Los pipelines de Integraci\u00f3n Continua y Entrega Continua (CI\/CD) no son meras conveniencias de ingenier\u00eda \u2014 son instalaciones de procesamiento de informaci\u00f3n<\/strong> que manejan c\u00f3digo fuente, credenciales, claves criptogr\u00e1ficas y autoridad de despliegue en producci\u00f3n. Bajo ISO 27001, cualquier sistema que procese, almacene o transmita activos de informaci\u00f3n debe estar dentro del alcance de su Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI).<\/p>\n Para auditores y responsables de cumplimiento, la pregunta cr\u00edtica no es si<\/em> los pipelines CI\/CD est\u00e1n en el alcance, sino si la organizaci\u00f3n los ha identificado como activos de informaci\u00f3n<\/strong>, ha evaluado los riesgos asociados y ha aplicado los controles apropiados del Anexo A. No incluir la infraestructura CI\/CD en el alcance del SGSI es en s\u00ed mismo una no conformidad.<\/p>\n Este art\u00edculo proporciona un mapeo completo de los controles del Anexo A a los entornos de pipelines CI\/CD, con orientaci\u00f3n espec\u00edfica sobre qu\u00e9 evidencia deben esperar los auditores y qu\u00e9 brechas surgen habitualmente.<\/p>\n La siguiente tabla mapea cada dominio de control relevante del Anexo A a su relevancia en el pipeline CI\/CD, con expectativas de evidencia espec\u00edficas para los auditores de certificaci\u00f3n.<\/p>\n \u2605 Denota los dominios de control m\u00e1s cr\u00edticos para los entornos CI\/CD.<\/p>\n El control de acceso en entornos CI\/CD presenta desaf\u00edos \u00fanicos en los que los auditores se centran intensamente. Los pipelines a menudo requieren un acceso amplio para desplegar en todos los entornos, lo que crea una tensi\u00f3n entre la necesidad operativa y el m\u00ednimo privilegio. Las \u00e1reas clave de escrutinio incluyen:<\/p>\n La seguridad de las operaciones para CI\/CD requiere que los auditores verifiquen que la infraestructura del pipeline se trata con el mismo rigor operativo que los sistemas de producci\u00f3n. \u00c1reas de enfoque habituales en la auditor\u00eda:<\/p>\n Este es el dominio de control fundamental para CI\/CD. Los auditores esperan ver que el pipeline aplique<\/em> el ciclo de vida de desarrollo seguro en lugar de simplemente documentarlo. La evidencia debe demostrar que las pruebas de seguridad son automatizadas y obligatorias, que los procedimientos de control de cambios no pueden eludirse y que los criterios de aceptaci\u00f3n est\u00e1n definidos y se aplican antes del despliegue en producci\u00f3n.<\/p>\n Los pipelines CI\/CD modernos tienen extensas dependencias en la cadena de suministro. Los auditores se centran cada vez m\u00e1s en si las organizaciones comprenden y gestionan el riesgo de los componentes de pipeline de terceros, los plugins, las im\u00e1genes base y los servicios alojados. Un Software Bill of Materials (SBOM) y el seguimiento de la procedencia de dependencias se est\u00e1n convirtiendo en expectativas de referencia.<\/p>\n Durante una auditor\u00eda de certificaci\u00f3n de Etapa 2, los auditores que examinan entornos CI\/CD normalmente solicitan:<\/p>\n Bas\u00e1ndose en los hallazgos de auditor\u00eda en distintas organizaciones, las brechas identificadas con mayor frecuencia incluyen:<\/p>\n Para una comprensi\u00f3n m\u00e1s profunda de los requisitos de certificaci\u00f3n ISO 27001 para entornos CI\/CD, consulte nuestros recursos relacionados:<\/p>\nMapeo completo del Anexo A a CI\/CD<\/h2>\n
\n\n
\n \nControl Anexo A<\/th>\n Objetivo de control<\/th>\n Relevancia en CI\/CD<\/th>\n Evidencia para auditores<\/th>\n<\/tr>\n<\/thead>\n \n A.5 \u2014 Pol\u00edticas de seguridad de la informaci\u00f3n<\/strong><\/td>\n Direcci\u00f3n de gesti\u00f3n para la seguridad de la informaci\u00f3n<\/td>\n Los pipelines CI\/CD deben estar gobernados por pol\u00edticas de seguridad documentadas que aborden los procesos automatizados de compilaci\u00f3n, prueba y despliegue<\/td>\n Pol\u00edtica de seguridad CI\/CD aprobada; registros de revisi\u00f3n de pol\u00edticas; aprobaci\u00f3n de la direcci\u00f3n; evidencia de comunicaci\u00f3n de pol\u00edticas a los administradores de pipeline<\/td>\n<\/tr>\n \n A.6 \u2014 Organizaci\u00f3n de la seguridad de la informaci\u00f3n<\/strong><\/td>\n Organizaci\u00f3n interna y trabajo m\u00f3vil\/en remoto<\/td>\n Los roles y responsabilidades para la seguridad del pipeline deben estar definidos \u2014 qui\u00e9n es propietario de la configuraci\u00f3n del pipeline, qui\u00e9n aprueba las reglas de despliegue, segregaci\u00f3n de funciones entre desarrollo y versiones<\/td>\n Matriz RACI para operaciones CI\/CD; descripciones de puestos con responsabilidades de pipeline; evidencia de segregaci\u00f3n entre la configuraci\u00f3n del pipeline y la autor\u00eda del c\u00f3digo<\/td>\n<\/tr>\n \n A.8 \u2014 Gesti\u00f3n de activos<\/strong><\/td>\n Responsabilidad sobre los activos, clasificaci\u00f3n de la informaci\u00f3n, manejo de medios<\/td>\n Los componentes del pipeline (servidores de compilaci\u00f3n, repositorios de artefactos, almacenes de secretos) son activos de informaci\u00f3n que deben inventariarse y clasificarse<\/td>\n Registro de activos incluyendo la infraestructura CI\/CD; etiquetas de clasificaci\u00f3n aplicadas a los artefactos del pipeline; procedimientos de manejo de datos para las salidas de compilaci\u00f3n<\/td>\n<\/tr>\n \n A.9 \u2014 Control de acceso<\/strong> \u2605<\/td>\n Requisitos de negocio, gesti\u00f3n de acceso de usuarios, acceso a sistemas\/aplicaciones<\/td>\n El acceso al pipeline es un punto de control cr\u00edtico \u2014 qui\u00e9n puede modificar las definiciones del pipeline, activar despliegues, acceder a secretos u omitir las puertas de calidad<\/td>\n Pol\u00edtica de control de acceso que cubre CI\/CD; revisiones de acceso de usuarios a plataformas de pipeline; evidencia de m\u00ednimo privilegio; registros de aplicaci\u00f3n de MFA; registros de acceso privilegiado a la administraci\u00f3n del pipeline<\/td>\n<\/tr>\n \n A.10 \u2014 Criptograf\u00eda<\/strong><\/td>\n Controles criptogr\u00e1ficos y gesti\u00f3n de claves<\/td>\n Los pipelines manejan claves de firma, certificados TLS, cifrado de secretos en reposo y en tr\u00e1nsito, firma de artefactos<\/td>\n Procedimientos de gesti\u00f3n de claves para secretos del pipeline; est\u00e1ndares de cifrado para el almacenamiento de secretos; registros de gesti\u00f3n de certificados; procedimientos de verificaci\u00f3n de firma de artefactos<\/td>\n<\/tr>\n \n A.12 \u2014 Seguridad de las operaciones<\/strong> \u2605<\/td>\n Procedimientos operativos, protecci\u00f3n contra malware, copias de seguridad, registro, gesti\u00f3n de vulnerabilidades<\/td>\n Las operaciones del pipeline requieren gesti\u00f3n de cambios, planificaci\u00f3n de capacidad, separaci\u00f3n de entornos, registro exhaustivo y an\u00e1lisis de vulnerabilidades de la propia infraestructura del pipeline<\/td>\n Registros de gesti\u00f3n de cambios para la configuraci\u00f3n del pipeline; evidencia de separaci\u00f3n entre pipelines de compilaci\u00f3n\/staging\/producci\u00f3n; registros de ejecuci\u00f3n del pipeline con retenci\u00f3n; resultados de an\u00e1lisis de vulnerabilidades de la plataforma CI\/CD; procedimientos de copia de seguridad para las definiciones del pipeline<\/td>\n<\/tr>\n \n A.14 \u2014 Adquisici\u00f3n, desarrollo y mantenimiento de sistemas<\/strong> \u2605<\/td>\n Requisitos de seguridad, desarrollo seguro, datos de prueba<\/td>\n El dominio de control m\u00e1s directamente relevante \u2014 cubre el ciclo de vida de desarrollo seguro, procedimientos de control de cambios, integraci\u00f3n de pruebas de seguridad y criterios de aceptaci\u00f3n aplicados a trav\u00e9s de pipelines<\/td>\n Pol\u00edtica de desarrollo seguro; evidencia de control de cambios aplicado por el pipeline; resultados de pruebas de seguridad automatizadas; configuraciones de puertas de aceptaci\u00f3n; registros de revisi\u00f3n de c\u00f3digo vinculados a activadores del pipeline<\/td>\n<\/tr>\n \n A.15 \u2014 Relaciones con proveedores<\/strong> \u2605<\/td>\n Seguridad de la informaci\u00f3n en las relaciones con proveedores, gesti\u00f3n de entrega de servicios<\/td>\n Los pipelines CI\/CD dependen en gran medida de componentes de terceros \u2014 plugins, im\u00e1genes base, registros de paquetes, servicios CI en la nube y dependencias de c\u00f3digo abierto<\/td>\n Registro de proveedores que incluye proveedores de servicios CI\/CD; evaluaciones de riesgos de terceros para herramientas de pipeline; SLAs para servicios CI\/CD alojados; registros de procedencia de dependencias; pol\u00edticas de seguridad de la cadena de suministro<\/td>\n<\/tr>\n \n A.16 \u2014 Gesti\u00f3n de incidentes de seguridad de la informaci\u00f3n<\/strong><\/td>\n Gesti\u00f3n de incidentes y mejoras<\/td>\n Los compromisos de pipeline (filtraciones de secretos, ataques a la cadena de suministro, despliegues no autorizados) deben estar cubiertos por los procedimientos de gesti\u00f3n de incidentes<\/td>\n Procedimientos de respuesta a incidentes que cubren escenarios CI\/CD; evidencia de simulacros de incidentes espec\u00edficos del pipeline; registros de revisi\u00f3n posterior al incidente; rutas de escalada para eventos de seguridad en el pipeline<\/td>\n<\/tr>\n \n A.18 \u2014 Cumplimiento<\/strong><\/td>\n Cumplimiento con requisitos legales\/contractuales, revisiones de seguridad de la informaci\u00f3n<\/td>\n Las configuraciones del pipeline y los registros de despliegue sirven como evidencia de cumplimiento; los propios pipelines deben cumplir con los requisitos regulatorios<\/td>\n Registro de requisitos de cumplimiento referenciando CI\/CD; rastro de auditor\u00eda de configuraciones del pipeline; evidencia de revisiones peri\u00f3dicas de cumplimiento de las operaciones del pipeline; registros de evaluaciones de impacto de cambios regulatorios en los pipelines<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Controles cr\u00edticos para CI\/CD: A.9, A.12, A.14, A.15<\/h2>\n
A.9 \u2014 Control de acceso<\/h3>\n
\n
A.12 \u2014 Seguridad de las operaciones<\/h3>\n
\n
A.14 \u2014 Adquisici\u00f3n, desarrollo y mantenimiento de sistemas<\/h3>\n
A.15 \u2014 Relaciones con proveedores<\/h3>\n
Qu\u00e9 buscan espec\u00edficamente los auditores de certificaci\u00f3n<\/h2>\n
\n
Brechas comunes en entornos CI\/CD<\/h2>\n
\n\n
\n \n\u00c1rea de brecha<\/th>\n Hallazgo t\u00edpico<\/th>\n Nivel de riesgo<\/th>\n<\/tr>\n<\/thead>\n \n Pipeline no en el registro de activos<\/td>\n Infraestructura CI\/CD ausente del inventario de activos de informaci\u00f3n<\/td>\n Alto<\/td>\n<\/tr>\n \n Sin revisiones de acceso para pipelines<\/td>\n Cuentas de servicio y credenciales del pipeline nunca sujetas a revisi\u00f3n peri\u00f3dica de acceso<\/td>\n Alto<\/td>\n<\/tr>\n \n Falta control de cambios para la configuraci\u00f3n del pipeline<\/td>\n Definiciones del pipeline modificadas sin gesti\u00f3n de cambios formal<\/td>\n Alto<\/td>\n<\/tr>\n \n Registro insuficiente<\/td>\n Rastros de auditor\u00eda del pipeline incompletos, mutables o no conservados seg\u00fan la pol\u00edtica<\/td>\n Alto<\/td>\n<\/tr>\n \n Riesgo de terceros no evaluado<\/td>\n Plugins y servicios CI\/CD no incluidos en las evaluaciones de riesgo de proveedores<\/td>\n Medio<\/td>\n<\/tr>\n \n Sin escenarios de incidentes para CI\/CD<\/td>\n Los procedimientos de respuesta a incidentes no cubren escenarios de compromiso del pipeline<\/td>\n Medio<\/td>\n<\/tr>\n \n Pruebas de seguridad opcionales<\/td>\n Las puertas de calidad pueden omitirse sin justificaci\u00f3n y aprobaci\u00f3n documentadas<\/td>\n Alto<\/td>\n<\/tr>\n \n Secretos en los registros del pipeline<\/td>\n Valores sensibles expuestos en los registros de compilaci\u00f3n sin controles de enmascaramiento<\/td>\n Cr\u00edtico<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Pr\u00f3ximos pasos<\/h2>\n
\n
Relacionado para auditores<\/h3>\n