/h3>\n\n\n\n
\n
Evidencias a proporcionar<\/h3>\n\n\n\n
\n
Artefactos de evidencia t\u00edpicos<\/h3>\n\n\n\n
\n
Visi\u00f3n del Auditor<\/h3>\n\n\n\n
\n
Visi\u00f3n del Ingeniero<\/h3>\n\n\n\n
\n
\n
2. Controles Contractuales y Derechos de Auditor\u00eda<\/h2>\n\n\n\n
Qu\u00e9 esperan los auditores<\/h3>\n\n\n\n
\n
\n
Evidencias a proporcionar<\/h3>\n\n\n\n
\n
Artefactos de evidencia t\u00edpicos<\/h3>\n\n\n\n
\n
Visi\u00f3n del Auditor<\/h3>\n\n\n\n
\n
Visi\u00f3n del Ingeniero<\/h3>\n\n\n\n
\n
\n
3. Aplicaci\u00f3n de Controles CI\/CD y en la Nube<\/h2>\n\n\n\n
Qu\u00e9 esperan los auditores<\/h3>\n\n\n\n
Evidencias a proporcionar<\/h3>\n\n\n\n
\n
Artefactos de evidencia t\u00edpicos<\/h3>\n\n\n\n
\n
Visi\u00f3n del Auditor<\/h3>\n\n\n\n
\n
Visi\u00f3n del Ingeniero<\/h3>\n\n\n\n
\n
\n
4. Monitorizaci\u00f3n y Gesti\u00f3n de Incidentes<\/h2>\n\n\n\n
Qu\u00e9 esperan los auditores<\/h3>\n\n\n\n
\n
Evidencias a proporcionar<\/h3>\n\n\n\n
\n
Artefactos de evidencia t\u00edpicos<\/h3>\n\n\n\n
\n
Visi\u00f3n del Auditor<\/h3>\n\n\n\n
\n
Visi\u00f3n del Ingeniero<\/h3>\n\n\n\n
\n
\n
SLAs de Notificaci\u00f3n de Incidentes: Probados en la Realidad<\/h3>\n\n\n\n
\n
5. Estrategia de Salida y Resiliencia<\/h2>\n\n\n\n
Qu\u00e9 esperan los auditores<\/h3>\n\n\n\n
Evidencias a proporcionar<\/h3>\n\n\n\n
\n
Artefactos de evidencia t\u00edpicos<\/h3>\n\n\n\n
\n
Visi\u00f3n del Auditor<\/h3>\n\n\n\n
\n
Visi\u00f3n del Ingeniero<\/h3>\n\n\n\n
\n
\n
\n\n\n\nCalidad de la Evidencia: C\u00f3mo Juzgan los Auditores la Credibilidad<\/h2>\n\n\n\n
\n
Hallazgos Comunes en Auditor\u00edas del Art\u00edculo 28 (Se\u00f1ales de Alerta)<\/h2>\n\n\n\n
\n
Situaci\u00f3n<\/th> Reacci\u00f3n del Auditor<\/th><\/tr><\/thead> \u00abConfiamos en este proveedor SaaS\u00bb<\/td> \u274c No aceptable<\/td><\/tr> Evidencia recopilada manualmente antes de la auditor\u00eda<\/td> \u26a0\ufe0f Control d\u00e9bil<\/td><\/tr> Los logs existen pero no se conservan<\/td> \u274c No conforme<\/td><\/tr> Plan de salida nunca probado<\/td> \u274c Hallazgo de alto riesgo<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n \n
C\u00f3mo la Arquitectura CI\/CD Habilita el Cumplimiento del Art\u00edculo 28<\/h2>\n\n\n\n
\n
Dise\u00f1ando para Ambas Perspectivas<\/h2>\n\n\n\n
\n
Conclusi\u00f3n Final<\/h2>\n\n\n\n
\n
\n\n\n\nLecturas Relacionadas Recomendadas<\/h2>\n\n\n\n