Ing. De Sistemas

4.2. Seguridad Frente al Acceso por Parte de Terceros

4.2.1. Identificación de Riesgos del Acceso de Terceras Partes

Cuando exista la necesidad de otorgar acceso a terceras partes a información de la

Universidad, el Responsable de Seguridad Informática y el Propietario de la Información de

que se trate, llevarán a cabo y documentarán una evaluación de riesgos para identificar los

requerimientos de controles específicos, teniendo en cuenta, entre otros aspectos:

• El tipo de acceso requerido (físico/lógico y a qué recurso).

• Los motivos para los cuales se solicita el acceso.

• El valor de la información.

• Los controles empleados por la tercera parte.

• La incidencia de este acceso en la seguridad de la información del Organismo.

En todos los contratos cuyo objeto sea la prestación de servicios a título personal bajo

cualquier modalidad jurídica que deban desarrollarse dentro de la Universidad, se establecerán

los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al

caso, restringiendo al mínimo necesario, los permisos a otorgar.

En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de

procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los

controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para

la conexión o el acceso.

4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros

Se revisarán los contratos o acuerdos existentes o que se efectúen con terceros, teniendo

en cuenta la necesidad de aplicar los siguientes controles:

a) Cumplimiento de la Política de seguridad de la información de la Universidad.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - PLAN DE ACCIÓN 2009 - HOJA 14 DE 128

Universidad Tecnológica Nacional

Rectorado

Comité de Seguridad de la Informacion

Coordinación General

b) Protección de los activos de la Universidad, incluyendo:

• Procedimientos para proteger los bienes de la Universidad, abarcando los activos

físicos, la información y el software.

• Procedimientos para determinar si ha ocurrido algún evento que comprometa los

bienes, por ejemplo, debido a pérdida o modificación de datos.

• Controles para garantizar la recuperación o destrucción de la información y los

activos al finalizar el contrato o acuerdo, o en un momento convenido durante la

vigencia del mismo.

• Restricciones a la copia y divulgación de información.

c) Descripción de los servicios disponibles.

d) Nivel de servicio esperado y niveles de servicio aceptables.

e) Permiso para la transferencia de personal cuando sea necesario.

f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.

g) Existencia de Derechos de Propiedad Intelectual.

h) Definiciones relacionadas con la protección de datos.

i) Acuerdos de control de accesos que contemplen:

• Métodos de acceso permitidos, y el control y uso de identificadores únicos

como identificadores de usuario y contraseñas de usuarios.

• Proceso de autorización de accesos y privilegios de usuarios.

• Requerimiento para mantener actualizada una lista de individuos autorizados

a utilizar los servicios que han de implementarse y sus derechos y

privilegios con respecto a dicho uso.

j) Definición de criterios de desempeño comprobables, de monitoreo y de

presentación de informes.

k) Adquisición de derecho a auditar responsabilidades contractuales o surgidas

del acuerdo.

l) Establecimiento de

...