{"id":1985,"date":"2026-02-13T18:30:53","date_gmt":"2026-02-13T17:30:53","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/senales-de-alerta-dora-articulo-28-fallos-comunes-de-riesgo-de-terceros-en-ci-cd\/"},"modified":"2026-03-26T09:29:14","modified_gmt":"2026-03-26T08:29:14","slug":"dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd\/","title":{"rendered":"Se\u00f1ales de Alerta DORA Art\u00edculo 28: Fallos Comunes de Riesgo de Terceros en CI\/CD"},"content":{"rendered":"\n<p>Los fallos del DORA Art\u00edculo 28 raramente provienen de pol\u00edticas inexistentes.<\/p>\n\n\n\n<p>Provienen de <strong>debilidades ocultas en pipelines CI\/CD con alta dependencia de terceros<\/strong> que solo afloran durante auditor\u00edas o incidentes.<\/p>\n\n\n\n<p>Los auditores buscan <strong>se\u00f1ales de alerta<\/strong> \u2014 indicios de que el riesgo ICT de terceros no est\u00e1 gestionado, no se aplica o no est\u00e1 respaldado por evidencias.<\/p>\n\n\n\n<p>Las plataformas CI\/CD son una fuente frecuente de estos hallazgos porque combinan <strong>servicios externos, ejecuci\u00f3n privilegiada y automatizaci\u00f3n<\/strong>.<\/p>\n\n\n\n<p>Este art\u00edculo destaca las <strong>se\u00f1ales de alerta m\u00e1s comunes del Art\u00edculo 28 relacionadas con los pipelines CI\/CD<\/strong>, por qu\u00e9 son importantes y c\u00f3mo las interpretan los auditores.<\/p>\n\n\n\n<!-- GeneratePress Inline SVG \u2013 Regulated DevSecOps -->\n<figure class=\"gp-rds-diagram\">\n<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\"\n     viewBox=\"0 0 1200 560\"\n     role=\"img\"\n     aria-labelledby=\"title desc\"\n     data-theme=\"light\">\n  <title id=\"title\">CI\/CD Red Flags \u2014 DORA Article 28 (Third-Party Risk)<\/title>\n  <desc id=\"desc\">\n    Enterprise CI\/CD diagram highlighting common DORA Article 28 third-party risk red flags:\n    missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights,\n    and missing evidence retention.\n  <\/desc>\n\n  <style>\n    :root{\n      --bg:transparent;\n      --text:#0f172a;\n      --muted:#475569;\n      --stroke:#cbd5e1;\n      --card:#ffffff;\n\n      --accent:#2563eb;\n      --accentSoft:#dbeafe;\n\n      --warn:#b91c1c;\n      --warnSoft:#fee2e2;\n\n      --ok:#059669;\n      --okSoft:#d1fae5;\n\n      --band:#0ea5e9;\n      --bandSoft:#e0f2fe;\n    }\n    svg[data-theme=\"dark\"]{\n      --text:#e5e7eb;\n      --muted:#9ca3af;\n      --stroke:#374151;\n      --card:#0b1220;\n\n      --accent:#60a5fa;\n      --accentSoft:#0b2a55;\n\n      --warn:#f87171;\n      --warnSoft:#3a0b10;\n\n      --ok:#34d399;\n      --okSoft:#063a2c;\n\n      --band:#38bdf8;\n      --bandSoft:#083047;\n    }\n\n    .txt{font-family:ui-sans-serif,system-ui,-apple-system,Segoe UI,Roboto,Arial;}\n    .title{font-weight:900;font-size:22px;fill:var(--text);}\n    .sub{font-weight:600;font-size:14px;fill:var(--muted);}\n\n    .label{font-weight:900;font-size:12px;fill:var(--text);letter-spacing:.06em;}\n    .h{font-weight:900;font-size:14px;fill:var(--text);}\n    .small{font-weight:700;font-size:12px;fill:var(--muted);}\n\n    .card{fill:var(--card);stroke:var(--stroke);stroke-width:1.5;rx:14;}\n    .chip{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:7;}\n    .chipText{font-weight:900;font-size:12px;fill:var(--text);}\n\n    .flow{fill:none;stroke:var(--stroke);stroke-width:2.5;stroke-linecap:round;stroke-linejoin:round;}\n    .arrow{marker-end:url(#arrow);}\n\n    .band{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:14;stroke-dasharray:6 6;}\n    .bandTitle{font-weight:900;font-size:12px;fill:var(--muted);letter-spacing:.06em;}\n    .bandChip{fill:var(--bandSoft);stroke:var(--band);stroke-width:1.5;rx:7;}\n    .bandText{font-weight:900;font-size:12px;fill:var(--text);}\n\n    .rf .chip{stroke:var(--warn);fill:var(--warnSoft);}\n    .rftext{font-weight:900;font-size:12px;fill:var(--text);}\n\n    .ok .chip{stroke:var(--ok);fill:var(--okSoft);}\n  <\/style>\n\n  <defs>\n    <marker id=\"arrow\" viewBox=\"0 0 10 10\" refX=\"9.2\" refY=\"5\" markerWidth=\"7\" markerHeight=\"7\" orient=\"auto\">\n      <path d=\"M0 0 L10 5 L0 10 Z\" fill=\"var(--stroke)\"\/>\n    <\/marker>\n  <\/defs>\n\n  <!-- Header -->\n  <text class=\"txt title\" x=\"40\" y=\"48\">CI\/CD Red Flags \u2014 DORA Article 28<\/text>\n  <text class=\"txt sub\" x=\"40\" y=\"74\">Third-party risk failures auditors frequently flag in Git, CI\/CD SaaS, runners, registries, and cloud runtime.<\/text>\n\n  <!-- Cross-cutting band -->\n  <g transform=\"translate(40,92)\">\n    <rect class=\"band\" x=\"0\" y=\"0\" width=\"1120\" height=\"62\"\/>\n    <text class=\"txt bandTitle\" x=\"18\" y=\"36\">CROSS-CUTTING (ARTICLE 28)<\/text>\n\n    <g transform=\"translate(330,16)\">\n      <rect class=\"bandChip\" x=\"0\" y=\"0\" width=\"180\" height=\"30\"\/>\n      <text class=\"txt bandText\" x=\"90\" y=\"20\" text-anchor=\"middle\">Supplier governance<\/text>\n    <\/g>\n    <g transform=\"translate(520,16)\">\n      <rect class=\"bandChip\" x=\"0\" y=\"0\" width=\"160\" height=\"30\"\/>\n      <text class=\"txt bandText\" x=\"80\" y=\"20\" text-anchor=\"middle\">Audit rights<\/text>\n    <\/g>\n    <g transform=\"translate(690,16)\">\n      <rect class=\"bandChip\" x=\"0\" y=\"0\" width=\"150\" height=\"30\"\/>\n      <text class=\"txt bandText\" x=\"75\" y=\"20\" text-anchor=\"middle\">Exit strategy<\/text>\n    <\/g>\n    <g transform=\"translate(850,16)\">\n      <rect class=\"bandChip\" x=\"0\" y=\"0\" width=\"220\" height=\"30\"\/>\n      <text class=\"txt bandText\" x=\"110\" y=\"20\" text-anchor=\"middle\">Evidence retention<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- Pipeline row cards -->\n  <g transform=\"translate(40,175)\">\n    <!-- Git -->\n    <g transform=\"translate(0,0)\">\n      <rect class=\"card\" width=\"200\" height=\"130\"\/>\n      <text class=\"txt h\" x=\"18\" y=\"32\">Git Hosting<\/text>\n      <text class=\"txt small\" x=\"18\" y=\"54\">GitHub \/ GitLab SaaS<\/text>\n      <g class=\"rf\" transform=\"translate(18,74)\">\n        <rect class=\"chip\" width=\"164\" height=\"30\"\/>\n        <text class=\"txt rftext\" x=\"82\" y=\"20\" text-anchor=\"middle\">No audit rights<\/text>\n      <\/g>\n    <\/g>\n\n    <!-- CI\/CD SaaS -->\n    <g transform=\"translate(220,0)\">\n      <rect class=\"card\" width=\"200\" height=\"130\"\/>\n      <text class=\"txt h\" x=\"18\" y=\"32\">CI\/CD SaaS<\/text>\n      <text class=\"txt small\" x=\"18\" y=\"54\">Orchestrator<\/text>\n      <g class=\"rf\" transform=\"translate(18,74)\">\n        <rect class=\"chip\" width=\"164\" height=\"30\"\/>\n        <text class=\"txt rftext\" x=\"82\" y=\"20\" text-anchor=\"middle\">No exit plan<\/text>\n      <\/g>\n    <\/g>\n\n    <!-- Runners -->\n    <g transform=\"translate(440,0)\">\n      <rect class=\"card\" width=\"200\" height=\"130\"\/>\n      <text class=\"txt h\" x=\"18\" y=\"32\">CI Runners<\/text>\n      <text class=\"txt small\" x=\"18\" y=\"54\">Cloud execution<\/text>\n      <g class=\"rf\" transform=\"translate(18,74)\">\n        <rect class=\"chip\" width=\"164\" height=\"30\"\/>\n        <text class=\"txt rftext\" x=\"82\" y=\"20\" text-anchor=\"middle\">Shared runners<\/text>\n      <\/g>\n    <\/g>\n\n    <!-- Registries -->\n    <g transform=\"translate(660,0)\">\n      <rect class=\"card\" width=\"200\" height=\"130\"\/>\n      <text class=\"txt h\" x=\"18\" y=\"32\">Registries<\/text>\n      <text class=\"txt small\" x=\"18\" y=\"54\">Artifacts + images<\/text>\n      <g class=\"rf\" transform=\"translate(18,74)\">\n        <rect class=\"chip\" width=\"164\" height=\"30\"\/>\n        <text class=\"txt rftext\" x=\"82\" y=\"20\" text-anchor=\"middle\">No retention<\/text>\n      <\/g>\n    <\/g>\n\n    <!-- Cloud runtime -->\n    <g transform=\"translate(880,0)\">\n      <rect class=\"card\" width=\"220\" height=\"130\"\/>\n      <text class=\"txt h\" x=\"18\" y=\"32\">Cloud Runtime<\/text>\n      <text class=\"txt small\" x=\"18\" y=\"54\">Prod services<\/text>\n      <g class=\"rf\" transform=\"translate(18,74)\">\n        <rect class=\"chip\" width=\"184\" height=\"30\"\/>\n        <text class=\"txt rftext\" x=\"92\" y=\"20\" text-anchor=\"middle\">No sub-processor view<\/text>\n      <\/g>\n    <\/g>\n  <\/g>\n\n  <!-- Flow arrows between pipeline stages -->\n  <path class=\"flow arrow\" d=\"M 240 240 L 260 240\"\/>\n  <path class=\"flow arrow\" d=\"M 460 240 L 480 240\"\/>\n  <path class=\"flow arrow\" d=\"M 680 240 L 700 240\"\/>\n  <path class=\"flow arrow\" d=\"M 900 240 L 920 240\"\/>\n\n  <!-- Lower remediation hints -->\n  <g transform=\"translate(40,340)\">\n    <rect class=\"card\" width=\"1100\" height=\"170\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"28\">ENGINEER REMEDIATION HINTS<\/text>\n\n    <g class=\"ok\" transform=\"translate(18,52)\">\n      <rect class=\"chip\" width=\"260\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"130\" y=\"20\" text-anchor=\"middle\">Tested exit strategy (CI\/CD)<\/text>\n    <\/g>\n    <g class=\"ok\" transform=\"translate(290,52)\">\n      <rect class=\"chip\" width=\"250\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"125\" y=\"20\" text-anchor=\"middle\">Dedicated \/ isolated runners<\/text>\n    <\/g>\n    <g class=\"ok\" transform=\"translate(550,52)\">\n      <rect class=\"chip\" width=\"270\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"135\" y=\"20\" text-anchor=\"middle\">Supplier + sub-processor map<\/text>\n    <\/g>\n    <g class=\"ok\" transform=\"translate(830,52)\">\n      <rect class=\"chip\" width=\"260\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"130\" y=\"20\" text-anchor=\"middle\">Centralized logs + retention<\/text>\n    <\/g>\n\n    <text class=\"txt small\" x=\"18\" y=\"110\">\n      Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28.\n    <\/text>\n    <text class=\"txt small\" x=\"18\" y=\"136\">\n      Focus areas: CI\/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.\n    <\/text>\n  <\/g>\n<\/svg>\n  <figcaption class=\"gp-rds-caption\">\n    Enterprise CI\/CD diagram highlighting common DORA Article 28 third-party risk red flags:\n    missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights,\n    and missing evidence retention.\n<\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Por qu\u00e9 las Se\u00f1ales de Alerta CI\/CD Importan bajo el Art\u00edculo 28<\/strong><\/h2>\n\n\n\n<p>Bajo DORA, el riesgo de terceros no es te\u00f3rico.<\/p>\n\n\n\n<p>Los auditores eval\u00faan si un fallo en un proveedor de terceros podr\u00eda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>interrumpir servicios cr\u00edticos,<\/li>\n\n\n\n<li>comprometer la integridad del sistema,<\/li>\n\n\n\n<li>o impedir el cumplimiento de las obligaciones regulatorias.<\/li>\n<\/ul>\n\n\n\n<p>Los pipelines CI\/CD son a menudo <strong>puntos \u00fanicos de fallo<\/strong> en la entrega de software.<\/p>\n\n\n\n<p>Las se\u00f1ales de alerta en este \u00e1mbito se tratan por tanto como <strong>hallazgos de alta gravedad<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1al de Alerta #1 \u2014 Sin Plan de Salida de Plataformas CI\/CD SaaS<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lo que observan los auditores<\/strong><\/h3>\n\n\n\n<p>Las organizaciones dependen en gran medida de las plataformas SaaS CI\/CD pero no pueden demostrar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>c\u00f3mo migrar los pipelines,<\/li>\n\n\n\n<li>c\u00f3mo recuperar logs hist\u00f3ricos y artefactos,<\/li>\n\n\n\n<li>c\u00f3mo mantener la continuidad si el proveedor deja de estar disponible.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Por qu\u00e9 es una se\u00f1al de alerta<\/strong><\/h3>\n\n\n\n<p>DORA Art\u00edculo 28 exige expl\u00edcitamente <strong>estrategias de salida<\/strong> para los proveedores ICT de terceros cr\u00edticos.<\/p>\n\n\n\n<p>Un plan de salida que solo existe en papel \u2014 sin viabilidad t\u00e9cnica \u2014 se considera insuficiente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Conclusi\u00f3n t\u00edpica del auditor<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00abLa organizaci\u00f3n est\u00e1 operativamente bloqueada en un proveedor ICT cr\u00edtico.\u00bb<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1al de Alerta #2 \u2014 Runners de CI Compartidos entre Inquilinos<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lo que observan los auditores<\/strong><\/h3>\n\n\n\n<p>Los trabajos de CI se ejecutan en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>runners compartidos,<\/li>\n\n\n\n<li>infraestructura multi-inquilino,<\/li>\n\n\n\n<li>con visibilidad limitada sobre los controles de aislamiento.<\/li>\n<\/ul>\n\n\n\n<p>A menudo, las organizaciones no pueden explicar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>c\u00f3mo se aplica el aislamiento de los runners,<\/li>\n\n\n\n<li>qui\u00e9n controla el entorno de ejecuci\u00f3n,<\/li>\n\n\n\n<li>si la fuga de datos est\u00e1 t\u00e9cnicamente prevenida.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Por qu\u00e9 es una se\u00f1al de alerta<\/strong><\/h3>\n\n\n\n<p>Los runners compartidos incrementan:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>el riesgo de confidencialidad,<\/li>\n\n\n\n<li>el riesgo de integridad,<\/li>\n\n\n\n<li>la exposici\u00f3n a movimiento lateral.<\/li>\n<\/ul>\n\n\n\n<p>Bajo el Art\u00edculo 28, esto plantea interrogantes sobre la <strong>clasificaci\u00f3n del riesgo del proveedor y la eficacia de los controles<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1al de Alerta #3 \u2014 Sin Visibilidad sobre los Subprocesadores<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lo que observan los auditores<\/strong><\/h3>\n\n\n\n<p>Las organizaciones:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>contratan con un proveedor CI\/CD o Git primario,<\/li>\n\n\n\n<li>pero carecen de visibilidad sobre los <strong>subprocesadores<\/strong> (proveedores de nube, runners, registros, servicios de monitorizaci\u00f3n).<\/li>\n<\/ul>\n\n\n\n<p>Los inventarios de proveedores suelen detenerse en el primer nivel.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Por qu\u00e9 es una se\u00f1al de alerta<\/strong><\/h3>\n\n\n\n<p>DORA Art\u00edculo 28 exige supervisi\u00f3n no solo de los proveedores directos, sino tambi\u00e9n de las <strong>cadenas de subcontrataci\u00f3n cr\u00edticas<\/strong>.<\/p>\n\n\n\n<p>La falta de visibilidad sobre los subprocesadores indica:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>evaluaci\u00f3n de riesgos incompleta,<\/li>\n\n\n\n<li>gobernanza insuficiente de proveedores.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1al de Alerta #4 \u2014 Sin Derechos de Auditor\u00eda en los Contratos CI\/CD<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lo que observan los auditores<\/strong><\/h3>\n\n\n\n<p>Los contratos con proveedores CI\/CD o Git SaaS:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>carecen de cl\u00e1usulas de auditor\u00eda o inspecci\u00f3n,<\/li>\n\n\n\n<li>o contienen derechos de auditor\u00eda pr\u00e1cticamente inutilizables.<\/li>\n<\/ul>\n\n\n\n<p>En algunos casos, los equipos de ingenier\u00eda desconocen las limitaciones contractuales.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Por qu\u00e9 es una se\u00f1al de alerta<\/strong><\/h3>\n\n\n\n<p>Sin derechos de auditor\u00eda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>los controles no pueden verificarse de forma independiente,<\/li>\n\n\n\n<li>la dependencia de las garant\u00edas del proveedor se vuelve inevitable.<\/li>\n<\/ul>\n\n\n\n<p>Los auditores tratan esto como una <strong>brecha de cumplimiento estructural<\/strong>, no como una omisi\u00f3n procedimental.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1al de Alerta #5 \u2014 Sin Retenci\u00f3n de Evidencias para Actividades CI\/CD<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lo que observan los auditores<\/strong><\/h3>\n\n\n\n<p>Las plataformas CI\/CD generan logs, aprobaciones y trazas de ejecuci\u00f3n, pero:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>los logs se conservan durante periodos cortos,<\/li>\n\n\n\n<li>la evidencia se sobreescribe o es inaccesible,<\/li>\n\n\n\n<li>las pol\u00edticas de retenci\u00f3n est\u00e1n indefinidas.<\/li>\n<\/ul>\n\n\n\n<p>La evidencia se recopila a menudo <strong>tras la notificaci\u00f3n de la auditor\u00eda<\/strong>, no de forma continua.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Por qu\u00e9 es una se\u00f1al de alerta<\/strong><\/h3>\n\n\n\n<p>DORA Art\u00edculo 28 se basa en la evidencia.<\/p>\n\n\n\n<p>Si la evidencia no puede producirse <strong>a demanda<\/strong>, los controles se consideran ineficaces.<\/p>\n\n\n\n<p>Esta se\u00f1al de alerta frecuentemente resulta en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>observaciones de auditor\u00eda,<\/li>\n\n\n\n<li>planes de remediaci\u00f3n,<\/li>\n\n\n\n<li>revisiones de seguimiento.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Se\u00f1ales de Alerta CI\/CD Adicionales que los Auditores Identifican Habitualmente<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Uso sin restricciones de plugins del marketplace CI\/CD<\/li>\n\n\n\n<li>Sin puertas de aprobaci\u00f3n para los cambios de pipeline<\/li>\n\n\n\n<li>Secretos expuestos a contextos de ejecuci\u00f3n de terceros<\/li>\n\n\n\n<li>Sin monitorizaci\u00f3n de la disponibilidad de la plataforma CI\/CD<\/li>\n\n\n\n<li>Aplicaci\u00f3n inconsistente de controles entre pipelines<\/li>\n<\/ul>\n\n\n\n<p>Cada uno de estos puntos debilita la confianza en la gesti\u00f3n del riesgo de terceros.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo Utilizan los Auditores las Se\u00f1ales de Alerta<\/strong><\/h2>\n\n\n\n<p>Las se\u00f1ales de alerta raramente se eval\u00faan de forma aislada.<\/p>\n\n\n\n<p>Los auditores buscan <strong>patrones<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>m\u00faltiples se\u00f1ales de alerta en torno al mismo proveedor,<\/li>\n\n\n\n<li>brechas entre los contratos y la aplicaci\u00f3n t\u00e9cnica,<\/li>\n\n\n\n<li>v\u00ednculos perdidos entre controles y evidencias.<\/li>\n<\/ul>\n\n\n\n<p>Cuando emergen patrones, los auditores pueden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>elevar la criticidad del proveedor,<\/li>\n\n\n\n<li>ampliar el alcance de la auditor\u00eda,<\/li>\n\n\n\n<li>solicitar remediaci\u00f3n en plazos estrictos.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo Abordar estas Se\u00f1ales de Alerta de Forma Proactiva<\/strong><\/h2>\n\n\n\n<p>Las organizaciones que obtienen buenos resultados bajo el Art\u00edculo 28 habitualmente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>delimitan expl\u00edcitamente las plataformas CI\/CD como terceros ICT,<\/li>\n\n\n\n<li>aplican controles mediante la configuraci\u00f3n del pipeline,<\/li>\n\n\n\n<li>alinean los contratos con la realidad t\u00e9cnica,<\/li>\n\n\n\n<li>generan evidencia continua e inmutable.<\/li>\n<\/ul>\n\n\n\n<p>Lo m\u00e1s importante, tratan la seguridad CI\/CD como <strong>parte de la gobernanza del riesgo de terceros<\/strong>, no solo como herramientas DevOps.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusi\u00f3n Clave<\/strong><\/h2>\n\n\n\n<p>Los pipelines CI\/CD son de las <strong>fuentes m\u00e1s comunes de hallazgos de auditor\u00eda del Art\u00edculo 28<\/strong>.<\/p>\n\n\n\n<p>Se\u00f1ales de alerta como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>falta de estrategias de salida,<\/li>\n\n\n\n<li>aislamiento deficiente,<\/li>\n\n\n\n<li>ausencia de derechos de auditor\u00eda,<\/li>\n\n\n\n<li>retenci\u00f3n insuficiente de evidencias<\/li>\n<\/ul>\n\n\n\n<p>indican un riesgo de terceros no gestionado.<\/p>\n\n\n\n<p>Abordar estos problemas a tiempo transforma los pipelines CI\/CD de pasivos de auditor\u00eda en <strong>activos s\u00f3lidos de cumplimiento<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Contenido Relacionado<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/third-party-risk-in-ci-cd-pipelines-under-dora-article-28\/\" data-type=\"post\" data-id=\"368\">Third-Party Risk in CI\/CD Pipelines under DORA Article 28<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/dora-article-28-evidence-pack-what-to-show-auditors\/\" data-type=\"post\" data-id=\"347\">DORA Article 28 Evidence Pack \u2014 What to Show Auditors<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/dora-article-28-architecture-third-party-risk-controls-across-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"364\">DORA Article 28 Architecture: Third-Party Risk Controls Across CI\/CD Pipelines<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/ci-cd-audit-red-flags-what-immediately-raises-auditor-concerns\/\" data-type=\"post\" data-id=\"264\">CI\/CD Audit Red Flags<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Los fallos del DORA Art\u00edculo 28 provienen de debilidades ocultas en pipelines CI\/CD con alta dependencia de terceros. Este art\u00edculo destaca las se\u00f1ales de alerta m\u00e1s comunes: sin plan de salida, runners compartidos, sin visibilidad de subprocesadores, sin derechos de auditor\u00eda y sin retenci\u00f3n de evidencias.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[132,135],"tags":[],"post_folder":[],"class_list":["post-1985","post","type-post","status-publish","format-standard","hentry","category-ci-cd-governance-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1985","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1985"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1985\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1985"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1985"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1985"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1985"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}