{"id":2035,"date":"2026-01-31T15:18:12","date_gmt":"2026-01-31T14:18:12","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/articulo-28-de-dora-explicado-gestion-del-riesgo-ict-de-terceros-en-entornos-ci-cd-y-cloud\/"},"modified":"2026-03-26T09:33:39","modified_gmt":"2026-03-26T08:33:39","slug":"articulo-28-de-dora-explicado-gestion-del-riesgo-ict-de-terceros-en-entornos-ci-cd-y-cloud","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/articulo-28-de-dora-explicado-gestion-del-riesgo-ict-de-terceros-en-entornos-ci-cd-y-cloud\/","title":{"rendered":"Art\u00edculo 28 de DORA Explicado: Gesti\u00f3n del Riesgo ICT de Terceros en Entornos CI\/CD y Cloud"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Introducci\u00f3n<\/strong><\/h2>\n\n\n\n<p>El Digital Operational Resilience Act (DORA) introduce un marco integral para fortalecer la resiliencia digital de las entidades financieras en toda la Uni\u00f3n Europea. Si bien el <strong>Art\u00edculo 21<\/strong> recibe gran atenci\u00f3n por su enfoque en la gesti\u00f3n interna del riesgo ICT, el <strong>Art\u00edculo 28 desplaza el foco hacia el exterior<\/strong>, abordando los riesgos introducidos por <strong>proveedores de servicios ICT de terceros<\/strong>.<\/p>\n\n\n\n<p>En los entornos empresariales modernos, la entrega de software depende en gran medida de plataformas externas como proveedores de cloud, herramientas CI\/CD SaaS, servicios de alojamiento de c\u00f3digo fuente y soluciones de seguridad gestionadas. El Art\u00edculo 28 de DORA lleva formalmente estas dependencias al \u00e1mbito de aplicaci\u00f3n, exigiendo a las organizaciones que <strong>identifiquen, eval\u00faen, controlen y monitoreen continuamente los riesgos ICT de terceros<\/strong>.<\/p>\n\n\n\n<p>Este art\u00edculo explica <strong>qu\u00e9 requiere realmente el Art\u00edculo 28 de DORA<\/strong>, por qu\u00e9 <strong>los pipelines CI\/CD y las herramientas DevSecOps se ven directamente impactados<\/strong>, y c\u00f3mo deben abordar el cumplimiento las organizaciones en entornos regulados.<\/p>\n\n\n\n<!-- GeneratePress Inline SVG \u2013 Regulated DevSecOps -->\n<figure class=\"gp-rds-diagram\">\n<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\"\n     viewBox=\"0 0 1200 640\"\n     role=\"img\"\n     aria-labelledby=\"title desc\"\n     data-theme=\"light\">\n  <title id=\"title\">DORA Article 28 Architecture (CI\/CD + Cloud Third-Party Risk)<\/title>\n  <desc id=\"desc\">\n    Architecture view mapping CI\/CD and cloud delivery stages to third-party ICT providers,\n    with DORA Article 28 cross-cutting controls and expected evidence.\n  <\/desc>\n\n  <style>\n    :root{\n      --bg:transparent;\n      --text:#0f172a;\n      --muted:#475569;\n      --stroke:#cbd5e1;\n      --card:#ffffff;\n\n      --accent:#2563eb;\n      --accentSoft:#dbeafe;\n\n      --sec:#7c3aed;\n      --secSoft:#ede9fe;\n\n      --evidence:#059669;\n      --evidenceSoft:#d1fae5;\n\n      --warn:#b45309;\n      --warnSoft:#ffedd5;\n    }\n\n    svg[data-theme=\"dark\"]{\n      --text:#e5e7eb;\n      --muted:#9ca3af;\n      --stroke:#374151;\n      --card:#0b1220;\n\n      --accent:#60a5fa;\n      --accentSoft:#0b2a55;\n\n      --sec:#a78bfa;\n      --secSoft:#2a144d;\n\n      --evidence:#34d399;\n      --evidenceSoft:#063a2c;\n\n      --warn:#f59e0b;\n      --warnSoft:#3b2a07;\n    }\n\n    .txt{font-family:ui-sans-serif,system-ui,-apple-system,Segoe UI,Roboto,Arial;}\n    .title{font-weight:800;font-size:22px;fill:var(--text);}\n    .sub{font-weight:500;font-size:14px;fill:var(--muted);}\n    .label{font-weight:800;font-size:12px;fill:var(--text);letter-spacing:.02em;}\n    .small{font-weight:600;font-size:11px;fill:var(--muted);}\n\n    .card{fill:var(--card);stroke:var(--stroke);stroke-width:1.5;rx:14;}\n    .panel{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:14;stroke-dasharray:6 6;}\n    .chip{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:7;}\n    .chipText{font-weight:800;font-size:11px;fill:var(--text);}\n    .sec .chip{stroke:var(--sec);fill:var(--secSoft);}\n    .ev .chip{stroke:var(--evidence);fill:var(--evidenceSoft);}\n    .warn .chip{stroke:var(--warn);fill:var(--warnSoft);}\n\n    .band{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:14;stroke-dasharray:6 6;}\n    .bandTitle{font-weight:900;font-size:12px;fill:var(--muted);letter-spacing:.06em;}\n\n    .flow{fill:none;stroke:var(--stroke);stroke-width:2.5;stroke-linecap:round;stroke-linejoin:round;}\n    .arrow{marker-end:url(#arrow);}\n    .link{fill:none;stroke:var(--accent);stroke-width:2.5;stroke-linecap:round;stroke-dasharray:7 7;opacity:.85;}\n  <\/style>\n\n  <defs>\n    <marker id=\"arrow\" viewBox=\"0 0 10 10\" refX=\"9.2\" refY=\"5\" markerWidth=\"7\" markerHeight=\"7\" orient=\"auto\">\n      <path d=\"M0 0 L10 5 L0 10 Z\" fill=\"var(--stroke)\"\/>\n    <\/marker>\n  <\/defs>\n\n  <!-- Header -->\n  <text class=\"txt title\" x=\"40\" y=\"48\">DORA Article 28 Architecture<\/text>\n  <text class=\"txt sub\" x=\"40\" y=\"74\">Third-party ICT risk controls across CI\/CD and cloud delivery (inventory \u2022 contracts \u2022 monitoring \u2022 exit \u2022 evidence).<\/text>\n\n  <!-- Cross-cutting controls band -->\n  <g transform=\"translate(40,92)\">\n    <rect class=\"band\" x=\"0\" y=\"0\" width=\"1120\" height=\"62\"\/>\n    <text class=\"txt bandTitle\" x=\"10\" y=\"36\">ARTICLE 28 CROSS-CUTTING CONTROLS<\/text>\n\n    <g class=\"sec\" transform=\"translate(300,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"180\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"90\" y=\"20\" text-anchor=\"middle\">Supplier inventory &amp; criticality<\/text>\n    <\/g>\n\n    <g class=\"sec\" transform=\"translate(490,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"160\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"80\" y=\"20\" text-anchor=\"middle\">Contract clauses<\/text>\n    <\/g>\n\n    <g class=\"sec\" transform=\"translate(660,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"150\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"75\" y=\"20\" text-anchor=\"middle\">Subprocessors<\/text>\n    <\/g>\n\n    <g class=\"ev\" transform=\"translate(820,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"140\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"70\" y=\"20\" text-anchor=\"middle\">Monitoring<\/text>\n    <\/g>\n\n    <g class=\"warn\" transform=\"translate(970,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"130\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"65\" y=\"20\" text-anchor=\"middle\">Exit strategy<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- Panels -->\n  <g transform=\"translate(40,170)\">\n    <rect class=\"panel\" x=\"0\" y=\"0\" width=\"725\" height=\"370\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"28\">INTERNAL DELIVERY CHAIN (YOUR CONTROL PLANE)<\/text>\n\n    <rect class=\"panel\" x=\"740\" y=\"0\" width=\"380\" height=\"370\"\/>\n    <text class=\"txt label\" x=\"758\" y=\"28\">THIRD-PARTY ICT PROVIDERS (ARTICLE 28 SCOPE)<\/text>\n\n    <rect class=\"panel\" x=\"0\" y=\"380\" width=\"1120\" height=\"80\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"408\">EXPECTED EVIDENCE (AUDIT-READY OUTPUTS)<\/text>\n  <\/g>\n\n  <!-- Internal cards -->\n  <g transform=\"translate(70,220)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">1. PLAN<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Threat model \u2022 Risk<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Third-party risk assessment<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(300,220)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">2. CODE<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">PR \u2022 Review<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Access + SoD boundaries<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(530,220)\">\n    <rect class=\"card\" width=\"220\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">3. BUILD<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">CI \u2022 Artifacts<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"188\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"94\" y=\"20\" text-anchor=\"middle\">SCA + SBOM + Signing<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(70,380)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">4. TEST<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">QA \u2022 Staging<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Security validation gates<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(300,380)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">5. RELEASE<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Approvals \u2022 Policy<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Contract-backed enforcement<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(530,380)\">\n    <rect class=\"card\" width=\"220\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">6. DEPLOY &amp; RUN<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Cloud \u2022 Runtime<\/text>\n    <g class=\"ev\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"188\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"94\" y=\"20\" text-anchor=\"middle\">Monitoring + incident evidence<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- INTERNAL FLOW -->\n  <path class=\"flow arrow\" d=\"M 280 280 L 300 280\"\/>\n  <path class=\"flow arrow\" d=\"M 510 280 L 530 280\"\/>\n  <path class=\"flow arrow\"\n        d=\"M 640 340\n           L 640 340\n           C 640 350  620 352  600 352\n           L 180 352\n           C 170 352  170 382  170 370\n           L 170 380\"\/>\n  <path class=\"flow arrow\" d=\"M 280 440 L 300 440\"\/>\n  <path class=\"flow arrow\" d=\"M 510 440 L 530 440\"\/>\n\n  <!-- Third-party provider cards -->\n  <g transform=\"translate(810,220)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Git \/ Source Hosting (SaaS)<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Identity \u2022 Branch protection \u2022 Audit logs<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,300)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">CI\/CD Platform + Runners<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Build isolation \u2022 Token scope \u2022 Runner governance<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,380)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Registries + Dependencies<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Artifacts \u2022 Containers \u2022 Mirrors \u2022 SBOM tooling<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,460)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Cloud Runtime + Observability<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Availability \u2022 DR \u2022 Logs\/Traces \u2022 SIEM integration<\/text>\n  <\/g>\n\n  <!-- Evidence chips -->\n  <g transform=\"translate(60,585)\" class=\"ev\">\n    <rect class=\"chip\" width=\"200\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"100\" y=\"22\" text-anchor=\"middle\">Supplier inventory + tiering<\/text>\n  <\/g>\n\n  <g transform=\"translate(275,585)\" class=\"sec\">\n    <rect class=\"chip\" width=\"210\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"105\" y=\"22\" text-anchor=\"middle\">Contract clauses + audit rights<\/text>\n  <\/g>\n\n  <g transform=\"translate(500,585)\" class=\"sec\">\n    <rect class=\"chip\" width=\"190\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"95\" y=\"22\" text-anchor=\"middle\">SBOM + provenance + signing<\/text>\n  <\/g>\n\n  <g transform=\"translate(705,585)\" class=\"ev\">\n    <rect class=\"chip\" width=\"220\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"110\" y=\"22\" text-anchor=\"middle\">Access logs + pipeline audit trails<\/text>\n  <\/g>\n\n  <g transform=\"translate(940,585)\" class=\"warn\">\n    <rect class=\"chip\" width=\"210\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"105\" y=\"22\" text-anchor=\"middle\">Exit plan + DR\/BCP test evidence<\/text>\n  <\/g>\n\n  <!-- DASHED LINKS -->\n  <path  class=\"link\" d=\"M 398 220 C 400 221 393 205 413 204 C 452 202 684 206 739 206 C 794 206 748 250 789 251 C 830 252 800 252 800 252\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n  <path  class=\"link\" d=\"M 747 270 C 782 258 785 342 811 334\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n  <path  class=\"link\" d=\"M 748 270 C 803 257 758 418 810 417\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n  <path  class=\"link\" d=\"M 748 435 C 782 425 787 509 811 494\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n\n<\/svg>\n\n  <figcaption class=\"gp-rds-caption\">\n    Vista arquitect\u00f3nica que mapea las etapas de entrega CI\/CD y cloud con los proveedores ICT de terceros,\n    mostrando los controles transversales del Art\u00edculo 28 de DORA y la evidencia esperada.\n  <\/figcaption>\n<\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 Cubre el Art\u00edculo 28 de DORA<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 28 de DORA establece un marco estructurado para la <strong>gesti\u00f3n del riesgo ICT de terceros<\/strong>. Su objetivo es garantizar que las entidades financieras mantengan la resiliencia operacional incluso cuando servicios cr\u00edticos son prestados por proveedores externos.<\/p>\n\n\n\n<p>A grandes rasgos, el Art\u00edculo 28 exige a las organizaciones:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Identificar y mantener un inventario de proveedores de servicios ICT de terceros<\/li>\n\n\n\n<li>Clasificar a los proveedores seg\u00fan su criticidad y riesgo<\/li>\n\n\n\n<li>Realizar diligencia debida antes de la incorporaci\u00f3n<\/li>\n\n\n\n<li>Definir cl\u00e1usulas obligatorias de seguridad y auditor\u00eda en los contratos<\/li>\n\n\n\n<li>Monitorear continuamente los riesgos de terceros<\/li>\n\n\n\n<li>Gestionar el riesgo de concentraci\u00f3n y las cadenas de dependencia<\/li>\n\n\n\n<li>Preparar y probar estrategias de salida<\/li>\n<\/ul>\n\n\n\n<p>A diferencia de los enfoques tradicionales de gesti\u00f3n de proveedores, el Art\u00edculo 28 de DORA trata a los proveedores ICT como <strong>componentes integrales del panorama de riesgo operacional<\/strong>, no como preocupaciones perif\u00e9ricas de externalizaci\u00f3n.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Por Qu\u00e9 CI\/CD y DevSecOps Est\u00e1n Expl\u00edcitamente en el Alcance<\/strong><\/h2>\n\n\n\n<p>Aunque DORA no menciona CI\/CD o DevSecOps expl\u00edcitamente, <strong>el Art\u00edculo 28 claramente les aplica en la pr\u00e1ctica<\/strong>.<\/p>\n\n\n\n<p>Los pipelines CI\/CD modernos dependen de m\u00faltiples servicios ICT de terceros, entre ellos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plataformas de alojamiento de c\u00f3digo fuente (por ejemplo, Git hosting SaaS)<\/li>\n\n\n\n<li>Plataformas de orquestaci\u00f3n CI\/CD<\/li>\n\n\n\n<li>Build runners y entornos de ejecuci\u00f3n gestionados<\/li>\n\n\n\n<li>Repositorios de artefactos y registros de contenedores<\/li>\n\n\n\n<li>Gesti\u00f3n de dependencias y ecosistemas de paquetes<\/li>\n\n\n\n<li>Infraestructura cloud y servicios de tiempo de ejecuci\u00f3n gestionados<\/li>\n<\/ul>\n\n\n\n<p>Cada uno de estos servicios puede afectar a:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La integridad del c\u00f3digo<\/li>\n\n\n\n<li>La seguridad de la cadena de suministro de software<\/li>\n\n\n\n<li>La disponibilidad de los pipelines de entrega<\/li>\n\n\n\n<li>Los plazos de respuesta a incidentes<\/li>\n\n\n\n<li>La evidencia y auditabilidad<\/li>\n<\/ul>\n\n\n\n<p>Bajo el Art\u00edculo 28, estas plataformas deben tratarse como <strong>proveedores de servicios ICT de terceros<\/strong>, y sus riesgos deben gestionarse con el mismo rigor que los sistemas internos.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Clasificaci\u00f3n y Criticidad de Terceros ICT<\/strong><\/h2>\n\n\n\n<p>Un requisito clave del Art\u00edculo 28 es la <strong>clasificaci\u00f3n de los proveedores ICT de terceros<\/strong>.<\/p>\n\n\n\n<p>Las organizaciones deben evaluar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si un proveedor soporta funciones cr\u00edticas o importantes<\/li>\n\n\n\n<li>El impacto potencial de un fallo del proveedor<\/li>\n\n\n\n<li>El nivel de sustituibilidad<\/li>\n\n\n\n<li>La dependencia de subcontratistas y cuartas partes<\/li>\n<\/ul>\n\n\n\n<p>En contextos CI\/CD, las plataformas que influyen directamente en el c\u00f3digo, las builds o los despliegues se clasifican frecuentemente como <strong>proveedores ICT de alto impacto o cr\u00edticos<\/strong>, incluso si son servicios SaaS ampliamente utilizados.<\/p>\n\n\n\n<p>Esta clasificaci\u00f3n determina la profundidad de los controles requeridos, incluyendo cl\u00e1usulas contractuales, derechos de auditor\u00eda y obligaciones de monitoreo.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Requisitos Contractuales y de Gobernanza<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 28 pone un fuerte \u00e9nfasis en la <strong>gobernanza contractual<\/strong>.<\/p>\n\n\n\n<p>Los contratos con proveedores ICT de terceros deben incluir disposiciones que cubran:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Requisitos de seguridad de la informaci\u00f3n<\/li>\n\n\n\n<li>Control de acceso y segregaci\u00f3n de funciones<\/li>\n\n\n\n<li>Plazos de notificaci\u00f3n de incidentes<\/li>\n\n\n\n<li>Derechos de auditor\u00eda e inspecci\u00f3n<\/li>\n\n\n\n<li>Restricciones sobre la ubicaci\u00f3n y el procesamiento de datos<\/li>\n\n\n\n<li>Continuidad del negocio y recuperaci\u00f3n ante desastres<\/li>\n\n\n\n<li>Condiciones de salida y terminaci\u00f3n<\/li>\n<\/ul>\n\n\n\n<p>Para las herramientas CI\/CD y DevSecOps, esto significa que los contratos deben abordar expl\u00edcitamente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Seguridad de los entornos de build y despliegue<\/li>\n\n\n\n<li>Protecci\u00f3n contra inyecci\u00f3n no autorizada de c\u00f3digo<\/li>\n\n\n\n<li>Retenci\u00f3n de evidencia para fines de auditor\u00eda<\/li>\n\n\n\n<li>Transparencia sobre subcontratistas e infraestructura compartida<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Monitoreo Continuo y Recopilaci\u00f3n de Evidencia<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 28 de DORA no permite una gesti\u00f3n del riesgo de proveedores del tipo \u00abconfigurar y olvidar\u00bb.<\/p>\n\n\n\n<p>Se espera que las organizaciones:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Monitoreen continuamente el rendimiento y la seguridad de los terceros ICT<\/li>\n\n\n\n<li>Rastreen los incidentes que involucren servicios de terceros<\/li>\n\n\n\n<li>Mantengan evidencia auditable de las actividades de supervisi\u00f3n<\/li>\n\n\n\n<li>Reeval\u00faen los perfiles de riesgo con el tiempo<\/li>\n<\/ul>\n\n\n\n<p>En entornos CI\/CD, esto incluye t\u00edpicamente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Logs de plataformas CI\/CD de terceros<\/li>\n\n\n\n<li>Registros de acceso y actividad<\/li>\n\n\n\n<li>Evidencia de integridad de artefactos (firmas, SBOMs)<\/li>\n\n\n\n<li>Informes de incidentes que involucren servicios externos<\/li>\n\n\n\n<li>Registros de cambios y aprobaciones vinculados a herramientas proporcionadas por terceros<\/li>\n<\/ul>\n\n\n\n<p>Este requisito se alinea estrechamente con las pr\u00e1cticas DevSecOps que enfatizan la <strong>automatizaci\u00f3n, la trazabilidad y la gobernanza basada en evidencia<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Estrategias de Salida y Riesgo de Concentraci\u00f3n<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 28 exige expl\u00edcitamente que las organizaciones preparen <strong>estrategias de salida<\/strong> para los servicios ICT de terceros.<\/p>\n\n\n\n<p>Esto incluye:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La capacidad de rescindir contratos sin interrupci\u00f3n inaceptable<\/li>\n\n\n\n<li>Planes de migraci\u00f3n a proveedores alternativos<\/li>\n\n\n\n<li>Controles para evitar un riesgo de concentraci\u00f3n excesivo<\/li>\n<\/ul>\n\n\n\n<p>En la pr\u00e1ctica, este es uno de los aspectos m\u00e1s desafiantes del cumplimiento del Art\u00edculo 28, especialmente para las plataformas CI\/CD y cloud donde el bloqueo de proveedores es com\u00fan.<\/p>\n\n\n\n<p>Las organizaciones deben demostrar que:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los pipelines de entrega cr\u00edticos no dependen de un \u00fanico proveedor sin mitigaci\u00f3n<\/li>\n\n\n\n<li>Los planes de salida est\u00e1n documentados, son realistas y se revisan peri\u00f3dicamente<\/li>\n\n\n\n<li>Las dependencias de subprocesadores se comprenden y gestionan<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Relaci\u00f3n con el Art\u00edculo 21 de DORA<\/strong><\/h2>\n\n\n\n<p>El Art\u00edculo 28 de DORA no opera de forma aislada. <strong>Extiende y complementa el Art\u00edculo 21<\/strong>.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El <strong>Art\u00edculo 21<\/strong> se centra en la gesti\u00f3n interna del riesgo ICT y los controles<\/li>\n\n\n\n<li>El <strong>Art\u00edculo 28<\/strong> aplica esos principios a los proveedores de servicios ICT externos<\/li>\n<\/ul>\n\n\n\n<p>En entornos DevSecOps regulados, esto significa que:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los controles de seguridad aplicados internamente tambi\u00e9n deben aplicarse a trav\u00e9s de plataformas de terceros<\/li>\n\n\n\n<li>La evidencia recopilada de los pipelines CI\/CD debe incluir las herramientas de terceros<\/li>\n\n\n\n<li>La gobernanza y la responsabilidad deben abarcar los l\u00edmites organizacionales<\/li>\n<\/ul>\n\n\n\n<p>Juntos, los Art\u00edculos 21 y 28 forman un <strong>modelo de gesti\u00f3n de riesgos continuo en toda la cadena de entrega digital<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Errores Comunes del Art\u00edculo 28 en Entornos CI\/CD<\/strong><\/h2>\n\n\n\n<p>Las organizaciones suelen tener dificultades con el Art\u00edculo 28 debido a:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tratar las plataformas CI\/CD SaaS como \u00abutilidades de bajo riesgo\u00bb<\/li>\n\n\n\n<li>Falta de visibilidad sobre los subprocesadores utilizados por los proveedores<\/li>\n\n\n\n<li>Ausencia de derechos de auditor\u00eda en los contratos SaaS est\u00e1ndar<\/li>\n\n\n\n<li>Ausencia de estrategia de salida para herramientas CI\/CD cr\u00edticas<\/li>\n\n\n\n<li>Retenci\u00f3n de evidencia insuficiente vinculada a servicios de terceros<\/li>\n<\/ul>\n\n\n\n<p>Estas brechas suelen aparecer durante revisiones regulatorias o auditor\u00edas, incluso en organizaciones DevSecOps por lo dem\u00e1s maduras.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 Viene a Continuaci\u00f3n<\/strong><\/h2>\n\n\n\n<p>Este art\u00edculo proporciona los fundamentos conceptuales del Art\u00edculo 28 de DORA. En los pr\u00f3ximos art\u00edculos de esta serie, exploraremos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/ci-cd-security\/dora-article-28-architecture-third-party-ict-risk-controls-across-ci-cd-and-cloud\/\" data-type=\"post\" data-id=\"339\">Patrones de arquitectura del Art\u00edculo 28 de DORA para entornos CI\/CD y cloud<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/dora-article-28-evidence-pack-what-auditors-expect-to-see\/\" data-type=\"post\" data-id=\"366\">Un paquete de evidencia del Art\u00edculo 28: lo que realmente esperan los auditores<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/compliance\/dora-article-28-auditor-checklist-yes-no-evidence\/\" data-type=\"post\" data-id=\"353\">Una lista de verificaci\u00f3n pr\u00e1ctica de auditor\u00eda para el riesgo ICT de terceros<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/ci-cd-security\/dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd\/\" data-type=\"post\" data-id=\"371\">Escenarios y se\u00f1ales de alerta de riesgo de terceros espec\u00edficos de CI\/CD<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<p>En conjunto, estos recursos proporcionan una hoja de ruta pr\u00e1ctica para implementar la <strong>gesti\u00f3n del riesgo de terceros alineada con DORA en entornos DevSecOps modernos<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexto \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenido pensado para entornos regulados: controles antes que herramientas, enforcement en CI\/CD y evidencia por dise\u00f1o para auditor\u00edas.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Enfoque en trazabilidad, aprobaciones, gobernanza de excepciones y retenci\u00f3n de evidencia de extremo a extremo.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">Ver la metodolog\u00eda en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>El Art\u00edculo 28 de DORA establece un marco para la gesti\u00f3n del riesgo ICT de terceros. Este art\u00edculo explica por qu\u00e9 los pipelines CI\/CD y las herramientas DevSecOps est\u00e1n en el alcance y c\u00f3mo cumplir en entornos regulados.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[],"post_folder":[],"class_list":["post-2035","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2035"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2035\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=2035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=2035"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=2035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}