\section{Identificación de los riesgos a terceros}

Cuando se da acceso a terceras personas ajenas al funcionamiento rutinario de un sistema informático, en primer lugar, se debe llevar 
acabo una evaluación de los riesgos  para determinar las implicaciones en la seguridad 
y los requerimientos de controles. Para cada grupo de terceras personas 
se debería llevar la evaluación y definición de los controles de seguridad. 
Se debe considerar el tipo de acceso requerido (físico, lógico) de 
acuerdo a las actividades que va a realizar 
en la organización. Si se va a requerir del uso de activos lógicos de la institución, 
y/o  acceso a determinadas áreas, que pueden ser vitales a la institución, 
y de acuerdo a esto, tener 
la certeza de permitirlo o no.

Para este tipo de riesgos se recomienda registrar los siguientes datos:

\begin{itemize}

\item Los medios de procesamientos de información a las cuales necesita 
tener acceso (equipos muy especializados, delicados, sensibles, costosos).

\item Evaluar los datos a la que se accede, medido en 
diferentes aspectos (Económicos, sociales, morales, entre otra).

\item Especificarle a las terceras personas las costumbres de la institución y de las
personas que trabajan en ella en materia de la seguridad de la información, en relación con a 
las costumbres de la comunidad, y otros visitantes.

\item Evaluar el nivel de confianza, entendido como qué tanto se confíe 
en que terceros no dañen o usufructúen los activos de información de 
la institución. Esto puede realizarse utilizando una historia detallada 
de incidentes de seguridad, a la cuál pueda aplicarse herramientas estadísticas.

\item Configurar los recursos informáticos requeridos.

\item Cargar los procesos en la realización de la actividades para el 
cumplimientos de las políticas de seguridad.

\item Especificar el nivel de seguridad físico (espacio físico) en su estancia en 
la institución y en realizar las actividades de acuerdo con los niveles de confianza,

\item Disponibilidad de una red inalámbrica o cableada con sólo determinados 
servicios de acuerdo a las necesidades de las personas.

\item Establecer las responsabilidades de la institución por actos de las personas que 
utilicen recursos de la institución como el uso del correo institucional, acceso a la 
información confidencial de la institución a terceros, 
ataques o intento de intrusión contra equipos utilizando la red de la institución.

\end{itemize}