1 | \section{Identificación de los riesgos a terceros} |
---|
2 | |
---|
3 | Cuando exista la necesidad de otorgar acceso a terceras personas (entre los que se podría identificar como visitantes, becarios, pasantes, mantenimiento, etc.), ésta puede representar una vulnerabilidad; ya que se pueden presentarse posibles ataques a la seguridad de la información y los servicios que la institución maneje (internos y externos).\\ |
---|
4 | |
---|
5 | Se debe llevar acabo una evaluación de los riesgos que representan en acceso a terceros para determinar las implicaciones en la seguridad y los requerimientos de controles. Para cada grupo de terceras personas se debería llevar la evaluación y definición de los controles de seguridad. \\ |
---|
6 | Se Requiere considerar el tipo de acceso requerido (físico, lógico, a qué recursos y servicios); de acuerdo a las actividades que va a realizar en institución, va a requerir del uso de activos lógicos de la institución, y/o acceso a determinadas áreas, que pueden ser vitales a la institución, como por ejemplo: acceso al centro de datos, y de acuerdo a esto, tener la certeza de permitir o no, el acceso a tercero, para la misma se debe:\\ |
---|
7 | |
---|
8 | \begin{itemize} |
---|
9 | |
---|
10 | \item Los medios de procesamientos de información a las cuales necesita tener acceso (equipos muy especializados, delicados, sensibles, costosos). |
---|
11 | |
---|
12 | \item Evaluar el valor de la información a la que accede, medido en diferentes aspectos (Económicos, sociales, morales, entre otra). |
---|
13 | |
---|
14 | \item Las costumbres de la institución y de la personas que trabajan en ella en materia de la seguridad de la información, en relación con a las costumbres de la comunidad, y otros visitantes |
---|
15 | |
---|
16 | \item Evaluar el nivel de confianza, entendido como qué tanto se confíe en que terceros no dañen o usufructúen los activos de información de la institución. Esto puede realizarse utilizando una historia detallada de incidentes de seguridad, a la cuál pueda aplicarse herramientas estadísticas. |
---|
17 | |
---|
18 | \item Configuración de recursos informáticos requeridos. |
---|
19 | |
---|
20 | \item La carga de procesos en la realización de la actividades para el cumplimientos de las políticas de seguridad. |
---|
21 | |
---|
22 | \item El nivel de seguridad físico (espacio físico) en su estancia en la institución y en realizar las actividades de acuerdo con los niveles de confianza, |
---|
23 | |
---|
24 | \item Disponibilidad de una red inalámbrica o cableada con sólo determinados servicios de acuerdo a las necesidades de las personas. |
---|
25 | |
---|
26 | \item Responsabilidades de la institución por actos de las personas que utilicen recursos de la institución como correo institucional, enviar spam, información confidencial de la institución a terceros sin autorización, ataques o intento de intrusión contra equipos utilizando la red de la institución. |
---|
27 | |
---|
28 | \end{itemize} |
---|
29 | |
---|
30 | Las consideraciones anteriores, deben ser tomadas en cuenta en la políticas de seguridad de la institución y los mas importante en las formas culturales de ella. |
---|