A.8.29 ISO 27002:2022 + OWASP Testing Guide v4.2
¿Se ejecutan pruebas de seguridad dinámicas (DAST) sobre la versión candidata como gate obligatorio antes de liberar a producción?
Acceder al servicio interno de reportes DAST de OmniControl (basado en OWASP ZAP). Revisar la frecuencia de ejecución, fecha del último escaneo, severidad de hallazgos y trazabilidad con remediación. Verificar si DAST está integrado como stage obligatorio en el pipeline o si se ejecuta manualmente.
Reporte DAST con fecha de ejecución, alcance, hallazgos por severidad y plan de remediación. Configuración del pipeline mostrando si DAST es un gate. Si no hay reportes recientes (< 30 días) o si no bloquea releases, constituye no conformidad.
El análisis de contexto identifica la ausencia de DAST como debilidad D3. Las integraciones con DIAN y RNDC son críticas y sus APIs representan superficie de ataque de alto impacto según el análisis PESTLE Tecnológico.
- 01¿Cuándo fue el último reporte DAST ejecutado?
- 02¿Se ejecuta automáticamente como gate del pipeline?
- 03¿Los hallazgos críticos/altos tienen plan de remediación documentado?
- 04¿Existe trazabilidad entre hallazgos y tickets cerrados?
- 05¿La frecuencia de ejecución es consistente (mensual o por release)?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.