Shift-left · CI/CD · SAST · SCA · IaC · DAST · Policy as code
DevSecOps seguridad integrada en CI/CD
Seguridad inyectada en cada etapa del pipeline, no como auditoría al final. Pre-commit, build, test, deploy y runtime con controles automatizados, falsos positivos por debajo del 15% y gobierno medible. Dos modelos: programa continuo o auditorías periódicas.
Resumen ejecutivo
Hacer DevSecOps de verdad no es "enchufar un escáner al final del pipeline". Es integrar seguridad en cada etapa del ciclo —desde pre-commit hasta runtime— con controles automatizados, falsos positivos contenidos y métricas que vea tanto seguridad como desarrollo. El resultado: detectar el 80-90% de vulnerabilidades antes de que lleguen a producción, reducir el MTTR de hallazgos críticos de semanas a horas, y no frenar al equipo de desarrollo.
Trabajamos sobre vuestro stack CI/CD (GitHub Actions, GitLab CI, Jenkins, Azure DevOps, etc.) sin imponer herramienta. Diagnóstico de madurez contra OWASP SAMM, implantación de controles en cada etapa del pipeline, operación continua o auditorías puntuales. Apto para sostener auditoría ISO 27001:2022 (A.8.25-A.8.30), NIS2, DORA y PCI DSS v4 req. 6.
Shift-left medible
Atrapamos el problema cuando aún cuesta minutos arreglarlo en pre-commit, no semanas en producción. Tendencia: 80-90% de hallazgos antes de prod.
Sin imponer tooling
Trabajamos sobre el stack CI/CD del cliente. Recomendamos herramientas cuando hace falta, sin sesgo de partner ni licencias innecesarias.
Dos modelos contractuales
Programa continuo de operación o auditorías periódicas. Mismo equipo, mismo nivel técnico, distinto reparto de responsabilidad.
El pipeline DevSecOps por etapas
Seis etapas, cada una con sus controles de seguridad inyectados, su gate y su tiempo objetivo. El control debe ser rápido (<5 minutos típico) y útil (falsos positivos contenidos), o el equipo lo desactiva en el primer sprint.
Commit local (pre-commit hooks)
Antes incluso de enviar el commit al servidor: Gitleaks bloquea secretos, formato y lint corren sobre el diff, y validaciones rápidas (10-30 segundos) detienen errores triviales. Es la primera línea y la que más fricción ahorra al equipo.
Build (SAST · SCA · secrets)
Tras push al PR: SAST (Semgrep/SonarQube/CodeQL) analiza patrones inseguros, SCA (Snyk/OSV-Scanner/Trivy) revisa dependencias, secrets scanning sobre el diff completo. Salida en 3-5 minutos típico. Bloqueo solo para crítico, el resto se reporta en el PR sin bloquear.
Test (IaC · imágenes · DAST baseline)
IaC scanning con Checkov/tfsec/KICS sobre Terraform/CF/Bicep, container scanning con Trivy/Grype sobre las imágenes construidas, DAST baseline (ZAP) si hay endpoint accesible. Salida en 5-10 minutos. Bloqueo en hallazgos de severidad alta y arriba.
Deploy (firma · admission policy)
Firma de artefactos con cosign/sigstore, generación de SBOM (CycloneDX/SPDX) adjunto al artefacto, admission policies en Kubernetes (Kyverno/OPA Gatekeeper) que validan firma, identidad de origen y configuración del pod antes de admitir. Sin firma válida no se despliega.
Runtime (DAST · runtime · drift)
DAST completo programado contra el entorno desplegado, runtime monitoring con Falco/Sysdig/EDR para detectar comportamiento anómalo, drift detection contra la configuración esperada. Hallazgos críticos disparan alerta + ticket automático al equipo dueño.
Feedback (métricas · learn · ajuste)
Dashboard con métricas DORA + seguridad por equipo y servicio. Retro semanal corta (15 min) entre dev y sec para revisar tendencias. Ajuste mensual de reglas, supresiones y umbrales. El pipeline aprende; los falsos positivos no se acumulan.
Tiempos orientativos para repositorio de tamaño medio (30-80k LOC, un stack). En monorepos grandes los tiempos suben pero se compensa con paralelización y cacheado. Las herramientas listadas son ejemplos habituales; trabajamos sobre lo que use el cliente.
Madurez DevSecOps (OWASP SAMM)
Usamos OWASP SAMM (Software Assurance Maturity Model) como marco. Cuatro niveles sobre cinco dimensiones (Gobierno, Diseño, Implementación, Verificación, Operación). Aquí lo simplificamos a la visión de pipeline.
Ad-hoc
Cada equipo hace lo que puede. Algún escáner manual previo a release. Sin controles automatizados en CI/CD. Hallazgos llegan tarde y se acumulan en backlogs sin priorizar.
Pipeline básico con SAST + SCA
SAST y SCA corriendo en CI tras commit. Bloqueo solo en crítico. Hallazgos en PR, pero sin proceso claro de triaje. Falsos positivos altos. Equipo dev empieza a usar pero con fricción.
Pipeline completo con shift-left real
Pre-commit hooks + SAST + SCA + secrets + IaC + container scanning + DAST baseline. Reglas afinadas, FP <15%. Métricas DORA + seguridad. Cultura: dev y sec se hablan a diario. Apto para auditor ISO/NIS2 razonable.
Pipeline adaptativo + policy as code + chaos
Todo lo anterior + admission policies en runtime, chaos testing programado, threat modeling continuo integrado en diseño, automatización de remediación trivial, métricas de seguridad como objetivo de equipo (no solo de seguridad). Pocas organizaciones medianas viven aquí.
Stack tecnológico que automatizamos
Tabla por categoría con las herramientas que más usamos en proyectos reales. No es exclusiva: si vuestro equipo trabaja con otra herramienta consolidada, adaptamos los controles a ella.
| Categoría | Herramientas habituales | Etapa |
|---|---|---|
| CI/CD plataforma | GitHub Actions · GitLab CI · Jenkins · Azure DevOps · Bitbucket · CircleCI · ArgoCD | Todas |
| Pre-commit | pre-commit framework · Husky · lefthook · Gitleaks · TruffleHog | ① |
| SAST | Semgrep · SonarQube · CodeQL · Bandit · ESLint plugin:security | ② |
| SCA / dependencies | Snyk · OSV-Scanner · Trivy · Renovate · Dependabot | ② |
| Secrets scanning | Gitleaks · TruffleHog · Semgrep secrets · GitHub secret scanning | ① · ② |
| IaC scanning | Checkov · tfsec · KICS · Terrascan · Snyk IaC | ③ |
| Container / image | Trivy · Grype · Clair · Docker Scout | ③ |
| Kubernetes admission | Kyverno · OPA Gatekeeper · Pod Security Standards | ④ |
| Firma / SBOM | cosign · sigstore · syft (SBOM) · CycloneDX · SPDX | ④ |
| DAST | ZAP · Burp Suite Enterprise · Nuclei · w3af | ③ · ⑤ |
| Runtime / behaviour | Falco · Sysdig · EDR existente · CrowdStrike · SentinelOne | ⑤ |
| Secretos centralizados | HashiCorp Vault · AWS Secrets Manager · Azure Key Vault · GCP Secret Manager | Todas |
| Policy as code | OPA · Kyverno · Conftest · Sentinel (HCP Terraform) | ③ · ④ |
| Métricas y dashboards | Grafana · Datadog · GitHub Insights · GitLab Value Stream · jq + scripts | ⑥ |
Dos modelos de servicio
Las dos formas habituales de contratar el servicio. Mismo equipo Hard2bit, mismo nivel técnico, distinto reparto de operación y cadencia.
Programa DevSecOps gestionado
Operación continua
Asumimos la operación del pipeline de seguridad: triaje semanal de hallazgos, ajuste de reglas y umbrales, supresión justificada de falsos positivos, escalado a equipos dueños, dashboard ejecutivo mensual, revisión trimestral con el CISO o equivalente. Cuando entra un servicio nuevo lo onboardamos al flujo. Cuando aparece un nuevo CVE crítico de stack común, lo evaluamos en vuestro contexto en horas, no semanas.
Encaja cuando: equipo de seguridad pequeño o sin práctica DevSecOps específica; cumplimiento sostenido; sector regulado; escala de varios equipos de desarrollo.
Cadencia: operación diaria + reporting mensual + revisión trimestral.
Compromiso: 12 meses con cláusulas de salida claras.
Auditorías DevSecOps periódicas
Auditorías programadas
Revisión completa del pipeline cada 3-6 meses: ¿siguen activos los controles?, ¿qué drift ha aparecido?, ¿qué hallazgos no se cerraron?, ¿qué herramientas están desafinadas o caídas?, ¿qué oportunidades hay de mejora?. Entrega: informe técnico, informe ejecutivo, roadmap priorizado, sesión de cierre con equipo de seguridad y plataforma. Vuestro equipo opera el día a día.
Encaja cuando: tenéis equipo capaz de operar; queréis una mirada externa periódica; exigencia regulatoria de revisión independiente.
Cadencia: auditoría trimestral o semestral según riesgo y obligación.
Compromiso: proyecto cerrado, posibilidad de retainer anual con N auditorías programadas.
Antes y después del shift-left
Comparación de cómo cambia la práctica del equipo cuando el pipeline DevSecOps está bien implantado y operado. Patrones reales anonimizados.
| Aspecto | Antes | Después |
|---|---|---|
| Secretos en código | Detectados en pentest 2-3 meses post-release | Bloqueados pre-commit · rotación automática previa |
| Dependencias vulnerables | Snyk corre semanal · alertas sin owner · backlog crece | SCA en CI con bloqueo de crítica · auto-PR con upgrade · owner por servicio |
| Configuración IaC | Auditoría manual cada release · 2 semanas | Checkov bloquea PR · feedback en minutos · 100% cobertura |
| Vulnerabilidades en código | Pentest anual · backlog de 80+ findings sin priorizar | SAST en CI · triaje semanal · MTTR crítico <48h |
| Despliegues sin firmar | Cualquier imagen del registry desplegada | Solo imágenes firmadas con cosign + admission policy |
| Tiempo total commit→prod (cambio sencillo) | 3-8 días con steps manuales de aprobación de seguridad | 2-6 horas · todo automatizado · gates clarificados |
| Falsos positivos por sprint | 30-50 alertas que el equipo dev ignora | <10 alertas verificadas · reglas ajustadas mensualmente |
| Métricas que ve dirección | Pocas, anuales, post-mortem | Mensuales: vulns prevenidas, MTTR, % cobertura, deploys/semana |
| Relación dev ↔ sec | Sec interrumpe en release con bloqueos | Daily standup compartido · backlog conjunto · objetivos comunes |
Cuándo encaja y cuándo no
Encaja muy bien
Cuándo merece la pena
- Equipo de desarrollo activo con releases frecuentes (al menos semanal)
- CI/CD ya en uso aunque sin controles de seguridad consolidados
- Cumplimiento ISO 27001:2022 (A.8.25-A.8.30), NIS2, DORA o PCI DSS
- Cliente enterprise pide evidencia de pipeline seguro como condición comercial
- Tras incidente con origen en dependencia vulnerable o secreto filtrado
- Modernización: paso de monolito a microservicios, o cloud-native
- Equipo de seguridad reducido que no escala manualmente con desarrollo
Encaja menos
Cuándo no es lo primero
- Sin CI/CD real: builds manuales, despliegues a mano. Hay que consolidar DevOps primero
- Equipo en refactor mayor: pipeline cambiará en semanas y todo el trabajo será deuda
- Producto basado mayoritariamente en SaaS de terceros: auditoría de código puntual encaja mejor
- Incidente activo no resuelto: primero respuesta a incidentes
- Equipo de desarrollo abiertamente hostil a seguridad: hace falta trabajo cultural previo
Encaje regulatorio
| Marco | Referencia | Qué exige y cómo lo cubrimos |
|---|---|---|
| ISO 27001:2022 | A.8.25 a A.8.30 | Bloque completo de desarrollo seguro: planificación, separación de entornos, configuración segura, testing, externalización. |
| PCI DSS v4.0.1 | Req. 6 completo | Desarrollo y mantenimiento seguro de sistemas y software. SAST/SCA explícitos en 6.2.3 y 6.2.4. |
| NIS2 | Art. 21.2.e + 21.2.f | Ciberhigiene + procedimientos para evaluar eficacia de las medidas. Pipeline documentado + métricas + revisión periódica. |
| DORA | Art. 9 + 24-27 | Gestión riesgo TIC + programa de testing de resiliencia digital. Pipeline + DAST + chaos opcional. |
| Executive Order 14028 (SBOM) | Mandato federal USA · NIS2 · DORA | SBOM en CycloneDX/SPDX adjunto a cada artefacto. Política de firma. |
| NIST SSDF | SP 800-218 | Secure Software Development Framework. Marco de referencia explícito para DevSecOps gubernamental USA. |
| OWASP SAMM 2 | Marco evaluación | Modelo de madurez sobre 5 dimensiones. Lo usamos como referencia de diagnóstico. |
Adaptación por sector
SaaS B2B y software factory
Caso estrella: alta velocidad de release, cloud-native, multi-tenant, clientes enterprise que piden evidencia. Foco en SAST/SCA agresivo, IaC scanning, SBOM público y firma de artefactos como diferencial comercial.
Fintech y entidades financieras
DORA art. 9 + 24-27. PCI DSS req. 6 si toca pagos. Foco en cobertura completa del pipeline, evidencia trazable, auditoría reproducible. Pipeline tipo: SAST + SCA + IaC + DAST + chaos engineering programado.
Healthtech
RGPD art. 9 (datos especiales). Foco en SAST con reglas custom para datos clínicos, IaC scanning de entornos con PHI, DAST sobre endpoints HL7/FHIR, firma de artefactos para auditoría administrativa.
AAPP y servicios públicos
ENS por categorización. NIST SSDF como referencia adicional si hay relación internacional. Foco en pipeline reproducible, evidencia para auditor administrativo, documentación clara para gestores no técnicos.
Retail y e-commerce
PCI DSS req. 6 si toca pagos. Foco en SAST/SCA sobre frontend (XSS, dependencias JS), IaC scanning de buckets/CDN, DAST sobre flujo de pago. Pipelines típicamente JS/Node + monorepo.
Industria y OT con componente software
Foco en firmware y backend asociado. SBOM como requisito creciente para compradores grandes. Pipeline puede ser más lento pero más conservador: bloqueo estricto en cualquier hallazgo de severidad alta o superior.
Objeciones que escuchamos y cómo las contestamos
«Esto va a romper el ritmo de desarrollo»
Bien implantado, lo contrario: el equipo libera más rápido porque no se queda atrapado en revisiones de seguridad al final del ciclo. La clave está en empezar con bloqueo solo en crítico (secretos, deps críticas) y ajustar progresivamente. El primer mes se dedica a ajustar reglas para que los falsos positivos bajen de 15% antes de meter más controles.
«Ya tenemos Snyk/SonarQube/X corriendo, ¿qué aportáis?»
Tener una herramienta corriendo no es DevSecOps. Aportamos: integración en el flujo natural del equipo (no escaneos manuales), ajuste de reglas para que los hallazgos sean accionables, triaje semanal, métricas que ve tanto dev como sec, y la operación que mantiene el pipeline vivo en lugar de degradado a los 6 meses.
«No tenemos equipo de seguridad dedicado»
El modelo continuo está pensado precisamente para eso: actuamos como vuestro equipo DevSecOps externo. Operamos el pipeline, hacemos el triaje, ajustamos reglas, levantamos alertas estructurales y formamos a vuestros developers. Si en algún momento queréis internalizarlo, hacemos handover ordenado.
«Nuestra cultura no está para esto»
Sin cultura mínima compartida (dev y sec hablándose), DevSecOps falla. Si vemos en el walkthrough que la fricción es muy alta, lo decimos honestamente: primero trabajo cultural y de proceso (charlas, juego compartido de objetivos, métricas que ve dirección), después tooling. No imponemos pipeline sobre un equipo que va a sabotearlo.
«¿Coste de licencias se nos va a disparar?»
Depende del stack. Trabajamos con herramientas libres siempre que el caso lo permita (Semgrep open source, OSV-Scanner, Trivy, OpenSCAP, Checkov, ZAP, Falco, cosign, etc.). Solo recomendamos licencia comercial donde aporta valor claro: clientes enterprise con tooling propietario consolidado, o casos de uso que la versión libre no cubre. Sin sesgo de partner.
«¿Y si nos hacéis el pipeline y luego desaparecéis?»
Por eso el modelo continuo es transparente y reversible: todo el pipeline vive en vuestro repositorio, vuestras herramientas, vuestras cuentas cloud. Si decidís cortar, sigue funcionando. Si elegís el modelo de auditorías puntuales, desde el día uno vuestro equipo opera; nosotros revisamos.
KPIs que medimos en un programa DevSecOps
Diez indicadores: cinco que miden al equipo de seguridad y cinco que miden a desarrollo + operación. Los dos lados ven los mismos datos en el mismo dashboard.
% vulnerabilidades detectadas pre-prod
Indicador maestro de shift-left. Objetivo: 80-90% a los 6 meses de operación.
MTTR por severidad
Tiempo medio de remediación: <48h crítica · <2 sem alta · <4 sem media. Tendencia descendente.
% builds bloqueados por hallazgo crítico
Indicador de la rigurosidad del gate. Objetivo: <5% (más alto = ruido; cero = umbral demasiado laxo).
% secretos prevenidos en pre-commit
Frente a detectados a posteriori. Objetivo: >95% prevenidos. Sin esto, los secretos viven semanas en repos.
Cobertura de controles por servicio
% servicios con SAST + SCA + IaC + DAST activos. Objetivo: 100% para servicios productivos.
Lead time to secure deploy
DORA metric + capa sec: tiempo total desde commit a producción con todos los gates pasados. Objetivo: horas, no días.
Deploys por semana
DORA metric clásica. Objetivo: subida sostenida o estable; bajada indica fricción introducida por el pipeline.
Change failure rate
DORA metric. Objetivo: <15%. Indica si el pipeline está atrapando suficiente antes de producción.
Mean time to recover
DORA metric. Objetivo: <1h. Indica madurez del pipeline para rollback + redeploy seguro.
Satisfacción del equipo dev con sec
Encuesta corta trimestral. Objetivo: tendencia positiva. Si baja, los controles están mal afinados.
Glosario DevSecOps
Shift-left
Mover los controles de seguridad lo más a la izquierda posible del pipeline (pre-commit, build) para detectar problemas cuando aún cuestan minutos en lugar de semanas.
SAST
Static Application Security Testing. Análisis estático del código sin ejecutarlo. Detecta patrones inseguros conocidos.
SCA
Software Composition Analysis. Análisis de dependencias y librerías de terceros. Detecta CVEs y problemas de licencia.
DAST
Dynamic Application Security Testing. Análisis dinámico sobre la app corriendo. Complementario a SAST.
SBOM
Software Bill of Materials. Inventario de componentes del software. CycloneDX y SPDX son los formatos estándar.
Policy as code
Reglas de seguridad expresadas como código (Rego, Kyverno, etc.) que se evalúan automáticamente en cada decisión del pipeline.
Admission policy
Política que evalúa cada solicitud de despliegue en Kubernetes/cloud antes de admitirla. Bloquea lo que no cumple criterios.
Cosign / sigstore
Herramienta y proyecto open source para firmar artefactos (imágenes, binarios) con identidad verificable, basada en transparencia.
OWASP SAMM
Software Assurance Maturity Model. Marco de OWASP para medir madurez del programa de seguridad de software.
BSIMM
Building Security In Maturity Model. Marco alternativo de Synopsys, basado en observación empírica de programas reales.
Falso positivo (FP)
Hallazgo del escáner que tras análisis no es explotable o no aplica. La tasa de FP determina si el pipeline aporta o estorba.
DORA metrics
Las cuatro métricas clave de DevOps Research and Assessment: deploys/sem, lead time, change failure rate, MTTR. Suelen combinarse con métricas sec.
Servicios relacionados en Hard2bit
Auditoría de código fuente
Auditoría puntual experta. Coordinación habitual: la auditoría encuentra; DevSecOps automatiza la prevención.
Ver →
Auditoría de seguridad API
DAST y testing de APIs como parte del pipeline DevSecOps cuando el cliente tiene API expuesta.
Ver →
Auditoría aplicaciones web
Complementaria. DAST programado en pipeline + auditoría manual periódica.
Ver →
Identidades no humanas
Gestión de secretos en CI/CD y workload federation son punto de cruce natural con NHI.
Ver →
Hardening de sistemas
Hardening de los nodos donde corre el pipeline (runners, K8s, cloud) e IaC scanning.
Ver →
Seguridad cloud
Pipeline DevSecOps + posture cloud son las dos caras de la seguridad cloud moderna.
Ver →
Gestión riesgo terceros
SBOM, SCA y dependencias son el cruce con riesgo de cadena de suministro.
Ver →
Superficie de ataque
Vigilancia de repositorios públicos, secretos filtrados, exposiciones tras release.
Ver →
Pentesting
Pentest valida que el pipeline realmente cierra lo que se compromete a cerrar.
Ver →
Preguntas frecuentes
¿Qué es DevSecOps y en qué se diferencia de DevOps con un escáner enchufado al final?
DevOps + un escáner al final es lo que muchos llaman DevSecOps en marketing pero no lo es. DevSecOps real significa integrar seguridad en cada etapa del ciclo: cultura de equipo (devs + ops + sec hablan a diario, comparten métricas y propiedad), tooling integrado en el flujo natural de trabajo (no escaneos manuales de auditoría), políticas como código, automatización de controles. El escáner al final genera fricción y se ignora; el control bien integrado pre-commit, en PR y en pipeline encuentra el problema cuando aún cuesta minutos arreglarlo, no semanas.
¿Qué hace concretamente vuestro servicio?
Tres líneas de trabajo. Diagnóstico: medimos madurez DevSecOps actual contra OWASP SAMM o BSIMM y devolvemos roadmap priorizado. Implantación: añadimos controles en cada etapa del pipeline (pre-commit hooks, SAST, SCA, secrets scanning, IaC scanning, DAST, container scanning, firma de artefactos, gestión de secretos, policy as code). Operación: el equipo asume el flujo y nosotros lo gobernamos: triaje de hallazgos, ajuste de reglas para bajar falsos positivos, mejora continua. Dos modelos contractuales: programa continuo de operación o auditorías puntuales periódicas.
¿Sobre qué stack trabajáis?
Lo que use el cliente. CI/CD: GitHub Actions, GitLab CI, Jenkins, Azure DevOps, Bitbucket Pipelines, CircleCI, ArgoCD. SAST/SCA/secrets: Semgrep, SonarQube, CodeQL, Snyk, OSV-Scanner, Trivy, Gitleaks, TruffleHog. IaC scanning: Checkov, tfsec, KICS, Terrascan. Container/K8s: Trivy, Grype, Falco, Kyverno, OPA Gatekeeper. DAST: ZAP, Burp Suite Enterprise, Nuclei. Firma y SBOM: cosign/sigstore, syft, CycloneDX, SPDX. Gestión de secretos: Vault, AWS/Azure/GCP Secrets Manager, CyberArk. No imponemos herramienta: trabajamos con lo que el equipo ya conoce o lo más cercano al stack.
¿Esto no va a frenar a desarrollo?
Bien implantado, lo contrario: reduce el tiempo total de entrega porque atrapa problemas en minutos en lugar de en semanas. Mal implantado sí frena, y por eso el primer mes se dedica a ajustar reglas para bajar falsos positivos por debajo del umbral que el equipo tolera (típicamente <15%), priorizar controles bloqueantes solo en lo crítico (secretos, dependencias críticas), y darle al equipo de desarrollo visibilidad y control sobre qué se ejecuta y cuándo. El criterio: el desarrollador medio nunca debería ver una alerta absurda.
¿Cuánto cuesta y cuánto dura?
Un diagnóstico de madurez: 2-3 semanas, 6-12 mil euros. Implantación inicial para un stack típico (1-3 repos, GitHub/GitLab Actions, cloud principal): 6-12 semanas, 1-2 ingenieros, 24-60 mil euros. Plataformas grandes con múltiples lenguajes, monorepos y varios entornos cloud se mueven en 12-24 semanas y 60-140 mil euros. La operación continua posterior se factura como suscripción mensual; las auditorías periódicas como proyecto cerrado. Antes de presupuestar pedimos diagnóstico inicial para dimensionar el alcance real.
¿Qué métricas mejoran realmente con DevSecOps?
Cinco que miden el equipo de seguridad y otras cinco que miden los equipos de desarrollo y operación. Seguridad: % vulnerabilidades detectadas pre-producción, MTTR de vulnerabilidades por severidad, % builds bloqueados por hallazgo crítico, % secretos prevenidos vs detectados a posteriori, cobertura de controles por servicio. Desarrollo/Operación: lead time to secure deploy (tiempo total desde commit a producción aprobada), tasa de despliegues por semana (DORA metric clásica), tasa de fallos en cambio, tiempo medio de recuperación, satisfacción del equipo dev con los controles de seguridad (medida formalmente, no asumida).
¿Cómo encaja con cumplimiento ISO 27001, NIS2, DORA, PCI DSS?
Encaja directamente con el bloque de gestión de desarrollo seguro. ISO 27001:2022 (A.8.25 a A.8.30) cubre planificación, separación de entornos, configuración y testing de seguridad en el desarrollo. NIS2 art. 21.2.f exige políticas y procedimientos para evaluar la eficacia. DORA art. 9 + 24-27 cubre programa de pruebas y resiliencia. PCI DSS v4 req. 6 entero es desarrollo y mantenimiento seguro. Lo que entregamos —pipeline documentado, evidencia de controles ejecutados, gestión de hallazgos, mejora continua medida— es exactamente la evidencia que pide cada auditor.
¿Trabajáis sobre nuestro pipeline existente o lo creáis vosotros?
Sobre lo existente siempre que sea viable. Si ya hay GitHub Actions/GitLab CI/Jenkins con flujos consolidados, añadimos los controles dentro de esos flujos sin reescribirlos. Si la base es muy débil (sin CI/CD real, builds manuales, despliegues a mano), recomendamos consolidar primero el flujo DevOps y después añadir la capa Sec. No imponemos herramienta de CI/CD: trabajamos con lo que el equipo va a mantener después de irnos nosotros.
¿Qué diferencia hay entre programa continuo y auditorías puntuales?
El programa continuo es la opción para clientes que quieren tratar DevSecOps como práctica viva: nosotros operamos el flujo, triamos hallazgos, ajustamos reglas, levantamos alertas estructurales, formamos al equipo. Es lo que da mejor resultado en términos de madurez sostenida. Las auditorías puntuales son la opción para clientes con equipo capaz que prefiere asumir la operación y contratar revisiones externas periódicas (típicamente trimestrales o semestrales): el alcance es revisar el pipeline, identificar drift, validar que los controles siguen activos y operativos, y entregar informe ejecutivo + plan de mejora. Mismo equipo Hard2bit, mismo nivel técnico, modelos contractuales distintos.
¿Cómo arrancamos un proyecto en Hard2bit?
Llamada de 30 minutos para entender vuestro stack, el momento (post-incidente, exigencia regulatoria, modernización, escala) y el modelo que os encaja. Si tiene sentido, walkthrough técnico de 1-2 horas con un tech lead y un sysadmin/SRE. Con eso emitimos propuesta firme en 48-72 horas: diagnóstico inicial, alcance de implantación, equipo asignado, entregables y precio cerrado. Si vemos que conviene combinar con auditoría de código puntual antes de implantar pipeline, lo decimos honestamente.
¿Pipeline DevSecOps o auditoría periódica?
Llamada de 30 minutos para situar vuestro nivel actual, vuestro stack y el modelo que mejor encaja. Diagnóstico de madurez OWASP SAMM si tiene sentido. Propuesta firme en 48-72 horas. Sin compromisos hasta la firma.