El Art\u00edculo 28 de DORA exige a las entidades financieras que gestionen los riesgos derivados de los proveedores de servicios ICT de terceros.<\/p>\n\n\n\n
En la entrega de software moderna, estos proveedores no son perif\u00e9ricos \u2014 est\u00e1n integrados directamente en los pipelines CI\/CD y los entornos de ejecuci\u00f3n cloud.<\/p>\n\n\n\n
Este art\u00edculo presenta una vista arquitect\u00f3nica pr\u00e1ctica del Art\u00edculo 28 de DORA, mostrando:<\/p>\n\n\n\n
El objetivo no es describir herramientas, sino clarificar los l\u00edmites de control<\/strong>, los puntos de aplicaci\u00f3n<\/strong> y las expectativas de auditor\u00eda<\/strong>.<\/p>\n\n\n\n Tambi\u00e9n establece un puente entre las perspectivas de los auditores<\/strong> y los ingenieros<\/strong> \u2014 dos audiencias que leen la misma arquitectura de forma muy diferente, y cuya alineaci\u00f3n es esencial para el cumplimiento exitoso.<\/p>\n\n\n\n Un pipeline CI\/CD empresarial t\u00edpico depende de m\u00faltiples proveedores ICT externos, frecuentemente sin que se traten expl\u00edcitamente como tales.<\/p>\n\n\n\n Bajo el Art\u00edculo 28 de DORA, los siguientes componentes deben considerarse servicios ICT de terceros:<\/p>\n\n\n\n El Art\u00edculo 28 aplica porque cada uno de estos proveedores puede afectar a:<\/p>\n\n\n\n Cualquier componente de terceros involucrado en la construcci\u00f3n, prueba, despliegue o ejecuci\u00f3n de software est\u00e1 dentro del alcance del Art\u00edculo 28.<\/p>\n\n\n\n El Art\u00edculo 28 de DORA exige a las entidades financieras que gestionen el riesgo ICT de terceros de una manera verificable, aplicable y auditable. Sin embargo, los auditores y los ingenieros no leen las arquitecturas de la misma manera.<\/p>\n\n\n\n Un auditor que revisa el cumplimiento del Art\u00edculo 28 de DORA no eval\u00faa herramientas o pipelines directamente. Verifica que el riesgo est\u00e9 controlado, documentado y gestionado continuamente<\/strong>.<\/p>\n\n\n\n Desde la perspectiva del auditor, la arquitectura debe responder:<\/p>\n\n\n\n Un ingeniero que mira la misma arquitectura ve un plano de control<\/strong> \u2014 un conjunto de mecanismos de aplicaci\u00f3n que deben construirse, configurarse y mantenerse.<\/p>\n\n\n\n Su enfoque incluye:<\/p>\n\n\n\n El Art\u00edculo 28 de DORA exige que ambas perspectivas se satisfagan simult\u00e1neamente.<\/p>\n\n\n\n Las plataformas CI\/CD y los registros deben seguir las reglas de producci\u00f3n: hardening, control de acceso, logging, monitoreo y continuidad probada.<\/p>\n\n\n\n No son herramientas de desarrollo \u2014 son sistemas ICT regulados<\/strong>.<\/p>\n\n\n\n Las cl\u00e1usulas contractuales deben habilitar (o al menos apoyar): derechos de auditor\u00eda, notificaci\u00f3n de incidentes, retenci\u00f3n de evidencia, transparencia del procesamiento de datos y estrategias de salida.<\/p>\n\n\n\n Los contratos por s\u00ed solos no son suficientes bajo el Art\u00edculo 28 de DORA. Las pol\u00edticas definidas contractualmente deben ser aplicadas t\u00e9cnicamente<\/strong>:<\/p>\n\n\n\n Los pipelines CI\/CD son la capa de aplicaci\u00f3n natural para estas pol\u00edticas.<\/p>\n\n\n\n La evidencia debe ser generada por la plataforma y retenida autom\u00e1ticamente: logs, aprobaciones, SBOM\/procedencia, registros de acceso, cronolog\u00edas de incidentes y pruebas de salida.<\/p>\n\n\n\n Si la evidencia requiere ensamblaje manual durante una auditor\u00eda, es improbable que cumpla las expectativas del auditor en cuanto a objetividad y continuidad.<\/p>\n\n\n\n Bajo el Art\u00edculo 28 de DORA, las organizaciones deben demostrar que las plataformas de terceros no pueden ser utilizadas indebidamente o con privilegios excesivos.<\/p>\n\n\n\n Los principios clave incluyen:<\/p>\n\n\n\n El aislamiento de acceso aplica en:<\/p>\n\n\n\n La evidencia debe demostrar que ning\u00fan actor o sistema \u00fanico puede eludir los controles de extremo a extremo.<\/p>\n\n\n\n Las pol\u00edticas definidas contractualmente deben aplicarse t\u00e9cnicamente a trav\u00e9s de los pipelines CI\/CD:<\/p>\n\n\n\n El Art\u00edculo 28 de DORA exige visibilidad de la cadena de suministro de software, especialmente cuando se involucran componentes de terceros.<\/p>\n\n\n\n Esto incluye:<\/p>\n\n\n\n Los auditores esperan pruebas de que los artefactos producidos a trav\u00e9s de sistemas CI\/CD de terceros no han sido manipulados.<\/p>\n\n\n\n Los servicios de terceros deben monitorearse continuamente:<\/p>\n\n\n\n Los auditores verifican que el monitoreo aplica a los proveedores de terceros, no solo a los sistemas internos. Los flujos de trabajo de incidentes deben referenciar a los proveedores de terceros afectados y demostrar una escalada trazable.<\/p>\n\n\n\n La planificaci\u00f3n de la salida es un requisito regulatorio bajo el Art\u00edculo 28, no un ejercicio opcional.<\/p>\n\n\n\n Los auditores cuestionar\u00e1n:<\/p>\n\n\n\n Los ingenieros apoyan las estrategias de salida mediante:<\/p>\n\n\n\n Bajo el Art\u00edculo 28 de DORA, los auditores esperan evidencia en cinco dominios:<\/p>\n\n\n\n La evidencia debe ser:<\/p>\n\n\n\n Las hojas de c\u00e1lculo manuales por s\u00ed solas raramente cumplen estos criterios.<\/p>\n\n\n\n Muchas organizaciones fallan las revisiones del Art\u00edculo 28 de DORA no porque falten controles, sino porque:<\/p>\n\n\n\n Separando expl\u00edcitamente la Perspectiva del Auditor y la Perspectiva del Ingeniero, se garantiza que:<\/p>\n\n\n\n La arquitectura del Art\u00edculo 28 de DORA no consiste en listar herramientas \u2014 consiste en definir d\u00f3nde reside el riesgo ICT de terceros<\/strong>, c\u00f3mo se controla<\/strong> y c\u00f3mo se prueba el cumplimiento<\/strong>.<\/p>\n\n\n\n La arquitectura debe apoyar tanto la necesidad del auditor de evidencia como la necesidad del ingeniero de controles aplicables y automatizados. Cuando ambas perspectivas est\u00e1n alineadas, el cumplimiento del Art\u00edculo 28 se convierte en una propiedad estructural del sistema de entrega, no en un ejercicio peri\u00f3dico.<\/p>\n\n\n\nLa Cadena de Suministro CI\/CD Real bajo DORA<\/h2>\n\n\n\n
\n
\n
Dos Perspectivas sobre la Misma Arquitectura<\/h2>\n\n\n\n
Perspectiva del Auditor (Gobernanza y Evidencia)<\/h3>\n\n\n\n
\n
Perspectiva del Ingeniero (Implementaci\u00f3n y Aplicaci\u00f3n)<\/h3>\n\n\n\n
\n
La Misma Arquitectura, Dos Lecturas<\/h3>\n\n\n\n
Aspecto<\/th> Perspectiva del Auditor<\/th> Perspectiva del Ingeniero<\/th><\/tr><\/thead> Enfoque<\/td> Riesgo, gobernanza, cumplimiento<\/td> Automatizaci\u00f3n, aplicaci\u00f3n, fiabilidad<\/td><\/tr> Pregunta principal<\/td> \u00ab\u00bfPuede probar el control?\u00bb<\/td> \u00ab\u00bfD\u00f3nde aplico el control?\u00bb<\/td><\/tr> Pipeline CI\/CD<\/td> Superficie de riesgo<\/td> Plano de control<\/td><\/tr> Proveedores de terceros<\/td> Proveedores a gobernar<\/td> Plataformas a integrar de forma segura<\/td><\/tr> Evidencia<\/td> Requisito expl\u00edcito<\/td> Salida autom\u00e1tica<\/td><\/tr> Estrategia de salida<\/td> Obligatoria<\/td> A menudo pasada por alto<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Principios de Arquitectura para el Cumplimiento del Art\u00edculo 28<\/h2>\n\n\n\n
1. Tratar las Herramientas de Terceros como Activos de Grado Producci\u00f3n<\/h3>\n\n\n\n
2. Hacer que los Contratos Apliquen los Controles<\/h3>\n\n\n\n
\n
3. La Evidencia Debe Dise\u00f1arse, No \u00abRecopilarse Despu\u00e9s\u00bb<\/h3>\n\n\n\n
Capas de Control a lo Largo del Ciclo de Vida CI\/CD<\/h2>\n\n\n\n
Control de Acceso y Aislamiento<\/h3>\n\n\n\n
\n
\n
Aplicaci\u00f3n de Pol\u00edticas Contractuales<\/h3>\n\n\n\n
\n
Integridad de la Cadena de Suministro<\/h3>\n\n\n\n
\n
Monitoreo y Respuesta a Incidentes<\/h3>\n\n\n\n
\n
Estrategia de Salida y Continuidad<\/h3>\n\n\n\n
\n
\n
Qu\u00e9 Solicitan Habitualmente los Auditores<\/h2>\n\n\n\n
\n
\n
Brechas Comunes y Patrones de Desalineaci\u00f3n<\/h2>\n\n\n\n
\n
\n
Conclusi\u00f3n<\/h2>\n\n\n\n
Recursos Relacionados<\/h2>\n\n\n\n