CUESTIONARIO PARA LA CLASIFICACION DE ACTIVOS DE INFORMACION

APLICATIVO: SWAMP - EMISION DE FACTURAS CASA MATRIZ

El propsito de este cuestionario es ayudar a determinar la mejor forma de proteger los activos de informacin del
Banco de Crdito de Bolivia S.A. y sus subsidiarias

Si bien algunos activos de informacin son evidentemente de acceso libre ( PUBLICO ) y en otros el acceso debe
de estar limitado a un nmero reducido y definido de personas / posiciones de trabajo ( CONFIDENCIAL ), la mayor
cantidad caer posiblemente entre ambas definiciones ( PRIVADO )

Sus respuestas a las siguientes preguntas son cruciales para establecer adecuadamente esta clasificacin, as
como el nivel especfico por categora de riesgo potencial :

CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
PRIVACIDAD

y determinar as los mecanismos ms adecuados para su debida proteccin.

Para cada una de las preguntas a continuacin se le solicita indicar el valor que considere ms correcto :

ALTO RIESGO / IMPACTO 3

MEDIANO RIESGO / IMPACTO 2
BAJO RIESGO / IMPACTO 1
SIN RIESGO / IMPACTO 0
CONFIDENCIALIDAD 1.73

Considere la siguiente pregunta con relacin a la informacin que constituye el activo de informacin
" Si esta informacin llegara a ser conocida por individuos no autorizados o incluso hecha pblica " :

Cdigo Escenario Score

C1 Podra ser el BCR hecho legalmente responsable por un socio de negocios, 2

cliente o empleado ? ( Responsabilidad Legal )

C2 Podran ser las relaciones con socios de negocios, proveedores, etc. impactadas de 3
manera negativa ? ( Reputacin Comercial )

C3 Sera daada la reputacin ante los clientes ? ( Confianza del Pblico ) 3

C4 Podra ser afectada la moral / motivacin de los empleados y/o verse afectadas las 2
relaciones entre asociados diversos ? ( Moral del personal )

C5 Podra perderse alguna ventaja competitiva y/o informacin propietaria sobre los procesos 1
del negocio ? ( Desventaja Competitiva )

C6 Se podra producir un efecto directo de disminucin de ingresos y/o aumento de costos ? 0

( Costo Adicional )

C7 Se podra ver afectada la Confidencialidad de otros activos de informacin ? ( Efecto 0

Colateral )

C8 Se podra generar una estafa, operacin fraudulenta o algn otro tipo de apropiacin 2
indebida ? ( Fraude )
INTEGRIDAD 1.60

Considere la siguiente pregunta con relacin a la informacin que constituye el activo de informacin
" Si esta informacin llegara a ser indebida o inadecuadamente alterada, actualizada o modificada, ya sea
intencionalmente o por accidente " :

Cdigo Escenario Score

I1 Podran generarse inexactitudes en los estados financieros y otros reportes relacionados 1

de BCR ? ( Exactitud de Estados Financieros )

I2 Podran romperse o violarse obligaciones legales, regulatorias o contractuales ? 1

( Responsabilidad Legal )

I3 Podran perderse relaciones comerciales, negocios, contratos de servicio, etc. como 2

resultado de la modificacin de informacin ? ( Prdida Directa de Negocios )

I4 Podran tomarse decisiones de negocios erradas ? ( Decisiones de Negocios ) 1

I5 Podran verse interrumpidas y/o demoradas las operaciones ? ( Costos Adicionales ) 1

I6 Podra publicarse informacin errada ( tasas y tarifas, polticas, etc. ) ? 3

( Costos Adicionales )

I7 Podra daarse la imagen del banco? ( Confianza del Pblico ) 2

I8 Sera dificultoso el proceso de correccin / restauracin de la informacin ? 1

I9 Sera poco probable el detectar la inexactitud o error antes de que se hubiera 1

producido un dao significativo ?

I10 Se podra generar una estafa, operacin fraudulenta o algn otro tipo de apropiacin 2
indebida ? ( Fraude )
DISPONIBILIDAD 1.65

Considere la siguiente pregunta con relacin a la informacin que constituye el activo de informacin
" Si esta informacin llegara a no estar disponible permanentemente o por un periodo considerable
de tiempo " :

Cdigo Escenario Score

D1 Podra ser el BCR hecho legalmente responsable por un socio de negocios, 1

cliente o empleado ? ( Responsabilidad Legal )

D2 Podra daarse la imagen del Banco? ( Confianza del Pblico ) 1

D3 Podran tomarse decisiones de negocios erradas o no oportunas ( demoras ) ? 2

( Decisiones de Negocios )

D4 Podran perderse relaciones comerciales, negocios, contratos de servicio, etc. como 2

resultado de la no disponibilidad de la informacin ? ( Prdida Directa de Negocios )

D5 Podra afectarse la capacidad de proveer productos y servicios de tal manera que, a lo 2

largo del tiempo, se pudiera ver erosionada la base de cleintes ?
( Erosin de base de clientes )

D6 Se podra generar una estafa, operacin fraudulenta o algn otro tipo de apropiacin 2
indebida, por ejemplo, por prdida de controles ? ( Fraude )

D7 Se podra afectar una funcin de negocios crtica ( que no puede ser demorada ) ? 2

D8 Se podra afectar el correcto funcionamiento de otros sistemas, procesos y/o la provisin 2

otros productos y servicios ? ( Efecto Colateral )
PRIVACIDAD 3.00

Considere la siguiente pregunta con relacin a la informacin que constituye el activo de informacin

Definiciones :

La informacin es demogrfica o propia del cliente, si contiene cualquier dato que por s mismo pueda ser
usado ( sin tener que consultar otro en activo de informacin BCR ) para identificar a un cliente de manera
individualizada; ya sea este cliente una persona, una empresa, etc. Ejemplos : Nombre o Razn Social,
Nmero de Telfono, DNI, etc.

La informacin es annima si no identifica de manera especfica a una persona natural / jurdica. Ejemplos :
CIC, Nmero de tarjeta de dbito, Identificador de Transaccin, etc.; es decir que si, para identificar y / o
conocer atributos propios del cliente, es necesario cruzarla contra otro activo de informacin del BCP; o si
se trata de informacin sumarizada. Ejemplo : movimientos totalizados, cantidad de transacciones en un
canal, etc.

Cdigo Escenario Score

P1 El recurso maneja o contiene datos demogrficos ? 3

Si la respuesta es NO : score 0.

Si la respuesta es SI : evale el riesgo si se afectara la CONFIDENCIALIDAD

de los datos especficos de clientes ( Netamente un aspecto de PRIVACIDAD )

Nivel de Riesgo : ALTO - score = 3, MEDIO - score = 2, BAJO - score = 1

CLASIFICACION DE LA INFORMACION CONFIDENCIAL