Los marcos regulatorios \u2014 incluyendo DORA<\/strong>, NIS2<\/strong> e ISO 27001<\/strong> \u2014 comparten una expectativa com\u00fan: las organizaciones deben demostrar una responsabilidad clara<\/strong> en las decisiones de seguridad. Cuando un regulador o auditor pregunta \u00ab\u00bfqui\u00e9n aprob\u00f3 esta excepci\u00f3n?\u00bb o \u00ab\u00bfqui\u00e9n es responsable de garantizar que se apliquen los controles de seguridad del pipeline?\u00bb, la respuesta no puede ser vaga ni distribuida entre equipos sin nombre.<\/p>\n Una matriz RACI (Responsable, Aprobador, Consultado, Informado) es el instrumento de gobernanza establecido para mapear actividades con roles. En un contexto de DevSecOps, sirve para un doble prop\u00f3sito: estructura la toma de decisiones interna y<\/em> proporciona a los auditores un \u00fanico documento que evidencia el dise\u00f1o de la responsabilidad.<\/p>\n Sin una RACI documentada, las organizaciones se enfrentan a varios riesgos regulatorios:<\/p>\n Antes de aplicar la matriz, es esencial que todas las partes interesadas \u2014 especialmente los responsables de cumplimiento y los propietarios de riesgo \u2014 comprendan las cuatro designaciones:<\/p>\n Regla cr\u00edtica de gobernanza:<\/strong> Debe haber exactamente un<\/em> \u00abA\u00bb por actividad. Si la responsabilidad se comparte, se diluye \u2014 y la responsabilidad diluida es, en t\u00e9rminos regulatorios, ninguna responsabilidad en absoluto.<\/p>\n La siguiente matriz mapea catorce actividades centrales de DevSecOps a ocho roles organizacionales. Debe adaptarse a la estructura de su organizaci\u00f3n, pero proporciona un punto de partida s\u00f3lido para entornos regulados.<\/p>\n En la matriz anterior, el Responsable de DevSecOps<\/strong> es responsable de la configuraci\u00f3n t\u00e9cnica y la aplicaci\u00f3n de la seguridad del pipeline. Sin embargo, el CISO<\/strong> mantiene la responsabilidad \u00faltima sobre la pol\u00edtica de seguridad y su eficacia. Esta responsabilidad de dos niveles debe estar claramente documentada.<\/p>\n En virtud de DORA, el \u00f3rgano de direcci\u00f3n<\/strong> (normalmente el consejo de administraci\u00f3n o el comit\u00e9 de alta direcci\u00f3n) es responsable del marco general de riesgo ICT. El CISO act\u00faa como su delegado para las operaciones de seguridad. Esta delegaci\u00f3n debe estar formalmente documentada y revisada peri\u00f3dicamente.<\/p>\n Cuando surgen conflictos \u2014 por ejemplo, un equipo de desarrollo impugna una puerta de seguridad que bloquea un lanzamiento \u2014 el camino de escalada debe seguir un procedimiento documentado:<\/p>\n Cada escalada debe registrarse. Los auditores buscar\u00e1n evidencia de que se sigui\u00f3 el camino de escalada \u2014 no solo de que existe en el papel.<\/p>\n Las grandes organizaciones reguladas \u2014 bancos, aseguradoras, operadores de infraestructuras cr\u00edticas \u2014 deben mantener la separaci\u00f3n completa de roles<\/strong> como se muestra en la matriz anterior. Cada rol lo ocupa un individuo o equipo distinto. Esto proporciona la mayor segregaci\u00f3n de funciones y el camino de auditor\u00eda m\u00e1s claro.<\/p>\n Requisitos clave a esta escala:<\/p>\n Las organizaciones con 200 a 1.000 empleados pueden necesitar combinar ciertos roles. Las combinaciones aceptables incluyen:<\/p>\n Combinaciones inaceptables:<\/strong><\/p>\n Las empresas reguladas m\u00e1s peque\u00f1as a\u00fan deben demostrar responsabilidad. Como m\u00ednimo:<\/p>\n Documente expl\u00edcitamente d\u00f3nde se combinan los roles y qu\u00e9 controles compensatorios existen (por ejemplo, revisi\u00f3n por pares, auditor\u00eda externa, controles automatizados).<\/p>\n Al evaluar el RACI de DevSecOps de una organizaci\u00f3n, los auditores deben buscar evidencia en tres dimensiones:<\/p>\n Una matriz RACI de DevSecOps bien gobernada es un documento de control fundamental. Sustenta todas las dem\u00e1s actividades de gobernanza \u2014 desde el dise\u00f1o del programa DevSecOps<\/a> hasta la preparaci\u00f3n para auditor\u00edas y gobernanza<\/a>.<\/p>\n Las organizaciones deben:<\/p>\n\n
RACI explicado para partes interesadas no t\u00e9cnicas<\/h2>\n
\n\n
\n \nLetra<\/th>\n Rol<\/th>\n Significado<\/th>\n Pregunta clave<\/th>\n<\/tr>\n<\/thead>\n \n R<\/strong><\/td>\n Responsable<\/td>\n La persona o equipo que realiza el trabajo<\/td>\n \u00bfQui\u00e9n hace la tarea?<\/td>\n<\/tr>\n \n A<\/strong><\/td>\n Aprobador<\/td>\n La \u00fanica persona que es en \u00faltima instancia responsable \u2014 aprueba o da el visto bueno<\/td>\n \u00bfQui\u00e9n responde ante el regulador?<\/td>\n<\/tr>\n \n C<\/strong><\/td>\n Consultado<\/td>\n Aquellos cuya opini\u00f3n se solicita antes de tomar una decisi\u00f3n o acci\u00f3n<\/td>\n \u00bfDe qui\u00e9n se necesita la experiencia?<\/td>\n<\/tr>\n \n I<\/strong><\/td>\n Informado<\/td>\n Aquellos que son notificados despu\u00e9s de tomar una decisi\u00f3n o acci\u00f3n<\/td>\n \u00bfQui\u00e9n necesita saberlo?<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Matriz RACI completa para actividades de DevSecOps<\/h2>\n
\n\n
\n \nActividad<\/th>\n CISO<\/th>\n Arquitecto de seguridad<\/th>\n Responsable de DevSecOps<\/th>\n Equipo de plataforma \/ CI-CD<\/th>\n Responsable del equipo de desarrollo<\/th>\n Desarrollador<\/th>\n Responsable de cumplimiento<\/th>\n Propietario del riesgo<\/th>\n<\/tr>\n<\/thead>\n \n Definici\u00f3n de la pol\u00edtica de seguridad<\/strong><\/td>\n A<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n C<\/td>\n C<\/td>\n<\/tr>\n \n Configuraci\u00f3n de seguridad del pipeline<\/strong><\/td>\n I<\/td>\n C<\/td>\n A<\/td>\n R<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Gesti\u00f3n de herramientas SAST\/DAST\/SCA<\/strong><\/td>\n I<\/td>\n C<\/td>\n A<\/td>\n R<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Clasificaci\u00f3n de vulnerabilidades<\/strong><\/td>\n I<\/td>\n C<\/td>\n A<\/td>\n I<\/td>\n R<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Ejecuci\u00f3n de la remediaci\u00f3n<\/strong><\/td>\n I<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n A<\/td>\n R<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Aprobaci\u00f3n de excepciones\/supresiones<\/strong><\/td>\n I<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n C<\/td>\n A<\/td>\n<\/tr>\n \n Configuraci\u00f3n de puertas de seguridad<\/strong><\/td>\n I<\/td>\n R<\/td>\n A<\/td>\n R<\/td>\n C<\/td>\n I<\/td>\n C<\/td>\n I<\/td>\n<\/tr>\n \n Gesti\u00f3n de control de acceso<\/strong><\/td>\n A<\/td>\n C<\/td>\n R<\/td>\n R<\/td>\n C<\/td>\n I<\/td>\n C<\/td>\n I<\/td>\n<\/tr>\n \n Gesti\u00f3n de secretos<\/strong><\/td>\n I<\/td>\n A<\/td>\n R<\/td>\n R<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Respuesta a incidentes<\/strong><\/td>\n A<\/td>\n C<\/td>\n R<\/td>\n R<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n \n Preparaci\u00f3n para auditor\u00edas<\/strong><\/td>\n I<\/td>\n C<\/td>\n R<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n A<\/td>\n I<\/td>\n<\/tr>\n \n Informes de m\u00e9tricas<\/strong><\/td>\n I<\/td>\n I<\/td>\n R<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n A<\/td>\n I<\/td>\n<\/tr>\n \n Evaluaci\u00f3n de riesgos de terceros<\/strong><\/td>\n I<\/td>\n C<\/td>\n C<\/td>\n I<\/td>\n I<\/td>\n I<\/td>\n C<\/td>\n A<\/td>\n<\/tr>\n \n Formaci\u00f3n en seguridad<\/strong><\/td>\n A<\/td>\n C<\/td>\n R<\/td>\n I<\/td>\n C<\/td>\n R<\/td>\n I<\/td>\n I<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Notas de gobernanza: Responsabilidad y escalada<\/h2>\n
Responsabilidad final por la seguridad del pipeline<\/h3>\n
Camino de escalada<\/h3>\n
\n
Adaptaci\u00f3n del RACI al tama\u00f1o de la organizaci\u00f3n<\/h2>\n
Empresa (separaci\u00f3n completa de roles)<\/h3>\n
\n
Tama\u00f1o mediano (roles combinados)<\/h3>\n
\n
\n
Peque\u00f1a (separaci\u00f3n m\u00ednima viable)<\/h3>\n
\n
Qu\u00e9 deben verificar los auditores<\/h2>\n
1. Documentaci\u00f3n<\/h3>\n
\n
2. Evidencia de responsabilidad en la pr\u00e1ctica<\/h3>\n
\n
3. Alineaci\u00f3n entre el RACI y los permisos del sistema<\/h3>\n
\n
Se\u00f1ales de alerta para auditores y responsables de cumplimiento<\/h2>\n
\n\n
\n \nSe\u00f1al de alerta<\/th>\n Por qu\u00e9 importa<\/th>\n Implicaci\u00f3n regulatoria<\/th>\n<\/tr>\n<\/thead>\n \n Sin RACI documentado para DevSecOps<\/td>\n No se puede demostrar la responsabilidad<\/td>\n DORA Art. 5, ISO 27001 A.5.2<\/td>\n<\/tr>\n \n Desarrolladores que autoaprueban excepciones de seguridad<\/td>\n Violaci\u00f3n de segregaci\u00f3n de funciones<\/td>\n PCI DSS Req. 6, SOC 2 CC6.1<\/td>\n<\/tr>\n \n El equipo de seguridad no es consultado sobre los cambios del pipeline<\/td>\n Los controles de seguridad pueden debilitarse sin supervisi\u00f3n<\/td>\n NIS2 Art. 21, ISO 27001 A.8.32<\/td>\n<\/tr>\n \n El CISO no es informado de las aceptaciones de riesgo<\/td>\n Deficiencia en la supervisi\u00f3n del \u00f3rgano de direcci\u00f3n<\/td>\n DORA Art. 5(4), NIS2 Art. 20<\/td>\n<\/tr>\n \n M\u00faltiples personas listadas como Aprobadores para la misma actividad<\/td>\n Responsabilidad diluida \u2014 sin \u00fanico punto de propiedad<\/td>\n Debilidad general de gobernanza<\/td>\n<\/tr>\n \n RACI no actualizado tras cambios organizacionales<\/td>\n La matriz no refleja la realidad<\/td>\n ISO 27001 A.5.4<\/td>\n<\/tr>\n \n Sin evidencia de uso del camino de escalada<\/td>\n Sugiere que los conflictos se resuelven informalmente sin gobernanza<\/td>\n Deficiencia en el rastro de auditor\u00eda<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Pr\u00f3ximos pasos<\/h2>\n
\n
Relacionado para auditores<\/h3>\n