44
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
INVESTIGACIÓN
Integración de prácticas de seguridad
para pipelines DevSecOps en entornos
contenerizados
Integration of security practices for DevSecOps
pipelines in containerized environments
Ing. Mary Nelsa Bonne Cuza*, Téc. Meliza León Bencomo²
Recibido: 11/2025 | Aceptado: 11/2025 | Publicado: 12/2025
Resumen
La seguridad en el desarrollo de software es una preocupación pri-
mordial en la era digital actual, especialmente en entornos de inte-
gración y entrega continua. A medida que las amenazas cibernéticas
evolucionan, es necesario que los equipos de desarrollo integren la
seguridad desde las fases iniciales del ciclo de vida del software. La
investigación se centra en implementar de prácticas DevSecOps, que
buscan incorporar la seguridad desde el inicio del pipeline. Se em-
plearon métodos cualitativos y cuantitativos como análisis de casos
y revisión documental, para identicar mejores prácticas y desafíos
en el campo. Los hallazgos indican que la falta de alineación entre
los equipos de desarrollo, operaciones y seguridad es un obstáculo
crítico. Sin embargo, la implementación efectiva de herramientas au-
tomatizadas mejora de forma signicativa seguridad. Las conclusio-
nes destacan la necesidad de fomentar una cultura colaborativa y un
*
Facultad de Ciberseguridad. Universidad de las Ciencia Informáticas. Carretera a San
Antonio Km 2 ½ Torrens. Boyeros. La Habana. Cuba. mary@uci.cu
2
Dirección de Seguridad Informática. Universidad de las Ciencia Informá-
ticas. Carretera a San Antonio Km 2 ½ Torrens. Boyeros. La Habana. Cuba.
mary@uci.cu
pp. 44 - 61
45
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
enfoque proactivo hacia la seguridad. Se resalta la urgencia de abor-
dar las preocupaciones de seguridad en el desarrollo de software y se
propone un proceso claro hacia una integración exitosa de prácticas
DevSecOps.
Palabras clave: contenerización, entrega continua, integración
continua, seguridad
Abstract
Security in software development is a paramount concern in to-
day’s digital age, especially in continuous integration and conti-
nuous delivery environments. As cyber threats evolve, it is necessary
for development teams to integrate security from the early stages
of the software lifecycle. The research focuses on the implementa-
tion of DevSecOps practices, which seek to incorporate security from
the beginning of the pipeline. Qualitative and quantitative methods,
such as case analysis and document review, were used to identify
best practices and challenges in the eld. The ndings indicate that
the lack of alignment between development, operations and secu-
rity teams is a critical obstacle. However, eective implementation
of automated tools signicantly improves the security posture. The
ndings highlight the need to foster a collaborative culture and a
proactive approach to security. It highlights the urgency of addres-
sing security concerns in software development, proposing a clear
process towards successful integration of DevSecOps practices.
Keywords: containerization, continuous delivery, continuous inte-
gration, security
Introducción
La evolución de las prácticas de desarrollo de software ha llevado
a la creación de metodologías que buscan mejorar la eciencia y la
colaboración entre los equipos involucrados. Una de las innovacio-
nes más signicativas en el ámbito es el concepto de DevSecOps, que
ha transformado la manera en que los desarrolladores y los equipos
de operaciones interactúan y trabajan juntos. Su propósito es optimi-
zar el proceso de entrega de software. Esta metodología promueve la
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
46
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
colaboración entre operadores y desarrolladores, con el objetivo de
igualar su agilidad hacia un objetivo común (Muñoz, 2023).
La seguridad de la información y el cumplimiento normativo son
fundamentales en el desarrollo de software. Estadísticas recientes re-
velan un aumento notable en los costos asociados a las violaciones de
datos, así como en la frecuencia y sosticación de los ataques dirigi-
dos a las aplicaciones y sistemas. La gestión de vulnerabilidades se
ha convertido en un desafío urgente, con tiempos de reparación que
superan los 200 días, según datos del Instituto Nacional de Estándares
y Tecnología (NIST, por sus siglas en inglés) (Madnick, 2023).
El panorama muestra una tendencia creciente hacia la automatiza-
ción y la mejora continua en las operaciones de software. Entre 2015 y
2025 se ha observado una adopción signicativa de DevSecOps, cuyo
crecimiento exponencial reeja la madurez progresiva de las prácti-
cas de seguridad integradas. En este contexto, DevSecOps se conso-
lida como el enfoque clave para abordar los desafíos de seguridad. La
metodología se establece como una necesidad imperativa para miti-
gar riesgos y asegurar la integridad de las aplicaciones (Chandramouli
etal., 2024; GitLab, 2025). Para mejorar la velocidad de implemen-
tación, la aplicación de parches, el escalado y la eciencia en el de-
sarrollo del software, se utilizan las tecnologías tales como Docker y
Kubernetes. En esta investigación las autoras se centraron en la tec-
nología de contenerización Kubernetes.
Kubernetes permite organizar y gestionar el trabajo en DevSecOps
de manera efectiva al proporcionar una infraestructura escalable y au-
tomatizada que facilita el despliegue de aplicaciones. Muchas organi-
zaciones han adoptado esta tecnología para implementar políticas de
seguridad especícas y reducir la supercie de ataque, mejorando la
resistencia ante posibles amenazas. La integración de DevSecOps en
Kubernetes se materializa a través de un pipeline de seguridad conti-
nua que abarca múltiples capas de protección (Kubernetes, 2024).
No obstante, el entorno presenta una serie de desafíos críticos
relacionados con la seguridad del pipeline. Una de las problemáti-
cas más signicativas se maniesta cuando un despliegue reciente
se ve comprometido por una vulnerabilidad no detectada en una de
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
47
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
las imágenes del contenedor. La ausencia de estándares especícos
y mejores prácticas establecidas impide que el equipo de desarrollo
cuente con un marco referencial que dirija la implementación de
medidas de seguridad a lo largo del SDLC (System Development Life
Cycle).
Este vacío normativo retrasa la detección de los problemas y com-
promete la integridad de la aplicación, lo que afecta de manera nega-
tiva la conanza del cliente y la reputación corporativa. La situación
genera incertidumbre con respecto a la conformidad regulatoria que
podría conducir a sanciones económicas signicativas y la pérdida
de licencias operativas para el funcionamiento del negocio. La caren-
cia de visibilidad respecto al estado y comportamiento del pipeline
también representa un desafío crítico. Sin herramientas apropiadas
para la supervisión resulta casi imposible detectar anomalías o com-
portamientos sospechosos en tiempo real. Dicha situación condu-
ce a un aumento en los tiempos de respuesta ante incidentes, lo que
afecta gravemente la continuidad operativa. En ausencia de prácti-
cas estandarizadas para gestionar conguraciones seguras, el equipo
de desarrollo identica que muchas aplicaciones son implementadas
con conguraciones inseguras por defecto, lo que genera un entorno
propenso a ataques cibernéticos y vulnerabilidades susceptibles de
ser explotadas por actores maliciosos.
Por lo antes expuesto, las autoras decidieron realizar una investi-
gación sobre las prácticas más idóneas en materia de seguridad que
se pueden integrar en el pipeline DevSecOps en entornos conteneri-
zados con el n de garantizar la protección integral del software desde
su concepción hasta su despliegue en producción.
Materiales y métodos
Para la realización de la propuesta de solución, las autoras tuvie-
ron en cuenta varios métodos cientícos que permitieron una ma-
yor organización en el trabajo. Se utilizó el método análisis-síntesis
para descomponer el problema de investigación en sus componentes
principales y, posteriormente, integra estos elementos en la propues-
ta del procedimiento. Este proceso facilitó la identicación de las in-
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
48
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
terrelaciones entre las herramientas, estándares y mejores prácticas
de seguridad utilizadas. El método de observación contribuyó a la
denición del objeto de estudio y las herramientas empleadas; per-
mitió captar información relevante sobre el tema de investigación.
El método de inducción-deducción se utilizó para tener una visión
clara del procedimiento que se quiere elaborar.
Se tomaron en cuenta los fundamentos necesarios sobre los ele-
mentos que intervienen en los pipelines DevSecOps en Kubernetes
como la entrega e integración continua (CI/CD) en la implementación
del pipeline DevSecOps, la cual garantiza que cada etapa del ciclo de
vida del software esté respaldada por medidas robustas (Muñoz, 2023;
Xygeni, 2024). Según Kev Zettler (en su publicación de Atlassian, 2024),
la implementación de DevSecOps cuenta con cinco etapas cíclicas
para su desarrollo: Planicación, Compilación, Prueba, Despliegue y
Monitoreo (Atlassian, 2024). Estas etapas se convierten en un mar-
co fundamental para garantizar que las aplicaciones sean seguras y
alineadas con los objetivos estratégicos de la organización. Por su
parte, Luca Antoniotti, desarrollador de software, dene, en su tesis
de maestría para el Politécnico de Torino, cuatro etapas fundamen-
tales para el pipeline DevSecOps con diferencias sutiles respecto a
la metodología general: Construcción, Prueba, Entrega y Despliegue
(Antoniotti, 2021).
Se consideraron estándares y regulaciones para DevSecOps. Entre
las principales se encuentran:
• ISO/IEC 27001:2022: proporciona un marco adaptable para ali-
near la seguridad con los objetivos empresariales (Zhu & Zou, 2021).
• NIST SP 800-53: brinda lineamientos especícos para prote-
ger sistemas y datos en entornos dinámicos, como pipelines de CI/CD
(Zayni & Nassereddine, 2020).
Se efectuó un análisis de soluciones para la integración de están-
dares y mejores prácticas de seguridad para el pipeline DevSecOps en
Kubernetes a partir del diseño de un protocolo de búsqueda que faci-
litó la observación de artículos y estudios relacionados con el tema de
investigación y se sentaron las bases para confección de la propuesta
de solución.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
49
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
La solución presentada integra herramientas y tecnologías para la
conformación de estándares y mejores prácticas de seguridad para
el pipeline DevSecOps en entornos contenerizados. Se utilizó Tekton,
un marco de automatización de código abierto (especícamente en
entornos Kubernetes), en particular para crear sistemas de CI/CD, que
permite a los desarrolladores construir, probar e implementar en pro-
veedores de nube y sistemas locales. La elección de Tekton se justica
por su capacidad para proporcionar una plataforma extensible y mo-
dular que facilita la automatización de ujos de trabajo (Tekton, 2023).
Resultados y discusión
En el ámbito de la gestión de procesos y controles de seguridad,
la estructuración de procedimientos denidos es fundamental para
garantizar la consistencia y el cumplimiento de los objetivos estable-
cidos. El procedimiento propuesto en esta investigación se compo-
ne de tres fases principales, las cuales agrupan un total de seis pasos
que permiten denir, implementar y validar controles de seguridad de
manera sistemática, lo que asegura su alineación con estándares reco-
nocidos y la correcta asignación de responsabilidades. En la Figura 1
se muestra el proceso organizado en tres fases principales:
Figura 1. Estructura del procedimiento a desarrollar
1. Fase de Planicación
• Comienza con la denición del objetivo, que establece el pro-
pósito principal.
• El alcance se deriva del objetivo y dene los límites del proce-
dimiento.
pp. 44 - 61
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
50
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
2. Fase de Control
• La selección de controles de seguridad proporciona las medidas
necesarias.
• La asignación de responsables garantiza la ejecución adecuada.
3. Fase de Implementación
• Se establecen los requisitos especícos para cada control.
• Por último, se denen las entradas y salidas adaptadas al proceso.
A través de este enfoque, se busca no solo establecer un marco de
acción denido, sino también facilitar la adaptabilidad a diferentes
contextos organizacionales, integrando requisitos previos, acciones
esperadas y mecanismos de retroalimentación. La aplicación metodo-
lógica de estos pasos contribuye a la mejora continua, minimiza ries-
gos y optimiza la ecacia de los controles implementados.
Descripción de las fases para la implementación del
procedimiento
1. La fase de Planicación es fundamental en cualquier proce-
dimiento, su objetivo principal es establecer de manera clara y
precisa qué se desea lograr. Este proceso proporciona una direc-
ción especíca y dene un propósito concreto que guiará todas
las acciones derivadas (véase Cuadro 1).
Objevo del procedimiento
• Integrar controles de seguridad automa-
zados en el pipeline de CI/CD mediante
estándares reconocidos (NIST SP 800-53 e
ISO/IEC 27001/2022), lo que combina la
implementación técnica.
• Alcance muldimensional:
La solución propuesta ene un impacto en tres
ámbitos fundamentales: en el empresarial,
que abarca todos los niveles organizacionales
desde el desarrollo hasta las operaciones; en el
técnico, que cubre la infraestructura de Kuber-
netes y sus componentes; y en el de seguridad,
que implementa controles asegurando el cum-
plimiento de estándares internacionales como
la ISO/IEC 27001:2022 y el NIST SP 800-53.
Alcance del procedimiento
pp. 44 - 62
• El enfoque unicado busca garanzar que
la seguridad no sea una fase posterior,
sino un proceso automazado desde la
construcción hasta el despliegue, redu-
ciendo riesgos sin comprometer agilidad.
Cuadro 1. Fase de Planificación del procedimiento
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
51
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
2. El propósito principal de la fase de Control es denir un con-
junto de medidas de seguridad y vericación que aseguren el
cumplimiento riguroso de los estándares establecidos. Implica
la selección de mecanismos que monitoreen la calidad del tra-
bajo y la designación de personas especícas y responsables
para las tareas asignadas. De esta forma, se garantiza que cada
miembro del equipo tenga denido su rol para mantener la in-
tegridad del proceso.
Estándares y controles. Criterio de selección
La elección de ISO/IEC 27001:2022 junto con NIST SP 800-53 como
marcos de seguridad para un pipeline DevSecOps se justica debido a
la cobertura integral y enfoque complementario que poseen respecti-
vamente. La base normativa para el procedimiento de integración de
seguridad en pipelines DevSecOps incluye los siguientes elementos
especícos, cada uno con una función generalizada, según las norma-
tivas (Wilbur L. Ross, Jr., Secretary, 2020; ISO/IEC 27001, 2022)
ISO/IEC 27001/2022
• A.8.1: se enfoca en la gestión y seguridad de dispositivos de
usuario nales.
• A.8.2: establece los requisitos para gestionar y controlar los ac-
cesos privilegiados dentro de la organización.
• A.12.1.3: establece los componentes necesarios para mantener
la capacidad adecuada para garantizar que los servicios sean se-
guros y estén disponibles.
• A.8.23: implementa medidas para controlar y monitorear el ac-
ceso a contenido web.
• A.8.28: se centra en garantizar que el desarrollo de software se
realice de manera segura.
NIST SP 800-53
• AC-2.7: establece un marco de autenticación único y consis-
tente, lo que permite la integración automática en el pipeline
mediante la automatización de pruebas de autenticación y la
validación continua de identidades. Establece el control de ac-
ceso a los recursos.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
52
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
• AC-3: aporta una capa adicional de seguridad mediante la ges-
tión de acceso, lo que es esencial en entornos DevSecOps donde
los cambios son frecuentes y necesitan ser consistentes.
• AC-6: proporciona un enfoque de gestión de privilegios mínimos,
lo que permite la automatización de roles y permisos.
• AC-4: establece políticas de red seguras que pueden ser versio-
nadas y aplicadas automáticamente, esto posibilita la segmen-
tación de red y el control de tráco en cada etapa del pipeline.
• AC-10: aporta un enfoque integral de gestión de eventos de se-
guridad que puede ser automatizado y monitoreado en tiempo
real.
Estos controles son particularmente valiosos porque pueden ser
automatizados y versionados, lo que permite su integración uida en
el pipeline CI/CD, a diferencia de otros controles que requieren inter-
vención manual o que no son de manera directa aplicables a un en-
torno automatizado. Su implementación conjunta crea una capa de
seguridad integral que abarca los aspectos principales de un entorno
DevSecOps: autenticación, control de acceso, seguridad de red y mo-
nitoreo de eventos.
Estrategia de selección para los controles de seguridad
Para el desarrollo de la investigación se diseñó un protocolo de se-
lección que facilitó el análisis de estándares y controles relacionados
con la integración de medidas de seguridad en el pipeline DevSecOps
en el clúster de k8s que utilizó Tekton. La combinación de estos crite-
rios permitió seleccionar un conjunto de controles que no solo cumplen
con los requisitos de seguridad, sino que también son implementables
y mantenibles en un entorno DevSecOps moderno, donde la automati-
zación y la velocidad de entrega son fundamentales.
Objetivo del análisis: identicar estándares y controles que
describen métodos aplicables para la integración de mejores prác-
ticas para el pipeline DevSecOps en Kubernetes. Además, identi-
car las técnicas de implementación seguras que se pueden integrar
al pipeline DevSecOps.
Fuente de información: normativas gubernamentales o verica-
das en el ámbito nacional. ISO/IEC 27001 y NIST SP 800-53.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
53
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Estrategia de búsqueda: Controles que abarquen la implemen-
tación de prácticas de seguridad que complementen la robustez de
Kubernetes.
Criterios de inclusión y exclusión: Inclusión: capacidad de au-
tomatización a través de la posibilidad de implementación mediante
scripts. Alineación con medidas de seguridad establecidas en el mar-
co regulatorio cubano. Integración con herramientas de automatiza-
ción utilizadas. Capacidad de evolución con la organización según su
adaptabilidad a diferentes entornos empresariales.
Procedimientos de revisión: Selección inicial, Evaluación detalla-
da y Síntesis de resultados.
Responsables de la ejecución del procedimiento: El enfoque
DevSecOps trasciende los equipos de desarrollo, operaciones y se-
guridad. Involucra grupos multidisciplinarios que incluyen equipos
de control de calidad (QA), arquitectos de soluciones y especialistas
en cumplimiento normativo. La colaboración entre estos grupos re-
sulta fundamental para garantizar la integración de la seguridad en
cada fase del ciclo de vida del desarrollo del pipeline.
El equipo DevSecOps es el responsable del proceso. Su función
principal es garantizar la integridad y protección de los entornos de
desarrollo y despliegue. Sus responsabilidades comprenden la de-
nición y mantenimiento de políticas de seguridad, basadas en las
normas NIST SP 800-53. Es el encargado de la implementación de
controles automatizados en la plataforma Tekton, en conformidad
con los estándares seleccionados.
Clientes nales: el proceso cuenta con diversos clientes que se
dividen en dos grupos: internos, que participan activamente en el
proceso DevSecOps; y los externos, que son los beneciarios na-
les con una relación independiente del proceso. La implementación
de pipelines en DevSecOps es fundamental porque integra de forma
automática la seguridad en cada etapa del desarrollo de software, lo
que ayuda a identicar y corregir fallos desde el inicio del proceso. Al
automatizar las pruebas de seguridad y la evaluación de vulnerabili-
dades, las organizaciones pueden entregar software más seguro y de
mayor calidad de manera más rápida.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
54
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Requisitos previos para la implementación de cada control: or-
ganizar y aislar los recursos de manera segura permite la creación de
una base sólida para el desarrollo y despliegue de los controles selec-
cionados. A continuación se presentan los requisitos que aseguran
que la implementación sea exitosa para crear y gestionar pipelines:
Requisito 1: Instalar y congurar Tekton: se debe comenzar con la
ejecución de las instrucciones correspondientes a su documentación
inicial. El objetivo es asegurar que el código y las dependencias cum-
plan con estándares de seguridad antes de generar artefactos.
Requisito 2: Congurar el entorno de trabajo
Salidas esperadas: Un pipeline de DevSecOps operativo que inte-
gre controles de seguridad automatizados, estableciendo un ciclo de
retroalimentación continua para la mejora iterativa de las medidas de
seguridad a lo largo de todas las etapas, desde el desarrollo hasta la
producción.
Implementación en la etapa de construcción del pipeline
La etapa de construcción es fundamental para verificar la in-
tegridad del código y detectar vulnerabilidades de seguridad. Se
lleva a cabo su desarrollo a través de los controles AC-3 y AC-2.7
de NIST 800-53.
Control AC-2(7) del NIST SP 800-53 Esquema Basado en Roles
(RBAC)
Objetivo: restringir accesos al pipeline de construcción (ejemplo:
solo el equipo de DevSecOps puede modicar Tasks).
Implementación
• Crear 3 Roles en formato YAML para denir los roles esenciales
(un rol de administrador total, un rol de desarrollador y un rol de solo
lectura).
Control AC-3 del NIST SP 800-53 (Políticas de red)
Objetivo: garantizar que solo los recursos autorizados puedan
interactuar con el pipeline, aplicando el principio de mínimos pri-
vilegios y seguridad por defecto. Crear NetworkPolicies para aislar
los pods.
Implementación
• Crear NetworkPolicies para aislar el pipeline.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
55
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Implementación en la etapa de prueba del pipeline
La implementación del ISO/IEC 27001:2022 como control de segu-
ridad en el pipeline DevSecOps se realizó mediante una arquitectura
integrada que comenzó con la denición de dos controles fundamen-
tales: el A.8.1 para la identicación de activos mediante escaneo de
secretos, conforme a la legislación cubana que recomienda a las enti-
dades a implementar medidas de seguridad para la información crítica
según su Artículo 17 del Decreto-Ley 370/2018 y el A.8.2 para el con-
trol de acceso elevado a sistemas y datos en dependencias, siguiendo
las disposiciones del Decreto-Ley 360/2019 que requiere la gestión de
riesgos en infraestructuras críticas según su Artículo 8 (Saber, 2018).
Control A.8.1 y A.8.2 del ISO/IEC 27001-2022 (Gestión de acceso y
privilegios)
Objetivos: fortalecer la seguridad durante el desarrollo y desplie-
gue de aplicaciones mediante la asignación controlada de derechos
administrativos y el escáner de elementos privados o de acceso res-
tringido.
Implementación:
• Crear Task para el escáner.
La tarea está diseñada para escanear secretos en un directorio de
código fuente utilizando la herramienta Trivy de Aqua Security que
ayuda a identicar vulnerabilidades y problemas de seguridad en di-
ferentes componentes.
Implementación en la etapa de entrega del pipeline
Para establecer un entorno seguro en Tekton Pipelines en la etapa
de entrega se implementaron varios aspectos de distintos controles del
NIST SP 800-53, en cumplimiento con el marco legal cubano que esta-
blece controles de seguridad para entidades estatales, que incluyen la
gestión de accesos y protección de datos en la Resolución 105/2020.
Control AC-3 AC-6 AC-4 AC-10 de NIST SP 800-53
Implementación
• Crear un namespace y una cuenta de servicio con permisos mí-
nimos.
Se crea una cuenta de servicio (ServiceAccount) dentro del deno-
minado namespace previamente creado. La cuenta de servicio será
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
56
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
utilizada por los pods para acceder a los recursos necesarios dentro
del clúster. Al establecer esta cuenta de servicio, se facilita la ejecu-
ción de tareas automatizadas y la implementación de procesos de
integración continua.
• Aplicar en el clúster con kubectl apply -f <service-account.yaml>
• Denir un rol que solo permita ejecutar pipelines sin permisos
administrativos.
Implementación en la etapa de despliegue del pipeline
En los entornos Kubernetes para el despliegue se utilizan múltiples
tecnologías y herramientas (como Docker, Helm, Istio, entre otros) que
pueden variar entre organizaciones. En esta etapa se proponen me-
jores prácticas de seguridad, según las características necesarias de
cada proyecto o software desplegado en función de la organización.
Recomendar estándares generales permite que cada equipo elija las
herramientas más adecuadas para su contexto sin limitarse a una so-
lución especíca que puede no ser inclusiva para sus necesidades. La
etapa de despliegue en un pipeline DevSecOps es crítica para garanti-
zar la seguridad operacional, donde se aplicarán controles especícos
del estándar ISO/IEC 27001:2022. Los controles seleccionados abar-
can el A.12.1.3 (gestión de capacidad), A.8.23 (seguridad en servicios
en red) y A.8.28 (protección en sistemas públicos).
Control A.12.3 del ISO/IEC 27001:2022 (Gestión de capacidad)
El control establece que el uso de los recursos debe monitorizar-
se, ajustarse y proyectarse para anticipar necesidades futuras, garan-
tizando así el rendimiento requerido del sistema. Asimismo, enfatiza
en la importancia de escanear y evaluar los componentes del sistema
para identicar vulnerabilidades conocidas. Para implementarlo se
recomienda añadir pasos en el Task de despliegue que cumplan fun-
ciones propuestas.
Objetivo: Limitar CPU por pod para evitar consumo excesivo.
Control A.8.23 del ISO/IEC 27001:2022 (Seguridad en red)
El control se enfoca en garantizar que las comunicaciones dentro
de los sistemas estén protegidas contra accesos no autorizados, ata-
ques y exposición de datos sensibles.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
57
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Objetivo: Restringir tráco entre pods (solo frontend a backend).
Control A.8.28 del ISO/IEC 27001:2022 (Protección en sistemas
públicos)
El control se reere a la gestión de conguraciones y cambios en
sistemas de información. Establece que las conguraciones de los sis-
temas deben ser documentadas, controladas y revisadas con regula-
ridad para garantizar que no introduzcan vulnerabilidades. Además,
los cambios en las conguraciones deben ser evaluados, probados y
aprobados antes de su implementación para minimizar riesgos.
Objetivo: Asegurar comunicaciones con HTTPS (Hyper Text
Transfer Protocol Secure), y evitar datos en claro. Forzar HTTPS en
Ingress redirigiendo HTTP a HTTPS y usar HSTS.
Estrategia de validación del procedimiento propuesto
La validación de procedimientos es fundamental en el campo de la
seguridad informática, ya que es un proceso riguroso que asegura que
los métodos establecidos cumplan de forma efectiva con los objetivos
propuestos. A través de este procedimiento, se verica la capacidad
de cada elemento, se identican posibles fallos y se corrigen, demos-
trando su idoneidad para proteger los activos informáticos. Para esta
investigación, se emplearon dos enfoques: simulación y métricas.
La Figura 2 detalla el procedimiento para desarrollar la simulación
en VirtualBox. Esta guía describe cada etapa del proceso con el n de
asegurar la correcta aplicación de las técnicas y lograr una validación
exitosa en un entorno real.
Figura 2. Etapas que componen el procedimiento empleado en la estrategia
de validación simulación
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
58
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Las fases materializan el procedimiento en acciones concretas.
Esto facilita la reproducción controlada de escenarios de seguridad y
la vericación práctica de los procedimientos. Además, contribuyen al
análisis de los resultados obtenidos y generan conclusiones relevan-
tes que sirven de base para recomendaciones orientadas a la mejora
continua. La secuencia lógica de las etapas asegura que la simulación
sea un proceso riguroso, en el que cada fase se apoya en la anterior
para producir resultados conables y aplicables.
El uso de métricas para determinar el cumplimiento normativo es
fundamental para garantizar que la organización cumpla con los están-
dares de seguridad y regulaciones aplicables, lo que facilita la identi-
cación de brechas y la mejora continua en las políticas de seguridad.
Maverix es una solución clave para implementar DevSecOps debido a
su capacidad de automatizar y centralizar métricas críticas de seguri-
dad, integrando distintas herramientas en los pipelines CI/CD. Su mo-
delo cuanticable permite priorizar vulnerabilidades, reducir riesgos
y demostrar cumplimiento normativo, mientras fomenta una cultura
de seguridad ágil (Maverix, 2021).
Maverix calcula el CP (cumplimiento de política) mediante la
fórmula , donde PC son los puntos de control de segu-
ridad implementados y PT el total de controles requeridos según
estándares reconocidos. Esta métrica permite evaluar brechas de
seguridad (ejemplo: un CP del 80 % indica un 20 % de controles
pendientes) y priorizar su implementación para cumplir con nor-
mativas o mejorar la postura de seguridad. Se determina que el
umbral de cumplimiento aceptable se establece cuando CP es ma-
yor o igual al 75 %.
Las dos etapas principales, junto con una fase opcional, facilitan el
establecimiento de objetivos claros, la identicación de los recursos
necesarios y la denición de criterios de éxito. La fase de ajuste inclu-
ye la corrección de hallazgos identicados, ajuste de conguraciones
según resultados, identicación de áreas de mejora, documentación
de cambios implementados y priorizar acciones correctivas según la
necesidad empresarial.
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
59
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
El umbral de cumplimiento del 75 % fue seleccionado como acep-
table, en línea con recomendaciones de diferentes marcos internacio-
nales:
• Según la sección 6.1.2 de la norma ISO/IEC 27001, los controles
de seguridad pueden ajustarse según el nivel de riesgo.
• El marco del NIST CSF clasica los niveles de madurez en cuatro
categorías (Tier 1 a Tier 4), donde Tier 3 («Consistente») indica que la
mayoría de los controles relevantes están en práctica. Un cumplimien-
to del 75 % puede corresponder con un nivel de madurez Tier 3, lo que
signica que la organización tiene una postura de seguridad estable,
pero aún no alcanza la excelencia, que sería Tier 4.
• Los CIS Controls (conjunto de mejores prácticas diseñadas para
ayudar a las organizaciones a mejorar su ciberseguridad) priorizan los
controles básicos y fundamentales. Para sistemas de baja criticidad,
se recomienda implementar al menos el 75 % de los controles básicos.
Desde una perspectiva económica, alcanzar el 100 % de cumpli-
miento implicaría un incremento sustancial en los costos, sin ofrecer
benecios proporcionales en la reducción de riesgos. Por lo tanto,
se concluye que un nivel de cumplimiento entre el 75 % y el 80 %
es común en entornos similares (de prueba o de baja criticidad), lo
que respalda la elección de este umbral como una opción razonable
y práctica.
Conclusiones
Como resultado de la investigación realizada, se concluye que:
La comprensión de los conceptos fundamentales de DevSecOps
es crucial para implementar prácticas de seguridad efectivas en el
desarrollo de software. El análisis detallado de los estándares y me-
jores prácticas permite establecer un marco teórico-metodológico
sólido que sustenta la implementación exitosa de procedimientos
de seguridad, lo que garantiza la integridad y conabilidad del pro-
ceso de desarrollo.
La implementación de estándares y mejores prácticas de seguridad
en pipelines DevSecOps es fundamental para proteger la infraestructu-
ra empresarial y garantizar la integridad del software. El procedimiento
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
60
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
estructurado brindado permite identicar y mitigar vulnerabilidades
para fortalecer la seguridad de la organización mediante un enfoque
sistemático y controlado.
La validación de la propuesta consolida su credibilidad por medio
de un enfoque reexivo que permite ajustar los resultados según los
datos obtenidos, lo que contribuye al avance del conocimiento cien-
tíco. Las simulaciones efectuadas validaron que el ujo de trabajo
es sólido y que el procedimiento alcanza los objetivos planteados, y
esto asegura su aplicabilidad en la práctica y su capacidad para ge-
nerar mejoras.
Integrar estándares y mejores prácticas de seguridad en el pi-
peline DevSecOps es fundamental para proteger proactivamente
el software desde las etapas iniciales del desarrollo. Permite iden-
tificar y abordar vulnerabilidades antes de que se conviertan en
problemas costosos, lo que asegura el cumplimiento normativo y
mejorando la calidad del software.
Referencias bibliográcas
Antoniotti, L. (2021). Tesi di Laurea Magistrale Pipeline DevSecOps
[Máster en Ingeniería Informática, POLITECNICO DI TORINO]. Elec-
tronico.
http://webthesis.biblio.polito.it/id/eprint/20537
Atlassian. (2025, febrero 20). What is SDLC? Software Development
Life Cycle Explained. Atlassian.
https://www.atlassian.com/agile/
software-development/sdlc
Chandramouli, R., Kautz, F., & Torres-Arias, S. (2024). Strategies for
the integration of software supply chain security in DevSecOps CICD
pipelines: (No. NIST SP 800-204D; Número NIST SP 800-204D, p.
NIST SP 800-204D). National Institute of Standards and Technology
(U.S.). https://doi.org/10.6028/NIST.SP.800-204D
GitLab 2024 Global DevSecOps Report | GitLab. (2025, febrero 26).
Nuxt-App.
https://about.gitlab.com/developer-survey/
ISO/IEC 27001:2022. (2022). ISO. https://www.iso.org/standard/27001
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
61
ISSN: 2224-6274, RNPS: 0514, Vol. 22, No. 2, julio - diciembre, 2025
Kubernetes. (2024). Overview. Kubernetes. https://kubernetes.io/
docs/concepts/overview/
Madnick, P. S. E. (2023). The Continued Threat to Personal Data: Key
Factors Behind the 2023 Increase.
Maverix. (2021). DevSecOps automation platform: Metrics-driven se-
curity compliance. Maverix Security Solutions.
https://www.maverix.
com/resources/devsecops-automation-whitepaper
Muñoz, C. D. (2023). DevOps en el desarrollo de software: Integración
y entrega continua. Polo del Conocimiento: Revista cientíco-profe-
sional, 8(9 (SEPTIEMBRE 2023)), 603-615.
Saber, H. (2018). Consejo de Estado.
Tekton. (2023, noviembre 13). How it all started The Tekton Story—
Tekton.
https://blog.tektonlabs.com/tekton-labs-blog/how-it-all-
started-the-tekton-story/
Wilbur L. Ross, Jr., Secretary. (2020). Security and Privacy Controls
for Information Systems and Organizations.
Xygeni. (2024). Mejores prácticas de CI/CD: Transformando el desarrollo
de software| xygeni.
https://xygeni.io/es/blog/cicd-best-practices-trans-
forming-software-development/
Zayni, M., & Nassereddine, B. (2020). (PDF) DevSecOps Practices for
an agile and secure it service management.
https://www.researchga-
te.net/publication/338659928_DevSecOps_PRACTICES_FOR_AN_
AGILE_AND_SECURE_IT_SERVICE_MANAGEMENT
Zhu, B., & Zou, E. (2021). Design of intelligent bedroom system based
on pure o-line speech recognition technology.
https://ieeexplore.
ieee.org/document/9407425/references#references
Integración de prácticas de seguridad para pipelines DevSecOps en entornos contenerizados
Ing. Mary Nelsa Bonne Cuza, Téc. Meliza León Bencomo
pp. 44 - 61
