Granskning av IT-säkerhet

Transkript

1 Granskning av IT-säkerhet Karlstads kommun, Region Värmland samt Karlstadsregionens Räddningstjänstförbund. Emily Jönsson Erik Sellergren Augusti 2017 Augusti 2017

2 Innehåll 1. Sammanfattning 2. Inledning 3. Resultat av granskningen Appendix: Sammanställning avvikelser 2

3 1. Sammanfattning Revisorerna för Karlstads kommun, Region Värmland samt Karlstadsregionens Räddningstjänstförbund har gett i uppdrag att genomföra en granskning av IT-säkerhet för att besvara revisionsfrågan: Är kommunens organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörig åtkomst? Efter genomförd granskning är vår samlade bedömning att ITsäkerheten, ur ett övergripande perspektiv, är tillräcklig för att stödja verksamheten och ge tillräcklig intern kontroll. Vi har dock noterat ett antal områden där IT-säkerhetsarbetet kan förstärkas för att säkerställa en god intern kontroll inom IT. Nedan redovisar vi våra mest väsentliga rekommendationer. rekommenderar Region Värmland och Karlstadsregionens Räddningstjänstförbund att se över sin roll som beställare av IT, stärka sin beställarroll och säkerställa att organisationerna ställer rimliga krav på Karlstads kommun som IT-leverantör. rekommenderar Karlstads kommun, Region Värmland och Karlstadsregionens Räddningstjänstförbund att ta fram en samlingsplan för att visualisera sina applikationer och integrationerna mellan applikationerna. rekommenderar organisationerna att arbeta fram och implementera en kontrollmatris för samtliga kontroller som utförs i organisationerna kopplat till IT. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att säkerställa att de årligen genomför en genomgång på sina användare för att säkerställa att endast godkända användare har behörighet, samt att dessa användare har korrekt roll i applikation samt höga/känsliga behörigheter på infrastruktur (operativsystem, servrar och databaser). rekommenderar Karlstads kommun att se över möjligheten att ta bort leverantörernas ständiga behörighet till produktionsmiljön och istället tilldela leverantörer behörighet till produktionsmiljöerna vid behov. rekommenderar att Karlstads kommun tillsammans med Region Värmland och Karlstadsregionens Räddningstjänstförbund ser över möjligheten att förenkla den befintliga mallen för systemdokumentation och att organisationerna därefter säkerställer att de alltid fyller i uppdaterad systemdokumentation enligt den överenskomna mallen. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att genomföra en risk och sårbarhetsanalys kopplad till ITsäkerhet. Samt att säkerställa att analysen kontinuerligt följs upp och hålls uppdaterad. Detta arbete bör sedan ligga till grund för rekommendation avseende framtagande av katastrof- och kontinuitetsplan. 3

4 2. Inledning 2.1 Bakgrund Organisationer i offentlig sektor blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade, såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete, detta gäller särskilt i Karlstads kommuns fall eftersom fler organisationer är anslutna till samma system. Den globala hotbilden med risker för intrång förändras kontinuerligt. Informationen måste skyddas mot obehörig åtkomst, såväl externt som internt samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer Revisionskriterier Revisionskriterierna för denna granskning har hämtats ur följande: Kommunallagen Internationella standarder enligt ISO (International Organization for Standardization) avseende Informationsteknik, Säkerhetstekniker och Ledningssystem för informationssäkerhet (ISO 27001:2013) Internationella standader enligt COBIT (Control Objective for Information and Related Technology Standards) avseende informationssäkerhet Syfte och revisionsfråga Granskningen syftar till att besvara följande övergripande revisionsfråga: Är kommunens organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörig åtkomst? 4

5 2. Inledning 2.4 Kontrollmål Kontrollmålen och bedömningen av dessa möjliggör att revisionsfrågan kan besvaras. Följande kontrollmål har bedömts som viktiga för granskningen: Finns det en adekvat övergripande styrning av informationsoch IT-säkerheten? Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Finns ändamålsenliga rutiner för behörighet och lösenord? Finns ändamålsenliga rutiner för att hantera ändring av systemens informationsbearbetning (exempelvis ändringar av rapporter och automatiska flöden)? Upptäcks och hanteras icke önskvärda incidenter både internt och externt på ett ändamålsenligt sätt? Hur säkerställs att nya risker och hot identifieras och hanteras? 2.5 Metod och avgränsningar Granskningen har genomförts genom intervjuer med företrädare från organisationerna. Vidare har en översiktlig genomgång av riktlinjer och regler kring processen för ITsäkerhet skett. Analys av erhållet material och information från intervjuer har utgjort underlag för en samlad bedömning av den interna kontrollen inom IT-säkerhet kopplat till ovanstående kontrollmål och övergripande revisionsfråga. Analys av information från intervjuer baseras på :s tidigare erfarenhet av granskningar samt god praxis inom området. Följande personer har varit intervjuade i granskningen: Karlstads kommun: Lotta Wahlén IT-chef Mats Jensen Enhetschef strategisk styrning Mikael Wikstrand Enhetschef förvaltning IT Jörgen Pettersson Förvaltningsledare för teknisk plattform Maria Schytzer Incident manager Leif Carlsson Informationssäkerhetsstrateg Mia Wahlund Ekonomi/IT-utvecklare Karlstadsregionens Räddningstjänstförbund: Erik Ramsell Administrativ chef Mats-Ove Norrman IT-koordinator Region Värmland: Ingrid Strengsdal Administrativ chef Christian Borgert IT-koordinator Granskningen har genomförts under augusti 2017 av Emily Jönsson (projektledare) och Erik Sellergren, båda från. Rapporten är faktaavstämd med berörd personal. 5

6 3. Resultat av granskningen 3.1 Finns det en adekvat övergripande styrning av informations- och IT-säkerheten? Iakttagelser IT-säkerhetsarbetet för Karlstadsregionens räddningstjänstförbund (räddningstjänsten) och Region Värmland utgår från Karlstads kommun. Kommunen arbetar enligt ITIL samt PM3- modellen. Karlstads kommun har byggt en IT-organisation med ett 50-tal medarbetare fördelade på tre enheter. Enheterna styrs av varsin enhetschef som har ett övergripande chefsuppdrag för sina medarbetare. Enheten hålls ihop av IT-chefen som har det samordnade ansvaret för hela IT-avdelningens verksamhet. ITchefen rapporterar till förvaltningen kommunledningskontoret med kommunstyrelsen som nämnd. Vid vår genomgång noterade vi att det inte fanns någon upprättad samlingsplan för befintliga applikationer. Vi noterade även att vissa rollbeskrivningar saknas, exempelvis för systemägare och beställare. Vi noterade vidare att vissa roller helt saknas, exempelvis dataskyddsombud och IT-säkerhetsansvarig. Vidare noterade vi att det även saknas en formell kontroll för att följa upp att medarbetare får grundläggande utbildning inom informationssäkerhet samt håller sig uppdaterade inom området. Räddningstjänsten och Region Värmland har små egna ITavdelningar bestående av administrativ chef och ITsamordnare. Organisationerna köper sina IT-tjänster av Karlstads kommun. De har även en dedikerad kundkontakt till kommunen, en person de kan träffa för att diskutera IT-frågor, få hjälp vid uppdateringar och diskutera förbättringsförslag med. Se område 3.1. i appendix för mer information om avvikelserna. Bedömning Vår bedömning är att organisationerna har en tillräcklig nivå gällande styrning av informations- och IT-säkerhet. Arbetet leds av Karlstads kommun, vilka tar det övergripande ansvaret kring IT i regionen. Genom kundkontakterna som Karlstads kommun har mot Räddningstjänsten och Region Värmland kommer även styrningen dem väl till del. Vi anser dock att både Räddningstjänsten och Region Värmland behöver se över sin roll som beställare av IT-tjänster av kommunen för att ställa rimliga krav på kommunens IT-nivå och därmed bidra till att informations- och IT-säkerheten stärks men även anpassas för organisationerna. rekommenderar Karlstads kommun att säkerställa att det finns rollbeskrivningar till samtliga roller samt att organisationen ser över om ytterligare roller behöver tillsättas för att säkerställa en god intern kontroll inom IT- och informationssäkerhet. rekommenderar Region Värmland och Karlstadsregionens Räddningstjänstförbund att se över sin roll som beställare av IT, stärka sin beställarroll och säkerställa att organisationerna ställer rimliga krav på Karlstads kommun som IT-leverantör. rekommenderar organisationerna att ta fram en samlingsplan för att visualisera sina applikationer och integrationerna mellan applikationerna. rekommenderar organisationerna att upprätta en utbildningsplan för att säkerställa att alla medarbetare kontinuerligt får utbildning inom informationssäkerhet. 6

7 3. Resultat av granskningen 3.2 Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Iakttagelser IT-avdelningen på Karlstads kommun har det övergripande uppdraget att styra, leda, följa upp och utveckla IT-arbetet generellt inom kommunen. Detta arbete finns fastställt i policydokumentet Verksamhetsutveckling med IT som stöd (senast reviderat ). Kommunen har fastställt policy för IT-säkerhet (senast reviderad ), Informationssäkerhetspolicy (senast reviderad 14 april 2016). För Räddningstjänsten upprättas varje år förvaltningsplaner som styrande dokument för organisationen. Karlstads kommuns styrande dokument ligger även tillgängliga via intranätet för både Räddningstjänsten och Region Värmland. Vi noterade vid vår genomgång att det saknas kontrollmatriser kopplade till intern kontroll inom IT- och informationssäkerhet inom samtliga granskade organisationer. Vi noterade även att det saknas en klassningsmodell för hur information ska klassificeras i SLA:er. Det finns ett utkast framtaget av Karlstads kommun men detta är ej beslutat av Kommunstyrelsen. Se område 3.2 i appendix för mer information om avvikelserna. Bedömning Vår bedömning är att det finns styrande dokument såsom policy och riktlinjer för informations- och IT-säkerhet på plats som är nödvändiga för att kunna hantera området ett ändamålsenligt sätt. Vi noterar dock en brist då de flesta dokument är några år gamla. rekommenderar Karlstads kommun, Räddningstjänsten och Region Värmland att revidera och uppdatera sina styrande dokument och riktlinjer kopplade till IT kontinuerligt. Minst en gång per år anser vi att dokumenten behöver revideras för att fortfarande vara aktuella i verksamheten. rekommenderar organisationerna att arbeta fram och implementera en kontrollmatris för samtliga kontroller som utförs i organisationerna kopplat till IT. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att ta fram riktlinjer för klassificering av sin informationssäkerhet samt därefter även utföra klassificering av information med viss periodicitet. 7

8 3. Resultat av granskningen 3.3 Finns ändamålsenliga rutiner för behörighet och lösenord? Iakttagelser Bedömning Beställning av ny, förändrad eller borttag av behörighet görs av respektive chef på Karlstads kommun. Det är IT-samordnaren eller den administrative chefen från Räddningstjänsten och Region Värmland som kan göra beställning av ny, ändring eller borttag av behörighet via ärendehanteringssystemet LanDesk till IT-avdelningen på Karlstads kommun. Blankett finns tillgänglig på intranätet för att beställa/ändra/ta bort behörighet och samtliga ärenden måste godkännas av behörig chef. Behörigheterna är behovsstyrda i flera av kommunens applikationer, ex. Agresso och Heroma, har fått informationen att 7 användare har rollen systemadministratör som ansvarar för operativsystem, databaser, övervakning av kapacitet etc, vi har dock inte kunnat verifiera detta. Vi noterar att organisationerna inte genomför någon periodvis genomgång av behörigheter (applikation och infrastruktur). Vi har dock fått information om att en behörighetskontroll görs i Agresso två gånger per år, genomgången är informell då ingen dokumentation sparas efter genomgången. Lösenordsparametrarna i Active Directory (AD) är uppsatta så att lösenordet ska vara mellan 8-16 tecken och innehålla minst tre av följande fyra kategorier: Versaler A-Z Gemener a-z Siffror Specialtecken Se område 3.3 i appendix för mer information om avvikelserna. Vår bedömning är att organisationerna har en god behörighetsstruktur, med behovsanpassade roller. Vi anser även att antalet systemadministratörer (7 stycken) är rimligt med hänsyn taget till storleken av organisation de monitorerar där endast ett fåtal personer har höga behörigheter. Lösenordsparametrarna för AD är inte i linje med god praxis sett ur ett IT-/informationssäkerhetsperspektiv. De flesta system behöver dock även en andra inloggning för att kunna få tillgång till systemet. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att säkerställa att de årligen genomför en genomgång på sina användare för att säkerställa att endast godkända användare har behörighet, samt att dessa användare har korrekt roll i applikation samt höga/känsliga behörigheter på infrastruktur (operativsystem, servrar och databaser). rekommenderar Karlstads kommun att säkerställa att lösenordskraven för användarna är tillräckligt omfattande. :s bedömning är att lösenordskraven även bör omfatta ett krav på byte av lösenord minst var 90:e dag. 8

9 3. Resultat av granskningen 3.4 Finns ändamålsenliga rutiner för att hantera ändring av systemens informationsbearbetning (exempelvis ändringar av rapporter och automatiska flöden)? Iakttagelser Kommunen arbetar med programförändringsprocessen i enlighet med ITIL. Förslag på ändringar inom olika applikationer kan komma från applikationsanvändare, dessa tas vidare med kommunens kundansvarig för vidare diskussion med IT-avdelningen. Därifrån sker selektering av vilka ändringar som ska genomföras baserat på behov, komplexitet och kostnad. Ändringen testas av beställare samt leverantör och godkänns av beställare innan produktionssättning. Programändringar kan produktionssätts av både extern leverantör eller IT-avdelningen. Ändringar på ex. Agresso, Heroma och Core produktionssätts oftast av leverantören som även i flera fall har ständig access till produktionsmiljön. Vi noterade vid vår genomgång att det finns en tydlig förändringsprocess, men att den är förhållandevis informell. Karlstads kommun har även tagit fram systemdokumentationsmallar för att säkerställa att systemdokumentationen av befintliga system alltid är uppdaterad. Kundansvariga har introducerat dessa mallar för de organisationer de är ansvariga för. Mallarna uppfattas dock av Räddningstjänsten och Region Värmland som omfattande, vilket gör att de inte alltid fylls i och hålls uppdaterade. En gång i månaden patchas infrastrukturen (databaser, operativsystem och servrar) efter att leverantörerna, ex. Microsoft, har släppt sina senaste uppdateringar. Denna process finns beskriven i ett workflow-dokument. Se område 3.4 i appendix för mer information om avvikelserna. Bedömning Vår bedömning är att organisationerna har ändamålsenliga rutiner på plats för att kunna hantera ändring av systemens informationsbearbetning. Karlstads kommuns arbete med att anställa kundansvariga upplevs av alla tre intervjuade organisationer som positivt. De kundansvariga blir IT-avdelningens förlängda arm för att stötta Räddningstjänsten och Region Värmland vid ändringar och uppdateringar. rekommenderar Karlstads kommun att formaliserar sin förändringsprocess med tydliga steg där godkännande från auktoriserad person krävs innan en programändring implementeras i produktion samt att spårbarhet säkerställs. rekommenderar Karlstads kommun att säkerställa att leverantörer inte har ständig access till produktionsmiljön. Leverantörer bör istället bli tilldelade behörighet till produktionsmiljön vid behov. rekommenderar att en Region Värmland och Karlstadsregionens Räddningstjänstförbund säkerställer att de alltid fyller i uppdaterad systemdokumentation enligt den mall som Karlstads kommuns IT-avdelning har tagit fram. 9

10 3. Resultat av granskningen 3.5 Upptäcks och hanteras icke önskvärda incidenter både internt och externt på ett ändamålsenligt sätt? Iakttagelser Bedömning Karlstads kommuns IT-avdelning hanterar incidenter och problem enligt ITILs definitioner, det finns både en incident manager och en problem manager. Samtliga användare har behörighet att registrera incidenter i ärendehanteringssystemet LanDesk. Incidenten tas emot av servicedesk som prioriterar det inkomna ärendet från P1-P5 enligt en kriteriematris och påbörjar arbetet med att lösa felet. En bekräftelse skickas till användaren om att ärende mottagits och att arbete påbörjats för att avhjälpa felet. Servicedesk Servicedesk följer upp hur lång tid det tar innan incidenter är lösta, ex. ska 50 % av alla P1:or lösas inom 2 timmar. Problem och incidenter följs upp genom vecko- och månadsrapporter. Detta återkopplas sedan dels i det årliga kundutvärderingssamtal samt kvartalsvis genomgång mot SLA med Räddningstjänsten och Region Värmland. För att säkerställa att data går att läsa tillbaka efter en incident har Karlstads kommun en backup policy på plats, denna är basen i SLA gentemot Räddningstjänsten och Region Värmland. Kommunen har två stycken speglade serverhallar med redundant strömförsörjning och nätuppkoppling. har fått information om att återläsningstest körs en gång om året, dock ej haft möjlighet att verifiera detta. Batchjob övervakas generellt sett ute i verksamheten, som även meddelar IT om batchjob ej gått över fullständigt, därefter registreras en incident i LanDesk. Se område 3.5 i appendix för mer information om avvikelserna. Vår bedömning är att Karlstads kommun har en ändamålsenlig process på plats för att upptäcka och hantera incidenter. Genom ärendehanteringssystemet LanDesk så dokumenteras alla incidenter som inträffar. Servicedesk har sedan det övergripande ansvaret att prioritera och försöka lösa incidenter. Genom att mäta andelen incidenter som lösts inom en viss tid kan organisationerna följa upp hur arbetet utvecklar sig över tid. Det är även möjligt för Räddningstjänsten och Region Värmland att ställa krav på Karlstads kommun gällande upptid på nätverket samt hur snabbt de vill att incidenter ska lösas. 10

11 3. Resultat av granskningen 3.6 Hur säkerställs att nya risker och hot identifieras och hanteras? Iakttagelser Varken Karlstads kommun, Räddningstjänsten eller Region Värmland har genomfört en övergripande risk- och sårbarhetsanalys för att identifiera väsentliga risker kopplat till IT och informationssäkerhet. Vi noterade även att ingen av organisationerna i vår granskning har en framtagen katastrofplan (Disaster Recovery Plan). Karlstads kommun har dock arbetat fram en kontinutetsplan (Business Continuity Plan) i händelse av katastrofläge. Planen testas i teorin varje år vid workshops eller liknande för att säkerställa att den fortfarande är aktuell. Det finns ingen klassificering av system för att kunna veta vilket system som är mest kritiskt att få igång först om flera system skulle fallera. Se område 3.6 i appendix för mer information om avvikelserna. Bedömning Vår bedömning är att kommunerna kan förbättra processen och möjligheterna för att nya risker och hot identifieras och hanteras på ett mer effektivt sätt. rekommenderar Karlstads kommun, Karlstadsregionens räddningstjänst och Region Värmland att kontinuerligt genomföra risk- och sårbarhetsanalys för att identifiera väsentliga risker och hot inom IT. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att ta fram en katastrofplan och implementera denna i organisationen. rekommenderar även Karlstadsregionens Räddningstjänstförbund och Region Värmland att fram en kontinutetsplan och implementera denna i organisationen. 11

12 Datum: Emily Jönsson Projektledare Maria Jäger Uppdragsledare

13 Appendix: Sammanställning avvikelser På följande sidor redogör vi mer i detalj för de avvikelser och risker som vi har sett i vår granskning, kopplat till respektive kontrollmål. Vi ger även rekommendationer för noterade avvikelser. Vi har gjort en prioritering av avvikelserna där L står för låg prioritet, M för medel och H för hög. Definitionen av denna klassificering visas nedan: Prioritet Hög Förklaring till prioritet Syftar på en svaghet som har stor inverkan på system, processer och relaterade kontroller och som kan utsätta enheten för större förluster, ineffektivitet och/eller kan resultera i en väsentlig felaktighet i räkenskaperna. Medel Syftar på en situation eller arbetssätt som skiljer sig från vad anser vara god praxis och som vi bedömer har en negativ inverkan på den interna kontrollen över den finansiella rapporteringen. Låg Syftar på en situation eller arbetssätt som enbart har en begränsad effekt på den interna kontrollen. 13

14 Sammanställning avvikelser Omr åde Prio Avvikelse Risk Rekommendation 3.1 M Region Värmland och Karlstadsregionens räddningstjänstförbund har idag inte en tydlig beställarroll av ITtjänster då de inte tydligt ställer krav på leverans och det saknas tydliga förväntningar på Karlstads kommun som leverantörer av IT. 3.1 M Karlstads kommun har upprättat flera översikts-bilder på exempelvis IT-infrastruktur samt att de har även en gedigen förståelse av sina system och integrationer. Det saknas dock en upprättad samlingsplan enligt BFNAR 2013:2, där exempelvis information kring outsourcade system kan inkluderas, för samtliga organisationer. 3.1 L Vid vår genomgång noterades att det saknas en formell kontroll för att följa upp att medarbetare får grundläggande utbildning inom informationssäkerhet samt håller sig uppdaterade inom området. Vid allt för ensidigt informationsövertag gällande IT riskerar organisationerna att få ett gap mellan vilka IT-tjänster de tror får levererat, vilka tjänster de faktiskt behöver och vad som levereras. Avsaknad av samlingsplan ökar risken för att inte kunna följa transaktionsflödet som går in till bokföringen, vilket i sin tur kan medföra svårigheter i att verifiera och säkerställa att redovisningen är rätt och riktig. Dessutom ökar risken att inte efterleva BFNAR 2013:2. Utvecklingen inom informationssäkerhet går snabbt för att hålla jämna steg med de hot på IT-området som finns mot organisationerna. Om medarbetare inte kontinuerlig utbildas på området så blir deras kunskaper snabbt föråldrade. rekommenderar Region Värmland och Karlstadsregionens Räddningstjänstförbund att se över sin roll som beställare av IT, stärka sin beställarroll och säkerställa att organisationerna ställer rimliga krav på Karlstads kommun som ITleverantör. rekommenderar Karlstads kommun, Region Värmland och Karlstadsregionens Räddningstjänstförbund att ta fram en samlingsplan för att visualisera sina applikationer och integrationerna mellan applikationerna. rekommenderar Karlstads kommun, Region Värmland och Karlstadsregionens Räddningstjänstförbund att upprätta en utbildningsplan för att säkerställa att alla medarbetare kontinuerligt får utbildning inom informationssäkerhet. 14

15 Sammanställning avvikelser Omr åde Prio Avvikelse Risk Rekommendation 3.1 M Vi noterade vid vår genomgång att vissa roller saknas rollbeskrivningar, exempel på dessa är Systemägare och Beställare. Vi noterade även att vissa roller som exempelvis dataskyddsombud och ITsäkerhetsansvarig helt saknas. 3.2 M Vi noterade vid vår genomgång att flera av organisationernas styrande dokument är några år gamla. Exempelvis övergripande IT-policy från 2010, Informations-säkerhetspolicy från 2016 och policy för ITsäkerhet från Om roller och/eller rollbeskrivningar saknas finns ökad risk för att vissa arbetsuppgifter eller arbetsmoment ej blir utförda. Vidare ökar risken för gap mellan faktiskt leverans och förväntad leverans. När dokument inte kontinuerligt gås igenom och uppdateras riskerar dem bli inaktuella, då ökar risken för att de inte är i linje med den IT- /informationssäkerhet som organisationerna behöver. rekommenderar Karlstads kommun att säkerställa att det finns rollbeskrivningar till samtliga roller samt att organisationen ser över om ytterligare roller behöver tillsättas för att säkerställa en god intern kontroll inom IT- och informationssäkerhet. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att se över och revidera sina befintliga styrande dokument för säkerställa att de fortfarande är aktuella. Vidare rekommenderar att en kontroll införs för att säkerställa att de styrande dokumenten ses över och revideras med viss periodicitet, förslagsvis minst en gång per år. 15

16 Sammanställning avvikelser Omr åde Prio Avvikelse Risk Rekommendation 3.2 M Det utförs flera kontroller i de olika organisationerna kopplat till exempelvis förändringshantering och behörighetsadministration dock saknas övergripande kontrollmatris inom IT för samtliga organisationer. Vid avsaknad av kontrollmatris ökar risken för att kvalitet, nivå av spårbarhet och utförande av kontroll blir personberoende. rekommenderar organisationerna att arbeta fram och implementera en kontrollmatris för samtliga kontroller som utförs i organisationerna kopplat till IT. I kontrollmatrisen bör följande framgå: På vilket sätt kontrollen skall utföras (kontrollaktivitet och design) Varför ska kontrollen göras (mål och syfte) Vem som skall utföra kontrollen Hur ofta skall kontrollen utföras Vilken dokumentation skall sparas för att verifiera genomförd kontroll (bevis för spårbarhet) Vad skall göras om en kontroll uteblir eller är ineffektiv (Åtgärd) 16

17 Sammanställning avvikelser Omr åde Prio Avvikelse Risk Rekommendation 3.2 L Vi noterade vid vår granskning att Karlstads kommun ej har beslutat avseende klassificering av olika typer av information och hur dessa ska hanteras. 3.3 M Vi noterade vid vår granskning att det saknas periodvisa genomgångar av behörigheter i flera av de granskade organisationernas applikationer. har blivit informerade om att det i vissa fall utför informella genomgångar av behörigheter, ibland täcker dessa genomgångar inte att användare har korrekt behörighet utan endast att de är behöriga att ha en behörighet eller ej. Vid avsaknad av klassificering av information så riskerar kommunen att inte veta vilken information som är mest väsentlig och denna skall skyddas mot obehörig åtkomst. Utan en regelbunden granskning av aktuella behörighetsnivåer ökar risken för otillbörlig åtkomst och användning av organisationernas IT-system. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att ta fram riktlinjer för klassificering av sin informationssäkerhet samt därefter även utföra klassificering av information med viss periodicitet. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att säkerställa att de årligen genomför en genomgång på sina användare för att säkerställa att endast godkända användare har behörighet, samt att dessa användare har korrekt roll i applikation samt höga/känsliga behörigheter på infrastruktur (operativsystem, servrar och databaser). 17

18 Sammanställning avvikelser Omr åde Prio Avvikelse Risk Rekommendation 3.3 L Lösenordsparametrarna för Active Directory (AD) är inte i linje med god praxis inom området. Exempelvis saknas krav på att lösenord måste bytas med viss periodicitet och begränsat antal inloggningsförsök. Bristfälliga lösenordsparametrar ökar risken för otillåten åtkomst till operativsystemet, vilket ökar risken för obehörig åtkomst till finansiella applikationer eller andra verksamhetskritiska applikationer. rekommenderar Karlstads kommun att se över de befintliga lösenordsparametrarna för att säkerställa att de är i enlighet med god praxis: Minst 8 tecken långt lösenord Tvingande lösenordsbyte var 90:e dag Komplexitetskrav på utformning av lösenord Begränsat antal inloggningsförsök innan användaren låses ute från AD:t Vi rekommenderar vidare att bolagets lösenordsparametrar finns dokumenterade i ITsäkerhetspolicy samt att den finns en kontroll på plats för att med viss periodicitet säkerställa att lösenordskraven är i linje med de beslutade kraven. 18

19 Sammanställning avvikelser Omr åde Pri o 3.4 M Vi noterade vid vår granskning att det finns leverantörer som har ständig behörighet till produktionsmiljön för flera applikationer. Avvikelse Risk Rekommendation Om leverantörer har ständig behörighet ökar risken för obehörigåtkomst till produktionsmiljön samt att organisationerna inte har kontroll över/information om de aktiviteter som utförs systemen. rekommenderar Karlstads kommun att se över möjligheten att ta bort leverantörernas ständiga behörighet till produktionsmiljön och istället tilldela leverantörer behörighet till produktionsmiljöerna vid behov. 3.4 M Vi noterade vid vår genomgång att förändringsprocessen är förhållandevis informell. Exempelvis finns det ingen formell struktur för hur ett godkännande för en produktionssättning ska inhämtas, godkännandet kan ges muntligt eller per mejl. 3.4 M Vi noterade vid vår genomgång att Region Värmland och Karlstads Regionens räddningstjänstförbund inte har uppdaterad systemdokumentation för sina system. Karlstads kommun har tagit fram en mall för sina kunder att fylla i men denna anses för omfattande och blir ej ifylld vid systemändringar. Avsaknad av formaliserade rutiner vid förändringsprocessen ökar risken för att ej godkända förändringar implementeras i produktion. Det är av vikt att organisationen vet vilken typ av systemversion de använder sig av vid akut händelse. rekommenderar organisationerna att formaliserar sin förändringsprocess med tydliga steg där godkännande från auktoriserad person krävs innan en programändring implementeras i produktion och att det finns segregation of duties i programförändringsprocessen. rekommenderar att Karlstads kommun tillsammans med Region Värmland och Karlstadsregionens Räddningstjänstförbund ser över möjligheten att förenkla den befintliga mallen för systemdokumentation och att organisationerna därefter säkerställer att de alltid fyller i uppdaterad systemdokumentation enligt den överenskomna mallen. 19

20 Sammanställning avvikelser Omr åde Pri o 3.6 H Vi noterade vid vår genomgång att organisationerna ej har genomfört övergripande risk- och sårbarhetsanalys övergripande för IT. Karlstads kommun har genomfört R&S-analys för vissa applikationer, men dessa är några år gamla. 3.6 M Vi noterade vid vår genomgång att ingen av organisationerna har tagit fram en katastrofplan (Disaster Recovery Plan). Avvikelse Risk Rekommendation Vidare noterade vi att Karlstadsregionens Räddningstjänstförbund och Region Värmland inte har någon kontinutetsplan (Business Continuity Plan) för sin verksamhet. Om organisationerna ej kontinuerligt genomför risk- och sårbarhetsanalyser riskerar dem att missa nyuppkomna hot eller interna sårbarheter mot ITsäkerheten. Om det ej finns katastrof- eller kontinuitetsplan implementerade riskerar organisationerna att vara oförberedda samt att förlora dyrbar tid i händelse av katastrof. rekommenderar Karlstads kommun, Karlstadsregionens Räddningstjänstförbund och Region Värmland att genomföra en risk och sårbarhetsanalys kopplad till IT-säkerhet. Samt att säkerställa att analysen kontinuerligt följs upp och hålls uppdaterad. Detta arbete bör sedan ligga till grund för rekommendation avseende framtagande av katastrofoch kontinuitetsplan. rekommenderar organisationerna att ta fram en katastrofplan. rekommenderar även Karlstadsregionens Räddningstjänstförbund och Region Värmland att fram en kontinuitetsplan. Dessa planer bör implementeras och förankras i organisationerna samt berörd personal bör utbildas i dem. Dessa planer bör testas och revideras med viss periodicitet för att säkerställa att de fortfarande är aktuella, förslagsvis årligen. 20