| 1 | \section{Identificación de los riesgos a terceros} |
|---|
| 2 | |
|---|
| 3 | Cuando exista la necesidad de otorgar acceso a terceras personas (entre los que se podría identificar como visitantes, becarios, pasantes, mantenimiento, etc.), ésta puede representar una vulnerabilidad; ya que se pueden presentarse posibles ataques a la seguridad de la información y los servicios que la institución maneje (internos y externos).\\ |
|---|
| 4 | |
|---|
| 5 | Se debe llevar acabo una evaluación de los riesgos que representan en acceso a terceros para determinar las implicaciones en la seguridad y los requerimientos de controles. Para cada grupo de terceras personas se debería llevar la evaluación y definición de los controles de seguridad. \\ |
|---|
| 6 | Se Requiere considerar el tipo de acceso requerido (físico, lógico, a qué recursos y servicios); de acuerdo a las actividades que va a realizar en institución, va a requerir del uso de activos lógicos de la institución, y/o acceso a determinadas áreas, que pueden ser vitales a la institución, como por ejemplo: acceso al centro de datos, y de acuerdo a esto, tener la certeza de permitir o no, el acceso a tercero, para la misma se debe:\\ |
|---|
| 7 | |
|---|
| 8 | \begin{itemize} |
|---|
| 9 | |
|---|
| 10 | \item Los medios de procesamientos de información a las cuales necesita tener acceso (equipos muy especializados, delicados, sensibles, costosos). |
|---|
| 11 | |
|---|
| 12 | \item Evaluar el valor de la información a la que accede, medido en diferentes aspectos (Económicos, sociales, morales, entre otra). |
|---|
| 13 | |
|---|
| 14 | \item Las costumbres de la institución y de la personas que trabajan en ella en materia de la seguridad de la información, en relación con a las costumbres de la comunidad, y otros visitantes |
|---|
| 15 | |
|---|
| 16 | \item Evaluar el nivel de confianza, entendido como qué tanto se confíe en que terceros no dañen o usufructúen los activos de información de la institución. Esto puede realizarse utilizando una historia detallada de incidentes de seguridad, a la cuál pueda aplicarse herramientas estadísticas. |
|---|
| 17 | |
|---|
| 18 | \item Configuración de recursos informáticos requeridos. |
|---|
| 19 | |
|---|
| 20 | \item La carga de procesos en la realización de la actividades para el cumplimientos de las políticas de seguridad. |
|---|
| 21 | |
|---|
| 22 | \item El nivel de seguridad físico (espacio físico) en su estancia en la institución y en realizar las actividades de acuerdo con los niveles de confianza, |
|---|
| 23 | |
|---|
| 24 | \item Disponibilidad de una red inalámbrica o cableada con sólo determinados servicios de acuerdo a las necesidades de las personas. |
|---|
| 25 | |
|---|
| 26 | \item Responsabilidades de la institución por actos de las personas que utilicen recursos de la institución como correo institucional, enviar spam, información confidencial de la institución a terceros sin autorización, ataques o intento de intrusión contra equipos utilizando la red de la institución. |
|---|
| 27 | |
|---|
| 28 | \end{itemize} |
|---|
| 29 | |
|---|
| 30 | Las consideraciones anteriores, deben ser tomadas en cuenta en la políticas de seguridad de la institución y los mas importante en las formas culturales de ella. |
|---|
