\section{Identificación de los riesgos a terceros}

Cuando exista la necesidad de otorgar acceso a terceras personas se debe llevar 
acabo una evaluación de los riesgos que representan para determinar las implicaciones en la seguridad 
y los requerimientos de controles. Para cada grupo de terceras personas 
se debería llevar la evaluación y definición de los controles de seguridad. \\ 
Se requiere considerar el tipo de acceso requerido (físico, lógico); de 
acuerdo a las actividades que va a realizar 
en la institución, si se va a requerir del uso de activos lógicos de la institución, 
y/o  acceso a determinadas áreas, que pueden ser vitales a la institución, 
y de acuerdo a esto, tener 
la certeza de permitirlo o no.

Para este tipo de riesgos se recomienda:

\begin{itemize}

\item Los medios de procesamientos de información a las cuales necesita 
tener acceso (equipos muy especializados, delicados, sensibles, costosos).

\item Evaluar la información a la que se accede, medido en 
diferentes aspectos (Económicos, sociales, morales, entre otra).

\item Especificarle a las terceras personas las costumbres de la institución y de las
personas que trabajan en ella en materia de la seguridad de la información, en relación con a 
las costumbres de la comunidad, y otros visitantes.

\item Evaluar el nivel de confianza, entendido como qué tanto se confíe 
en que terceros no dañen o usufructúen los activos de información de 
la institución. Esto puede realizarse utilizando una historia detallada 
de incidentes de seguridad, a la cuál pueda aplicarse herramientas estadísticas.

\item Configurar los recursos informáticos requeridos.

\item Cargar los procesos en la realización de la actividades para el 
cumplimientos de las políticas de seguridad.

\item Especificar el nivel de seguridad físico (espacio físico) en su estancia en 
la institución y en realizar las actividades de acuerdo con los niveles de confianza,

\item Disponibilidad de una red inalámbrica o cableada con sólo determinados 
servicios de acuerdo a las necesidades de las personas.

\item Estbalecer las responsabilidades de la institución por actos de las personas que 
utilicen recursos de la institución como el uso del correo institucional, acceso a la 
información confidencial de la institución a terceros, 
ataques o intento de intrusión contra equipos utilizando la red de la institución.

\end{itemize}