\section{Identificación de los riesgos a terceros}

Cuando se da acceso a terceras personas ajenas al funcionamiento rutinario de los activos de información de la organización, en primer lugar se debe llevar 
a cabo una evaluación de los riesgos para determinar las implicaciones en la
seguridad 
y los requisitos para establecer los controles. Para cada grupo externo de personas 
se debe llevar a cabo la evaluación y definición de los controles de seguridad. 

Para este tipo de riesgos se recomienda registrar los siguientes datos:

\begin{itemize}

\item Los medios de procesamientos de información a los cuales se necesita 
tener acceso.

\item Evaluar el nivel de confidencialidad de los datos a los que se accede.

\item Expresarle (por escrito, si es posible)  a las terceras personas las
políticas de seguridad de la información de la organización .

\item Evaluar el nivel de confianza, entendido como qué tanto se confía  
para que terceros no dañen o usufructúen los activos de información de 
la organización. Esto puede realizarse utilizando una historia detallada 
de incidentes de seguridad, la cuál puede resumirse utilizando herramientas estadísticas.

\item Configurar los recursos informáticos requeridos.

\item Cargar los procesos en la realización de la actividades para el 
cumplimiento de las políticas de seguridad.

\item Especificar el nivel de seguridad físico (espacio físico) en su estancia
dentro de las instalaciones de la organización.

\item Disponibilidad de una red inalámbrica o cableada con sólo determinados 
servicios de acuerdo a las necesidades de las personas.

\item Establecer las responsabilidades de los empleados por actos de las personas que 
utilicen activos de información como el uso del correo institucional, acceso a la 
información confidencial a terceros, 
ataques o intento de intrusión contra equipos utilizando la red de la organización.

\end{itemize}