\section{Identificación de los riesgos con terceros}

Cuando se da acceso a terceras personas ajenas al funcionamiento
rutinario de los activos de información de la organización, en primer
lugar se debe llevar a cabo una evaluación de los riesgos para determinar
las implicaciones en la seguridad y los requisitos para establecer los controles.
Para cada grupo externo de personas se debe llevar a cabo
la evaluación y definición de los controles de seguridad.

Para manejar este tipo de riesgos se recomienda realizar los siguientes
registros de datos y acciones preventivas:

\begin{itemize}

\item Identificar los medios de procesamientos de información
a los cuales se necesita tener acceso.

\item Determinar el nivel de confidencialidad de los datos a los que se accede.

\item Expresar (por escrito, si es posible) a las terceras personas las
políticas de seguridad de la información de la organización.

\item Evaluar la idoneidad de los niveles de confianza utilizados, entendido
como qué tanto se ha confíado en que terceros no van a intentar dañar
o usufructuar los activos de información de la organización con el nivel
de acceso otorgado. Esto puede realizarse utilizando una historia detallada 
de incidentes de seguridad, la cual puede resumirse utilizando
herramientas para generación y análisis de estadísticas.

\item Configurar los recursos informáticos requeridos.

\item Cargar datos para los procesos asociados a la realización de 
actividades para el cumplimiento de las políticas de seguridad.

\item Especificar el nivel de seguridad físico (espacio físico) en su estancia
dentro de las instalaciones de la organización.

\item Disponibilidad de una red inalámbrica o cableada con sólo determinados 
servicios de acuerdo a las necesidades de las personas.

\item Establecer las responsabilidades de los empleados
por actos de las personas que 
utilicen activos de información como el uso del
correo institucional, acceso de terceros a la información confidencial, 
ataques o intento de intrusión contra equipos utilizando
la red de la organización.

\end{itemize}