Gobernanza de seguridad de pipelines CI/CD para auditorías de 2026
Son las 08:17 de un lunes por la mañana y el CISO de una fintech en crecimiento recibe el mensaje que todo responsable de seguridad teme:
“Todo parece correcto en la compilación de producción, pero el hash del artefacto no coincide con el commit de origen.”
En cuestión de minutos, ingeniería confirma que la liberación superó las pruebas unitarias, que existe el ticket de despliegue y que el servicio orientado al cliente está estable. Pero el pipeline cuenta otra historia. Un runner CI autoalojado se reutilizó entre proyectos. Una credencial temporal de la nube permaneció activa más tiempo del previsto. El registro de artefactos muestra una imagen de contenedor firmada, pero la clave de firma era accesible desde el mismo runner que ejecutó scripts de compilación no confiables.
El responsable de liberaciones puede demostrar que algo se desplegó. Lo que la organización no puede demostrar, al menos no con la rapidez necesaria, es qué se compiló, quién lo aprobó, si el entorno de compilación estaba limpio y si las evidencias resistirían una auditoría o una investigación de incidente.
Eso ya no es solo un problema de DevOps.
En 2026, la gobernanza de seguridad de pipelines CI/CD se sitúa en la intersección de la seguridad de la cadena de suministro de software, la resiliencia operativa, la responsabilidad proactiva en privacidad, la seguridad de producto y la supervisión del riesgo cibernético por parte del consejo de administración. NIS2 exige que los órganos de dirección aprueben y supervisen las medidas de gestión de riesgos de ciberseguridad. DORA exige a las entidades financieras gobernar el riesgo de las TIC, los incidentes, las pruebas y las dependencias de terceros. GDPR exige a responsables y encargados demostrar una seguridad y una responsabilidad proactiva adecuadas para los datos personales. El Reglamento de Ciberresiliencia eleva las expectativas del mercado respecto de productos seguros con elementos digitales, actualizaciones seguras y gestión de vulnerabilidades. ISO/IEC 27001:2022 exige un SGSI que convierta el tratamiento de riesgos en operaciones controladas y evidenciadas.
El pipeline se ha convertido en la pista de auditoría de la confianza moderna en el software.
La nueva pregunta de cumplimiento: ¿puede demostrar qué llegó a producción?
Durante años, los programas DevSecOps se centraron en añadir escáneres a los pipelines. El análisis estático, las comprobaciones de dependencias, el escaneo de secretos, el escaneo de contenedores y la validación de infraestructura como código se volvieron habituales. Esos controles siguen siendo importantes, pero no responden a la pregunta de gobernanza que auditores, reguladores, clientes y consejos de administración plantean ahora:
¿Puede la organización demostrar que cada despliegue en producción procede de código fuente aprobado, se compiló en un entorno controlado, generó un artefacto verificable, superó las puertas de control de seguridad requeridas, utilizó credenciales aprobadas, siguió el proceso de gestión de cambios y produjo evidencias que pueden preservarse?
Los atacantes saben que los sistemas de compilación, las dependencias de paquetes, los tokens de desarrollador, los runners CI, la automatización de liberaciones, los registros de artefactos y los roles de despliegue en la nube son objetivos de alto valor. Un pipeline comprometido puede eludir las defensas tradicionales porque utiliza automatización confiable para introducir código malicioso en entornos de confianza.
Por tanto, un modelo maduro de gobernanza de seguridad de pipelines CI/CD necesita seis pilares de evidencia.
| Pilar de evidencia | Qué demuestra | Evidencia típica |
|---|---|---|
| Integridad del código fuente | Que el artefacto desplegado procede de código fuente aprobado | Identificador de commit, protección de ramas, aprobaciones de pull request, commits firmados, registros de auditoría del repositorio |
| Procedencia de compilación | Que el artefacto fue producido por un pipeline conocido bajo condiciones controladas | Identificador de compilación, identidad del runner, receta de compilación, manifiesto de dependencias, hash del artefacto, registro de firma |
| Bastionado del runner | Que el entorno de ejecución no podía reutilizarse ni manipularse fácilmente | Registros de runners efímeros, imagen de referencia, estado de parches, controles de aislamiento, restricciones de red |
| Integridad del artefacto | Que el paquete de liberación no fue alterado después de la compilación | Firma, suma de comprobación, registro del repositorio, registro de promoción, política de etiquetas inmutables |
| Gobernanza del despliegue | Que el cambio fue autorizado, probado y trazable | Identificador de solicitud de cambio, evidencias de aprobación, registros de promoción entre entornos, plan de reversión |
| Preparación forense | Que las evidencias pueden preservarse durante una auditoría o una respuesta a incidentes | Registros exportados, capturas de pantalla, hashes de archivos, registro de cadena de custodia |
Aquí es donde el enfoque de Clarysec difiere del cumplimiento basado en listas de verificación. Tratamos la plataforma CI/CD como un proceso de negocio gobernado, no solo como una herramienta técnica. Ese proceso debe incluirse en el alcance del SGSI, evaluarse desde el riesgo, controlarse, supervisarse, auditarse y mejorarse.
Incluya CI/CD dentro del SGSI ISO/IEC 27001:2022
ISO/IEC 27001:2022 comienza con el contexto, las partes interesadas y el alcance. Las cláusulas 4.1 a 4.4 exigen que las organizaciones comprendan las cuestiones internas y externas, determinen los requisitos de las partes interesadas, identifiquen requisitos legales, regulatorios y contractuales, y definan el alcance del SGSI considerando las dependencias con otras organizaciones.
Para un proveedor SaaS, una fintech, un proveedor de servicios gestionados, un proveedor de software o una organización nativa de la nube, CI/CD casi siempre está dentro de ese alcance porque afecta directamente a la prestación del servicio, los datos de clientes, la infraestructura de producción y los compromisos contractuales.
Las cláusulas 5.1 a 5.3 hacen responsable a la dirección del SGSI. Esto importa porque la automatización moderna de liberaciones se sitúa entre ingeniería, seguridad, operaciones en la nube, compras, cumplimiento y gestión de producto. Si ningún directivo asume el apetito de riesgo de la automatización de despliegues en producción, la organización suele terminar con herramientas fragmentadas y evidencias inconsistentes.
Las cláusulas 6.1.1 a 6.1.3 proporcionan la base de planificación. La organización debe evaluar los riesgos para la confidencialidad, la integridad y la disponibilidad, identificar propietarios del riesgo, comparar los riesgos con los criterios, seleccionar tratamientos, comparar los controles seleccionados con el Anexo A, producir una Declaración de Aplicabilidad y obtener la aprobación del plan de tratamiento y del riesgo residual.
Una evaluación de riesgos de CI/CD no debería limitarse a decir “riesgo de cadena de suministro de software”. Debe nombrar escenarios realistas:
- Un script de compilación malicioso exfiltra claves de firma desde un runner compartido.
- Un desarrollador elude la protección de ramas y despliega código no revisado.
- Una acción de tercero comprometida modifica un artefacto durante la compilación.
- Una credencial de preproducción concede acceso a producción.
- Se produce un despliegue sin una solicitud de cambio vinculada.
- Los registros del pipeline necesarios para reconstruir un incidente se sobrescriben después de siete días.
- Un incidente de envenenamiento de dependencias alcanza preproducción o producción.
La cláusula 8.1 exige después la operación planificada y controlada de los procesos del SGSI, evidencias documentadas, control de los cambios planificados, revisión de los cambios no previstos y control de procesos, productos o servicios proporcionados externamente que sean relevantes para el SGSI. Si el pipeline cambia producción, debe generar evidencias de operación controlada.
El modelo de control de Clarysec para la entrega segura de software
Clarysec conecta políticas, controles y evidencias de auditoría. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint sitúa DevOps seguro y desarrollo seguro en la fase de Gestión de riesgos, paso 14. Indica que las organizaciones deben proteger las herramientas CI/CD, garantizar que solo el personal autorizado pueda activar despliegues, utilizar MFA para el acceso al pipeline, proteger la integridad de los artefactos de compilación, y registrar y supervisar las acciones CI/CD.
“Controles de pipelines DevOps: las herramientas CI/CD deben estar protegidas; solo el personal autorizado puede activar despliegues; utilice MFA para el acceso al pipeline; proteja la integridad de los artefactos de compilación. Registre y supervise las acciones CI/CD.”
Esa guía se vuelve accionable cuando se traduce en cláusulas de política y requisitos de evidencia.
La P24 Política de Desarrollo Seguro Política de Desarrollo Seguro establece:
“Los artefactos de compilación deben estar firmados y ser trazables a los commits de origen.”
Este es uno de los controles más sólidos de un programa de gobernanza CI/CD. Indica a ingeniería que un artefacto de producción debe portar un linaje verificable hasta el control de código fuente. También indica a los auditores qué probar: seleccionar una liberación de producción, inspeccionar la firma del artefacto, validar la referencia del commit, revisar la aprobación de la pull request y confirmar el registro de compilación del pipeline.
La misma política establece:
“Todas las actividades de desarrollo deben rastrearse mediante sistemas de control de versiones aprobados, con controles de acceso aplicados, pistas de auditoría y protecciones de ramas.”
Esto desplaza la gobernanza aguas arriba. Si los repositorios de código fuente no están protegidos, la procedencia de compilación es débil. Si las protecciones de ramas pueden eludirse, el pipeline puede compilar fielmente código no aprobado. Si las pistas de auditoría están deshabilitadas, la reconstrucción de incidentes depende de la memoria y de capturas de pantalla en lugar de evidencias.
Para organizaciones más pequeñas, la Política de Desarrollo Seguro para pymes Política de Desarrollo Seguro para pymes incluye un requisito mínimo pragmático:
“Seguimiento de la versión del código, la fecha de despliegue y el aprobador”
Ese sencillo libro de registro de despliegues es un punto de partida sólido. Muchas pymes no necesitan una gobernanza pesada de liberaciones desde el primer día, pero sí necesitan saber qué versión entró en producción, cuándo y quién la aprobó.
La política para pymes también establece:
“El acceso a herramientas o sistemas de despliegue en producción debe controlarse, registrarse y revisarse periódicamente por la dirección general o el proveedor de TI.”
Ese es el paso de gobernanza que muchos equipos pequeños omiten. Una plataforma CI/CD con credenciales de producción en la nube es una ruta de acceso privilegiado a producción.
Tres áreas de control ISO/IEC 27002:2022 detrás de CI/CD seguro
Zenith Controls: The Cross-Compliance Guide Zenith Controls es la brújula de cumplimiento cruzado de Clarysec para mapear normas y marcos oficiales con relaciones de control prácticas. Para la gobernanza de seguridad de pipelines CI/CD, tres áreas de control de ISO/IEC 27002:2022 son centrales.
| Control ISO/IEC 27002:2022 | Función de gobernanza CI/CD | Controles y evidencias relacionados |
|---|---|---|
| 5.21 Gestión de la seguridad de la información en la cadena de suministro de las TIC | Gobierna plataformas CI/CD, acciones de terceros, repositorios de paquetes, servicios de compilación en la nube, registros y desarrollo externalizado | Diligencia debida de proveedores, requisitos contractuales de seguridad, registros del proveedor, inventarios de dependencias |
| 8.25 Ciclo de vida de desarrollo seguro | Integra la seguridad en requisitos, diseño, codificación, compilación, pruebas y liberación | Arquitectura segura, codificación segura, pruebas de seguridad, firma de artefactos, evidencias de liberación |
| 8.32 Gestión de cambios | Garantiza que los despliegues sean intencionados, justificados, aprobados y auditables | Identificador de solicitud de cambio, aprobación, registro de despliegue, plan de reversión, registro de cambio de emergencia |
Zenith Controls describe 5.21 como un control preventivo que respalda la confidencialidad, la integridad y la disponibilidad, con la seguridad de las relaciones con proveedores como capacidad operativa clave. Esto encaja con CI/CD porque los pipelines modernos dependen de servicios externos: plataformas de control de código fuente, runners alojados, registros de contenedores, repositorios de paquetes de código abierto, acciones de GitHub de terceros, herramientas de escaneo, interfaces de programación de aplicaciones de despliegue en la nube y desarrolladores externalizados.
En el mapeo de 5.21, Zenith Controls vincula la seguridad de la cadena de suministro TIC con 5.19 Seguridad de la información en las relaciones con proveedores, 5.20 Tratamiento de la seguridad de la información en los acuerdos con proveedores, 8.27 Arquitectura segura de sistemas y principios de ingeniería, 8.28 Codificación segura, 8.29 Pruebas de seguridad en desarrollo y aceptación, 5.15 Control de acceso, 5.28 Recopilación de evidencias, 8.25 Ciclo de vida de desarrollo seguro y 8.30 Desarrollo externalizado.
Para 8.25, Zenith Controls identifica el Ciclo de vida de desarrollo seguro como un control preventivo que protege la confidencialidad, la integridad y la disponibilidad. Conecta requisitos de seguridad, arquitectura, codificación, pruebas, desarrollo externalizado y 8.31 Separación de entornos de desarrollo, prueba y producción.
Para 8.32, Zenith Controls presenta la Gestión de cambios como el puente entre desarrollo y operaciones. Se relaciona con 8.9 Gestión de configuraciones, 8.8 Gestión de vulnerabilidades técnicas, SDLC seguro y respuesta a incidentes. Por eso la automatización de despliegues no puede quedar fuera de la gobernanza de cambios. Es el mecanismo mediante el cual ocurren los cambios en producción.
Procedencia de compilación: la historia de liberación que los auditores pueden seguir
La procedencia de compilación es la capacidad de responder, con evidencias, de dónde procede un artefacto de software y cómo fue producido. Un registro sólido de procedencia cuenta la historia de una liberación:
- Qué repositorio de código fuente y qué commit se utilizaron.
- Qué rama o etiqueta activó la compilación.
- Qué pull request, revisor y aprobación se vincularon.
- Qué definición de pipeline se ejecutó.
- Qué runner ejecutó el trabajo.
- Qué dependencias e imágenes base se utilizaron.
- Qué pruebas y puertas de control de seguridad se ejecutaron.
- Qué artefacto se produjo.
- Qué firma o hash se generó.
- Qué despliegue consumió el artefacto.
La P05 Política de gestión de cambios Política de gestión de cambios proporciona el enlace de gobernanza. Establece:
“Los cambios basados en herramientas deben seguir cumpliendo esta política y ser trazables a un identificador de solicitud de cambio correspondiente.”
Esto aborda el argumento habitual de que los despliegues automatizados no necesitan tickets de cambio. La automatización no elimina la gobernanza de cambios. Cambia la forma en que se generan las evidencias.
La misma política establece:
“Todas las solicitudes de cambio, revisiones, aprobaciones y evidencias de respaldo deben registrarse en el Sistema de gestión de cambios centralizado.”
En la práctica, el sistema de gestión de cambios debe ser el índice, no el vertedero. El ticket debe apuntar al repositorio de código fuente, la ejecución de compilación, la firma del artefacto, el registro de despliegue y el plan de reversión. Las evidencias detalladas pueden permanecer en las herramientas de ingeniería si se definen la conservación, el control de acceso y la capacidad de exportación.
| Pregunta de control | Evidencia que debe conservarse | Propietario |
|---|---|---|
| ¿Se aprobó el código fuente? | Aprobación de pull request, ajustes de protección de ramas, identidad del revisor | Responsable de ingeniería |
| ¿Se controló la compilación? | Identificador de ejecución de compilación, identificador del runner, versión de la definición del pipeline, registros del trabajo | DevOps |
| ¿El artefacto era trazable? | Hash del artefacto, firma, referencia al commit de origen, metadatos del registro | Equipo de plataforma |
| ¿Se ejecutaron las puertas de control de seguridad? | Resultados de escaneos SAST, SCA, contenedores, DAST e IaC, aprobaciones de excepciones | Seguridad |
| ¿Se autorizó el despliegue? | Identificador de solicitud de cambio, aprobador, ventana de despliegue, plan de reversión | Responsable de cambios |
| ¿Pueden preservarse las evidencias? | Registros exportados, capturas de pantalla, hashes, registro de cadena de custodia | Seguridad o cumplimiento |
Bastionado de runners: el control de producción pasado por alto
Los runners CI/CD suelen tratarse como infraestructura desechable, pero son entornos de ejecución de alto riesgo. Un runner puede acceder a código fuente, secretos, cachés de compilación, repositorios de paquetes, claves de firma, registros de artefactos y roles de despliegue en la nube. Si es persistente, compartido, sobreprivilegiado o está deficientemente supervisado, se convierte en un punto de pivote privilegiado.
La posición de gobernanza segura es sencilla: los runners que compilan o despliegan código de producción deben bastionarse como infraestructura de producción.
| Área de bastionado del runner | Control esperado | Evidencia de auditoría |
|---|---|---|
| Aislamiento | Utilizar runners efímeros para compilaciones sensibles y evitar el uso compartido entre límites de confianza | Registros del ciclo de vida del runner, ajustes de grupos de runners |
| Seguridad de credenciales | Utilizar credenciales de corta duración e identidad de carga de trabajo en lugar de secretos de larga duración | Configuración de identidad, ajustes de caducidad de tokens, registros de rotación de secretos |
| Mínimo privilegio | Separar roles de compilación, prueba, firma y despliegue | Definiciones de roles, revisiones de acceso, exportaciones de permisos |
| Control de red | Restringir el acceso saliente y bloquear conectividad innecesaria con producción | Reglas de cortafuegos, exportaciones de políticas de red, registros de tráfico saliente |
| Integridad de referencia | Parchear imágenes de runners y registrar versiones aprobadas | Inventario de imágenes, informes de parches, resúmenes de imágenes de compilación |
| Protección de caché | Evitar la contaminación entre proyectos mediante cachés de compilación | Política de caché, ajustes de aislamiento de proyectos |
| Supervisión | Registrar acciones administrativas, cambios de configuración y anomalías de trabajos | Registros de auditoría CI/CD, eventos SIEM, registros de alertas |
La Política de Datos de Prueba y Entornos de Prueba Política de Datos de Prueba y Entornos de Prueba establece:
“La integración con pipelines CI/CD debe imponer la separación de entornos y credenciales de autenticación.”
Un runner que puede desplegar en preproducción y producción con el mismo modelo de credenciales vulnera la separación de entornos en la práctica, aunque la infraestructura esté lógicamente separada. Clarysec recomienda normalmente identidades de despliegue separadas por entorno, puertas de aprobación separadas para producción y controles explícitos que impidan a los trabajos de entornos inferiores acceder a secretos de producción.
Zenith Blueprint, en la fase Controls in Action, paso 21, refuerza esto mediante la separación de entornos de desarrollo, prueba y producción:
“Si se utiliza CI/CD, confirme que la promoción de despliegues entre entornos está controlada y requiere revisión o aprobación. Documéntelo en su Procedimiento de Gestión de Entornos y conserve capturas de pantalla o exportaciones de consola para respaldarlo.”
En una auditoría real, esto significa que el auditor no debería ver solo un diagrama. Debería ver exportaciones de consola que muestren credenciales específicas por entorno, entornos de despliegue protegidos, puertas de aprobación y registros que demuestren que la promoción estuvo controlada.
Evidencia de despliegue: el artefacto de cumplimiento oculto a plena vista
Los equipos DevSecOps más maduros no tratan la recopilación de evidencias como una carrera trimestral. Diseñan pipelines para generar evidencias automáticamente.
La Política de Registro y Supervisión para pymes Política de Registro y Supervisión para pymes identifica eventos de registro relevantes como:
“Registros del sistema: cambios de configuración, acciones administrativas, instalaciones de software, actividad de aplicación de parches”
Los sistemas CI/CD producen las cuatro categorías. Los cambios de configuración del pipeline afectan a cómo se compila el software. Las acciones administrativas cambian quién puede aprobar o desplegar. Las instalaciones de software se producen en imágenes de compilación y objetivos de despliegue. La actividad de aplicación de parches puede fluir por procesos de liberación automatizados. Estos eventos deben registrarse, conservarse y revisarse de acuerdo con el riesgo.
Para la preparación de investigaciones, la P31S Política de Recopilación de Evidencias y Análisis Forense para pymes Política de Recopilación de Evidencias y Análisis Forense para pymes establece:
“Las capturas de pantalla, los registros exportados y los hashes de archivos deben almacenarse junto con el archivo de cadena de custodia.”
Esto es especialmente importante después de una sospecha de compromiso del pipeline. Las capturas de pantalla por sí solas son evidencias débiles. Los registros sin hashes pueden ser cuestionados. Un archivo de cadena de custodia sin referencias de origen está incompleto.
Un registro de despliegue en producción defendible debe incluir lo siguiente.
| Elemento de evidencia | Contenido mínimo | Fuente principal | Valor de cumplimiento |
|---|---|---|---|
| Solicitud de cambio | Necesidad de negocio, nivel de riesgo, aprobación, identificador del cambio, plan de reversión | JIRA, ServiceNow, incidencia Git | ISO 27002 8.32, DORA Article 9 |
| Registro de origen | Repositorio, commit, rama, aprobaciones de pull request | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Registro de compilación | Identificador de pipeline, identificador de runner, registros de compilación, datos de dependencias | Plataforma CI/CD | ISO 27002 8.25, evidencias de cadena de suministro TIC |
| Atestación de procedencia de compilación | Registro firmado de entradas, entorno y proceso de compilación | Herramienta CI/CD, flujo de trabajo compatible con SLSA | ISO 27002 5.21, soporte para CRA Annex I |
| Registro de puertas de control de seguridad | Resultados de escaneos SAST, SCA, DAST, contenedores e IaC | Herramientas de seguridad, registros del pipeline | ISO 27002 8.29, DORA Article 9 |
| Registro de artefacto | Hash, firma, ruta del registro, digest inmutable | Registro de artefactos | ISO 27002 8.25, evidencias de actualización segura de CRA |
| Registro de despliegue | Entorno, actor, marca temporal, aprobación de producción | GitOps, plataforma de despliegue | ISO 27002 8.32, DORA Article 10 |
| Registro de supervisión | Comprobaciones de estado y anomalías posteriores al despliegue | SIEM, plataforma de observabilidad | Expectativas de detección y respuesta de DORA |
| Preservación de evidencias | Registros exportados, capturas de pantalla, hashes, registro de custodia | Repositorio de evidencias | ISO 27002 5.28, investigación de incidentes |
Este paquete transforma CI/CD de una serie de pasos técnicos en una historia de gobernanza, control y diligencia debida.
Mapeo de la gobernanza CI/CD con NIS2, DORA, GDPR y CRA
NIS2 se aplica a muchas entidades esenciales e importantes, incluidas infraestructuras digitales, gestión de servicios TIC y organizaciones proveedoras digitales cuando se cumplen los criterios. Article 20 es especialmente relevante porque crea obligaciones de ciberseguridad a nivel de dirección. Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y recibir formación.
Article 21 proporciona la base de gestión de riesgos. Exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas que cubran análisis de riesgos, políticas, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición, desarrollo y mantenimiento seguros, gestión de vulnerabilidades, evaluación de la eficacia, higiene cibernética, criptografía, seguridad de RR. HH., control de acceso, gestión de activos y MFA cuando proceda.
| Tema de NIS2 Article 21 | Interpretación de gobernanza CI/CD |
|---|---|
| Análisis de riesgos y políticas | Modelo de amenazas del pipeline, política de desarrollo seguro, evaluación de riesgos de runners |
| Gestión de incidentes | Playbook de compromiso del pipeline, revocación de artefactos, control de liberaciones de emergencia |
| Continuidad del negocio | Recuperación del control de código fuente, registro de artefactos y automatización de despliegues |
| Seguridad de la cadena de suministro | Acciones de terceros, paquetes, desarrollo externalizado, dependencias del registro |
| Desarrollo y mantenimiento seguros | SDLC seguro, revisión de código, pruebas, gestión de vulnerabilidades |
| Evaluación de la eficacia | Pruebas de controles del pipeline, muestreo de auditoría, métricas y excepciones |
| Control de acceso y MFA | Repositorio, administración CI/CD, registro de runners, roles de despliegue en producción |
| Criptografía | Firma de artefactos, protección de secretos, gestión de claves |
Article 23 añade una notificación escalonada de incidentes significativos, incluida una alerta temprana dentro de las 24 horas desde que se tenga conocimiento, una notificación de incidente dentro de las 72 horas y un informe final a más tardar un mes después de la notificación del incidente. Si un compromiso CI/CD pudiera causar una interrupción operativa grave, pérdidas financieras o daños materiales a terceros, el proceso de clasificación de incidentes debe estar preparado antes del incidente.
Para entidades financieras, DORA se aplica desde el 17 de enero de 2025 y cubre la gestión del riesgo de las TIC, la notificación de incidentes, las pruebas de resiliencia, el intercambio de información, la gestión del riesgo de terceros TIC y los requisitos contractuales. Article 5 exige un marco interno de gobernanza y control para el riesgo TIC, con responsabilidad del órgano de dirección. Article 6 exige un marco documentado de gestión del riesgo TIC integrado en la gestión global de riesgos.
Articles 8 a 14 se mapean directamente con la gobernanza de pipelines CI/CD. Las entidades financieras deben identificar y clasificar las funciones de negocio soportadas por TIC, los activos, las dependencias, las amenazas y las vulnerabilidades. Deben proteger los sistemas TIC mediante políticas, controles de acceso, autenticación fuerte, protección de claves criptográficas, gestión controlada de cambios TIC, aplicación de parches y segmentación. Deben detectar anomalías, responder, recuperar y aprender de los incidentes.
Articles 28 a 30 son igualmente importantes porque las plataformas CI/CD, los proveedores de control de código fuente, los registros de artefactos, los sistemas de compilación en la nube y los desarrolladores externalizados pueden ser dependencias de terceros TIC. DORA espera diligencia debida, salvaguardas contractuales, evaluación del riesgo de concentración, derechos de auditoría e inspección, desencadenantes de terminación, estrategias de salida y cláusulas de nivel de servicio.
GDPR añade la perspectiva de responsabilidad proactiva. Article 5 exige que los datos personales se traten de forma lícita, leal, transparente, para fines determinados, minimizados, exactos, conservados solo durante el tiempo necesario y protegidos frente al tratamiento no autorizado o ilícito y frente a la pérdida, destrucción o daño accidentales. Article 5(2) exige que el responsable demuestre el cumplimiento.
Los pipelines CI/CD importan para GDPR porque los desarrolladores pueden utilizar datos de producción en entornos de prueba, los registros del pipeline pueden exponer datos personales o tokens, las liberaciones pueden cambiar la lógica de tratamiento y los artefactos comprometidos pueden causar brechas de seguridad de datos personales. Cuando los cambios de software afecten a controles de privacidad, el registro de cambio debe capturar el impacto en privacidad. Cuando un incidente de pipeline cause acceso no autorizado a datos personales, la evaluación de brecha debe vincularse con la gestión de incidentes.
Las expectativas de CRA añaden seguridad de producto y evidencias de actualización segura. Para fabricantes y proveedores de software que introducen productos con elementos digitales en el mercado de la UE, los clientes esperan cada vez más expedientes de seguridad de producto, evidencias de gestión de vulnerabilidades, controles de actualización segura e integridad de liberaciones. La gobernanza CI/CD aporta gran parte de esas evidencias mediante trazabilidad del código fuente, artefactos firmados, resultados de escaneos de vulnerabilidades, notas de versión, correcciones de seguridad y registros de distribución de actualizaciones.
NIST CSF 2.0 y COBIT 2019: la perspectiva de auditoría más allá de ISO
NIST CSF 2.0 proporciona una capa de integración para la gobernanza de la ciberseguridad. Su Núcleo, Perfiles Organizativos y Niveles ayudan a las organizaciones a comprender la postura actual y objetivo, priorizar acciones alineadas con requisitos legales y regulatorios, y comunicar el riesgo cibernético.
Para CI/CD, Clarysec suele crear un Perfil de Pipeline de Entrega de Software. El Perfil Actual captura cómo funcionan hoy el control de código fuente, los runners, la firma de artefactos y las aprobaciones de despliegue. El Perfil Objetivo define el estado requerido para operaciones reguladas. El plan de brechas se convierte en la hoja de ruta de implementación.
La función GOVERN de NIST es especialmente relevante. GV.OC-03 exige que los requisitos legales, regulatorios y contractuales de ciberseguridad se comprendan y gestionen. GV.RM cubre el apetito de riesgo y la priorización estandarizada del riesgo. GV.RR asigna responsabilidad de liderazgo, roles y recursos. GV.PO exige que las políticas de riesgo de ciberseguridad se establezcan, apliquen, revisen y actualicen. GV.OV cubre la supervisión y la evaluación del desempeño.
Un auditor con enfoque COBIT 2019 o ISACA suele fijarse menos en el detalle criptográfico de la firma de artefactos y más en el diseño de la gobernanza. Preguntará si la propiedad está definida, si la habilitación de cambios está controlada, si los servicios de terceros se gestionan en función del riesgo, si la supervisión genera aseguramiento, si las excepciones se aprueban y si la dirección recibe informes significativos.
| Perspectiva de auditoría | Pregunta probable de auditoría | Evidencia que la responde |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | ¿CI/CD está incluido en el alcance del SGSI, la evaluación de riesgos, la Declaración de Aplicabilidad y los controles operativos? | Alcance del SGSI, registro de riesgos, mapeo de SoA, cláusulas de políticas, muestras de despliegue |
| Revisor de controles ISO/IEC 27002:2022 | ¿Se han implementado SDLC seguro, separación de entornos, control de acceso, gestión de cambios y recopilación de evidencias? | Protecciones de ramas, credenciales de entorno, aprobaciones, firmas de artefactos, registros |
| Evaluador NIS2 | ¿La dirección ha aprobado medidas proporcionadas para desarrollo seguro, cadena de suministro, control de acceso, gestión de incidentes y resiliencia? | Actas del consejo, plan de tratamiento de riesgos, mapeo de Article 21, playbook de incidentes, registros de proveedores |
| Auditor DORA | ¿El pipeline respalda la gestión del riesgo TIC, el cambio controlado, la supervisión, las pruebas, la notificación de incidentes y la gobernanza de terceros TIC? | Inventario de activos TIC, registros de cambio, registros de detección, clasificación de incidentes, registro de proveedores |
| Revisor GDPR | ¿Puede la organización demostrar seguridad y responsabilidad proactiva para liberaciones que afectan a datos personales? | Notas de revisión de privacidad, controles de datos de prueba, registros de acceso, flujo de trabajo de evaluación de brechas |
| Evaluador NIST CSF 2.0 | ¿Cuál es la postura actual frente a la objetivo del pipeline y el plan de mejora priorizado? | Perfil CSF, análisis de brechas, POA&M, métricas, registros de aceptación del riesgo |
| Auditor COBIT 2019 o ISACA | ¿Están definidos los roles, responsabilidades, controles de proceso, medidas de desempeño y actividades de aseguramiento? | RACI, lista de propietarios de controles, informes KPI y KRI, resultados de auditoría interna, registro de excepciones |
Fallos habituales en auditorías CI/CD y métricas para el consejo de administración
La mayoría de los hallazgos de auditoría CI/CD son previsibles. El primero son evidencias no vinculadas. El equipo dispone de registros Git, registros del pipeline y registros de despliegue, pero ningún registro de cambio único los conecta. El segundo es la automatización sobreprivilegiada, donde un trabajo puede leer secretos de producción, publicar artefactos, aprobar despliegues y modificar definiciones de pipeline. El tercero son runners compartidos persistentes, que crean riesgo de contaminación entre proyectos y dificultan delimitar el alcance forense tras un compromiso.
Otros fallos frecuentes incluyen artefactos sin firmar o sobrescritos, anulaciones informales de escaneos, falta de visibilidad sobre proveedores y fuga de privacidad en registros. Un buen pipeline permite excepciones, pero exige aprobación, caducidad, propiedad del riesgo y revisión.
Los responsables de seguridad deben evitar informar al consejo de administración solo de recuentos de escáneres. En su lugar, deben informar métricas de confianza de liberaciones:
- Porcentaje de despliegues en producción vinculados a registros de cambio aprobados.
- Porcentaje de artefactos de producción firmados y trazables a commits de origen.
- Número de despliegues que utilizan excepciones o aprobaciones de emergencia.
- Porcentaje de usuarios CI/CD privilegiados con MFA y revisión de acceso reciente.
- Número de credenciales de despliegue activas de larga duración.
- Porcentaje de servicios críticos que utilizan runners bastionados o efímeros.
- Tiempo medio para revocar o rotar secretos del pipeline después de un incidente.
- Número de dependencias críticas de proveedores que respaldan la entrega de software.
- Tasa de completitud de evidencias para liberaciones muestreadas en auditoría.
Estas métricas respaldan el liderazgo, la planificación y el control operativo de ISO/IEC 27001:2022. También respaldan la supervisión de la dirección exigida por NIS2 Article 20 y las expectativas de gobernanza de DORA.
Haga auditable su pipeline antes del incidente
La gobernanza de seguridad de pipelines CI/CD en 2026 no consiste en ralentizar la ingeniería. Consiste en hacer que la entrega de software sea confiable, resiliente y demostrable. Los mejores programas utilizan la automatización para acelerar las evidencias, no para eludir la gobernanza.
Una implementación práctica de Clarysec empieza con tres acciones.
- Use Zenith Blueprint Zenith Blueprint para incorporar DevOps seguro, acceso al código fuente, separación de entornos y gestión de cambios en su hoja de ruta de implementación de ISO/IEC 27001:2022.
- Use Zenith Controls Zenith Controls para mapear los riesgos CI/CD en las perspectivas de auditoría de SDLC seguro, cadena de suministro TIC, control de acceso, gestión de cambios, recopilación de evidencias, NIS2, DORA, GDPR, NIST CSF 2.0 y COBIT 2019.
- Despliegue plantillas de políticas de Clarysec, incluidas Política de Desarrollo Seguro, Política de gestión de cambios, Política de Datos de Prueba y Entornos de Prueba, Política de Desarrollo Seguro para pymes, Política de Registro y Supervisión para pymes y Política de Recopilación de Evidencias y Análisis Forense para pymes, para definir quién aprueba las liberaciones, cómo se trazan los artefactos, cómo se controlan los runners y qué evidencias deben conservarse.
Si su próxima muestra de auditoría empieza con “muéstrenos la trazabilidad de la liberación en producción”, su equipo debería poder responder en minutos, no en semanas. Esa es la diferencia entre automatización DevOps y entrega de software gobernada.
Descargue el kit de herramientas de políticas de Clarysec, revise su pipeline CI/CD frente a Zenith Blueprint y Zenith Controls, o reserve una evaluación de Clarysec para convertir su pipeline de una fuente de ansiedad ante auditorías en una piedra angular de la resiliencia digital.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
