Este art\u00edculo conecta las obligaciones del Art\u00edculo 28 de DORA con controles t\u00e9cnicos concretos y la evidencia que los auditores esperan verificar. Une dos perspectivas complementarias:<\/p>\n\n\n\n
El objetivo es eliminar la ambig\u00fcedad entre el texto regulatorio, las herramientas, la gobernanza y el cumplimiento \u2014 y proporcionar una referencia \u00fanica para la preparaci\u00f3n de auditor\u00edas y el cumplimiento continuo.<\/p>\n\n\n\n
Requisito del Art\u00edculo 28:<\/strong> Las entidades financieras deber\u00e1n identificar y mantener un inventario de todos los proveedores de servicios ICT de terceros.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Los proveedores ICT de terceros deber\u00e1n clasificarse seg\u00fan la criticidad y el riesgo.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Se deber\u00e1n realizar evaluaciones de riesgo antes de entrar en acuerdos contractuales.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Los contratos deber\u00e1n incluir disposiciones m\u00ednimas de seguridad, auditor\u00eda y salida.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> El acceso a los servicios ICT deber\u00e1 controlarse apropiadamente.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Los controles deber\u00e1n prevenir cambios no autorizados y garantizar la integridad.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Los riesgos ICT de terceros deber\u00e1n monitorizarse continuamente.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Los riesgos derivados de las cadenas de subcontrataci\u00f3n deber\u00e1n gestionarse.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> Las estrategias de salida deber\u00e1n garantizar la continuidad en caso de fallo del proveedor.<\/p>\n\n\n\n Requisito del Art\u00edculo 28:<\/strong> La evidencia deber\u00e1 estar disponible, protegida y conservada.<\/p>\n\n\n\n La siguiente secci\u00f3n mapea las herramientas comunes de DevSecOps empresarial a los controles que aplican y la evidencia que producen bajo el Art\u00edculo 28 de DORA.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> GitHub Enterprise, GitLab, Bitbucket<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Las plataformas Git son proveedores ICT de terceros que influyen en la integridad del c\u00f3digo.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> GitHub Actions, GitLab CI, Jenkins (gestionado), Azure DevOps Pipelines<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Las plataformas CI\/CD SaaS deben gobernarse como proveedores ICT cr\u00edticos.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> Snyk, Dependency-Check, Mend, GitHub Dependabot, Syft \/ CycloneDX<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Proporciona visibilidad sobre los riesgos de software de terceros y los subprocesadores.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> Artifactory, Nexus, registros Docker, registros de contenedores en la nube<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Protege la integridad de los entregables proporcionados por sistemas de terceros.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> AWS \/ Azure \/ GCP, plataformas Kubernetes, servicios PaaS gestionados<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Los proveedores de nube son proveedores de servicios ICT de terceros cr\u00edticos.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> HashiCorp Vault, gestores de secretos nativos de la nube, almacenes de secretos CI\/CD<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Controla el acceso a datos sensibles gestionados por plataformas de terceros.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> Splunk, Elastic, Datadog, logging nativo de la nube<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Apoya las obligaciones de monitorizaci\u00f3n continua y evidencia de incidentes.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> IAM empresarial, IAM en la nube, plataformas SSO<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Garantiza el acceso controlado a las plataformas ICT de terceros.<\/p>\n\n\n\n Herramientas t\u00edpicas:<\/strong> Plataformas GRC, CMDB, registros de riesgos<\/p>\n\n\n\n Relevancia para el Art\u00edculo 28:<\/strong> Proporciona la columna vertebral de gobernanza para la gesti\u00f3n de riesgos ICT de terceros.<\/p>\n\n\n\n Bajo el Art\u00edculo 28 de DORA:<\/p>\n\n\n\n Las herramientas son aceptables solo si aplican controles y generan evidencia verificable.<\/p>\n\n\n\n Los auditores t\u00edpicamente:<\/p>\n\n\n\n Cualquier eslab\u00f3n faltante entre obligaci\u00f3n \u2192 control \u2192 evidencia, o entre herramienta \u2192 control \u2192 evidencia, es un hallazgo potencial. Si un control no puede producir evidencia, se considera ineficaz.<\/p>\n\n\n\n El cumplimiento del Art\u00edculo 28 de DORA se logra cuando cada requisito regulatorio es trazable a controles, y cada control produce evidencia \u2014 independientemente de qu\u00e9 herramientas se utilicen.<\/p>\n\n\n\n Este doble mapeo (por obligaci\u00f3n y por herramienta) proporciona la columna vertebral para:<\/p>\n\n\n\n Un entorno CI\/CD alineado con DORA es aquel donde cada herramienta de terceros est\u00e1 gobernada, cada control se aplica t\u00e9cnicamente y cada control produce evidencia autom\u00e1ticamente.<\/p>\n\n\n\nControles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Inventario centralizado de proveedores ICT<\/td> Exportaci\u00f3n del registro de proveedores<\/td><\/tr> Registro obligatorio de herramientas CI\/CD, nube y SaaS<\/td> Registros de inventario incluyendo herramientas CI\/CD<\/td><\/tr> Mapeo de propiedad y negocio<\/td> Mapeo proveedor \u2192 servicio de negocio<\/td><\/tr> Revisi\u00f3n peri\u00f3dica del inventario<\/td> Actas \/ registros de reuniones de revisi\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 2. Clasificaci\u00f3n de Criticidad<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Marco de clasificaci\u00f3n de proveedores basado en riesgo<\/td> Metodolog\u00eda de clasificaci\u00f3n<\/td><\/tr> Identificaci\u00f3n de proveedores ICT cr\u00edticos<\/td> Lista de proveedores cr\u00edticos<\/td><\/tr> Herramientas CI\/CD clasificadas cuando soportan servicios cr\u00edticos<\/td> Mapeo CI\/CD \u2192 servicio<\/td><\/tr> Escalada de gobernanza para proveedores cr\u00edticos<\/td> Registros del comit\u00e9 de riesgo<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 3. Diligencia Debida Pre-Contractual<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Proceso de diligencia debida en seguridad<\/td> Informes de diligencia debida<\/td><\/tr> Evaluaci\u00f3n de riesgo que cubre riesgo ICT y operacional<\/td> Documentos de evaluaci\u00f3n de riesgo<\/td><\/tr> Revisi\u00f3n de divulgaci\u00f3n de subprocesadores<\/td> Divulgaciones del proveedor<\/td><\/tr> Aprobaci\u00f3n formal antes de la incorporaci\u00f3n<\/td> Registros de aprobaci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 4. Salvaguardas Contractuales<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Cl\u00e1usulas contractuales est\u00e1ndar para proveedores ICT<\/td> Extractos de cl\u00e1usulas del contrato<\/td><\/tr> Derechos de auditor\u00eda e inspecci\u00f3n<\/td> Contratos firmados<\/td><\/tr> SLAs de notificaci\u00f3n de incidentes<\/td> Documentaci\u00f3n de SLA<\/td><\/tr> Obligaciones de retenci\u00f3n de evidencia<\/td> T\u00e9rminos del contrato<\/td><\/tr> Cl\u00e1usulas de salida y terminaci\u00f3n<\/td> Disposiciones de salida<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 5. Control de Acceso y Segregaci\u00f3n de Funciones<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Control de acceso basado en roles (RBAC)<\/td> Exportaciones de configuraci\u00f3n IAM<\/td><\/tr> Segregaci\u00f3n de funciones en CI\/CD<\/td> Matriz de acceso<\/td><\/tr> Monitorizaci\u00f3n de acceso privilegiado<\/td> Registros de acceso<\/td><\/tr> Revisiones peri\u00f3dicas de acceso<\/td> Informes de revisi\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 6. Controles de Aplicaci\u00f3n CI\/CD<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Aprobaciones obligatorias y puertas de pol\u00edtica<\/td> Configuraciones de pipeline<\/td><\/tr> Aplicaci\u00f3n de pol\u00edtica como c\u00f3digo<\/td> Definiciones de pol\u00edtica<\/td><\/tr> Runners CI\/CD controlados<\/td> Configuraci\u00f3n de runner<\/td><\/tr> Protecci\u00f3n de integridad de artefactos<\/td> SBOM, informes de firma<\/td><\/tr> Trazabilidad de cambios<\/td> Registros de auditor\u00eda CI\/CD<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 7. Monitorizaci\u00f3n y Gesti\u00f3n de Incidentes<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Monitorizaci\u00f3n continua de servicios ICT<\/td> Paneles de monitorizaci\u00f3n<\/td><\/tr> Alertas sobre fallos de terceros<\/td> Registros de alertas<\/td><\/tr> Seguimiento de incidentes<\/td> Tickets de incidentes<\/td><\/tr> Procedimientos de escalada de incidentes<\/td> Flujos de trabajo de incidentes<\/td><\/tr> Revisiones post-incidente<\/td> Informes RCA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 8. Gobernanza de Subprocesadores<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Visibilidad de los subprocesadores<\/td> Divulgaciones del proveedor<\/td><\/tr> Proceso de aprobaci\u00f3n de subprocesadores<\/td> Registros de aprobaci\u00f3n<\/td><\/tr> Evaluaciones de riesgo para subprocesadores<\/td> Informes de riesgo<\/td><\/tr> Monitorizaci\u00f3n de cambios en subprocesadores<\/td> Notificaciones de cambios<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 9. Estrategia de Salida y Resiliencia<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Estrategias de salida documentadas<\/td> Planes de salida<\/td><\/tr> Evaluaciones de viabilidad<\/td> Informes de viabilidad<\/td><\/tr> Pruebas de salida o alternativas<\/td> Informes de prueba<\/td><\/tr> Revisi\u00f3n peri\u00f3dica de planes de salida<\/td> Registros de revisi\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 10. Gesti\u00f3n y Retenci\u00f3n de Evidencia<\/h3>\n\n\n\n
Controles implementados<\/th> Evidencia producida<\/th><\/tr><\/thead> Repositorio centralizado de evidencia<\/td> Almacenamiento de evidencia<\/td><\/tr> Registros con marca de tiempo e inmutables<\/td> Configuraci\u00f3n de logging<\/td><\/tr> Pol\u00edticas de retenci\u00f3n aplicadas<\/td> Documentos de pol\u00edtica de retenci\u00f3n<\/td><\/tr> Acceso controlado a la evidencia<\/td> Registros de acceso<\/td><\/tr> Producci\u00f3n de evidencia bajo demanda<\/td> Extractos de auditor\u00eda<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\nMapeo por Categor\u00eda de Herramientas<\/h2>\n\n\n\n
1. Gesti\u00f3n de C\u00f3digo Fuente (Plataformas Git)<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Control de acceso basado en roles<\/td> Registros de acceso al repositorio<\/td><\/tr> Segregaci\u00f3n de funciones (PR vs. fusi\u00f3n)<\/td> Reglas de rama protegida<\/td><\/tr> Revisiones y aprobaciones obligatorias<\/td> Historial de pull requests<\/td><\/tr> Trazabilidad de cambios<\/td> Historial de commits<\/td><\/tr> Gobernanza de acceso de terceros<\/td> Registros de auditor\u00eda de usuarios y tokens<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 2. Plataformas de Orquestaci\u00f3n CI\/CD<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Puertas de aprobaci\u00f3n del pipeline<\/td> Exportaciones de configuraci\u00f3n de pipeline<\/td><\/tr> Aplicaci\u00f3n de pol\u00edtica como c\u00f3digo<\/td> Definiciones de pol\u00edtica<\/td><\/tr> Entornos de ejecuci\u00f3n controlados<\/td> Configuraci\u00f3n de runner<\/td><\/tr> Tokens de pipeline con m\u00ednimo privilegio<\/td> Configuraci\u00f3n de alcance de tokens<\/td><\/tr> Registro de cambios del pipeline<\/td> Registros de auditor\u00eda CI\/CD<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 3. Seguridad de Compilaci\u00f3n y Dependencias (SCA \/ SBOM)<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> An\u00e1lisis de riesgo de dependencias<\/td> Informes SCA<\/td><\/tr> Generaci\u00f3n de SBOM<\/td> Archivos SBOM<\/td><\/tr> Seguimiento de procedencia<\/td> Metadatos de compilaci\u00f3n<\/td><\/tr> Monitorizaci\u00f3n de vulnerabilidades<\/td> Alertas e informes<\/td><\/tr> Transparencia de la cadena de suministro<\/td> Inventarios de dependencias<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 4. Repositorios y Registros de Artefactos<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Control de acceso a artefactos<\/td> Registros de acceso al repositorio<\/td><\/tr> Inmutabilidad de artefactos<\/td> Configuraci\u00f3n del repositorio<\/td><\/tr> Firma de artefactos<\/td> Verificaci\u00f3n de firmas<\/td><\/tr> Verificaci\u00f3n de procedencia<\/td> Registros de attestation<\/td><\/tr> Pol\u00edticas de retenci\u00f3n<\/td> Configuraci\u00f3n de retenci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 5. Plataformas en Tiempo de Ejecuci\u00f3n y Nube<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> IAM y separaci\u00f3n de roles<\/td> Exportaciones de pol\u00edtica IAM<\/td><\/tr> Aislamiento de red<\/td> Configuraciones de grupos de seguridad<\/td><\/tr> Monitorizaci\u00f3n en tiempo de ejecuci\u00f3n<\/td> Registros y m\u00e9tricas<\/td><\/tr> Detecci\u00f3n de incidentes<\/td> Alertas<\/td><\/tr> Monitorizaci\u00f3n de disponibilidad<\/td> Informes de SLA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 6. Gesti\u00f3n de Secretos<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Almacenamiento centralizado de secretos<\/td> Inventario de secretos<\/td><\/tr> Restricci\u00f3n de acceso<\/td> Registros de acceso<\/td><\/tr> Rotaci\u00f3n de secretos<\/td> Registros de rotaci\u00f3n<\/td><\/tr> Prevenci\u00f3n de secretos codificados<\/td> Informes de an\u00e1lisis<\/td><\/tr> Auditabilidad<\/td> Rastros de acceso a secretos<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 7. Monitorizaci\u00f3n, Logging y SIEM<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Recolecci\u00f3n centralizada de registros<\/td> Registros de ingesta de logs<\/td><\/tr> Monitorizaci\u00f3n de servicios de terceros<\/td> Paneles<\/td><\/tr> Alertas sobre incidentes<\/td> Registros de alertas<\/td><\/tr> Correlaci\u00f3n de incidentes<\/td> Tickets de incidentes<\/td><\/tr> Retenci\u00f3n de evidencia<\/td> Pol\u00edticas de retenci\u00f3n<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 8. Gesti\u00f3n de Identidades y Accesos (IAM)<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Gesti\u00f3n centralizada de identidades<\/td> Inventarios de usuarios<\/td><\/tr> Aplicaci\u00f3n de MFA<\/td> Registros de autenticaci\u00f3n<\/td><\/tr> Separaci\u00f3n de roles<\/td> Definiciones de roles<\/td><\/tr> Revisiones de acceso<\/td> Registros de revisi\u00f3n<\/td><\/tr> Revocaci\u00f3n de acceso<\/td> Registros de baja<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n 9. Plataformas de Gobernanza y Gesti\u00f3n de Riesgos<\/h3>\n\n\n\n
Controles aplicados<\/th> Evidencia producida<\/th><\/tr><\/thead> Inventario de proveedores<\/td> Registros de proveedores<\/td><\/tr> Evaluaciones de riesgo<\/td> Informes de riesgo<\/td><\/tr> Clasificaci\u00f3n de criticidad<\/td> Registros de clasificaci\u00f3n<\/td><\/tr> Propiedad de controles<\/td> Documentaci\u00f3n RACI<\/td><\/tr> Preparaci\u00f3n de auditor\u00edas<\/td> Repositorios de evidencia<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Visi\u00f3n de Extremo a Extremo<\/h2>\n\n\n\n
\n
C\u00f3mo Utilizan los Auditores este Mapeo<\/h2>\n\n\n\n
\n
Conclusi\u00f3n Clave<\/h2>\n\n\n\n
\n
\n\n\n\nContenido Relacionado Recomendado<\/h2>\n\n\n\n
\n
\n\n\n