Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

Transkript

1 Uddevalla kommun Granskning av IT-säkerheten cutting through complexity TM

2 Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: Mobil: Inledning Bakgrund, syfte och avgränsning Kriterier för bedömning Resultat av granskningen Organisationen för IT-säkerhet Rutiner och efterlevnad Styrande dokumentation Avtalsstyrning Riskbedömning Sida

3 Sammanfattning Syfte Syftet med granskningen har varit att på en övergripande nivå belysa struktur och ändamålsenlighet på IT-säkerhetsarbetet i Uddevalla kommun. Sammanfattning KPMG kan konstatera att kommunens IT-säkerhetsarbete grundas i informella rutiner som bygger på kompetensen hos enstaka nyckelpersoner. Dokumenten kring IT-säkerhet är föråldrade, i synnerhet IT-säkerhetspolicyn som är från Arbete pågår med uppdatering av den styrande dokumentationen, bland annat en ny ITsäkerhetspolicy som planeras vara färdig under Generellt saknas uppdaterad styrande dokumentation, bland annat avseende incidenthantering och kontinuitet, men också dokumentation av organisationen avseende roller och ansvar på detaljerad nivå. Detta leder till flera risker: risk för personberoende, o risk för osäkerhet kring roller och ansvar, svårigheter att kvalitetssäkra processer, risk att processer förändras över tid och att bristen på dokumentation av rutiner leder till att dessa inte är kompletta. Allvaret i dessa risker är svåra att bedöma då dokumentationen inte är komplett. Effekterna skulle kunna bli allvarliga om luckor i säkerhetsarbetet skulle uppstå. Interna ansvarsförhållanden i huvudsak oreglerade, men arbete pågår kring interna kravställningar mellan verksamhet och IT. Organisationen bedömer KPMG som ändamålsenlig, och den uppfattade servicenivån avseende IT-leveransen är hög. Det finns tydliga formaliserade rutiner för tilldelning och borttag av behörigheter i kommunens gemensamma system. Synpunkterna som lämnas i denna rapport är överensstämmande med synpunkter som lämnades i en revisionsrapport av Ernst & Young 2006 avseende bland annat otydliga roller och ansvar, brist på initiativ för att planera och samordna IT-säkerhet samt att styrande dokument behöver uppdateras. KPMGs rekommendationer KPMG rekommenderar att de rutiner som finns dokumenteras, samt att en processgenomgång och kvalitetssäkring sker samtidigt. Särskilt gäller detta dokumentation avseende identifierade risker. KPMG rekommenderar vidare: att IT-säkerhetspolicyn uppdateras och övriga styrande dokument ses över o att en övergripande formell och beslutad kontinuitetsplan tas fram, kopplad till planer och rutiner för incidenthantering D att forum etableras för dialog avseende IT-säkerhet att roller och ansvar formaliseras, dokumenteras och kommuniceras tydligare att kommunen inför rutiner för periodvis genomgång av behörigheter Göteborg, som ovan KPMG AB Henrik Leffler

4 Bakgrund Uddevalla kommuns revisorer genomförde 2006 en genomgång av kommunens IT-verksamhet. IT är ett snabbrörligt område och kommunens revisorer har beslutat att genomföra en förnyad granskning. Flera förslag till förändringar behöver också följas upp efter granskningen Syfte Syftet med granskningen har varit att identifiera de mest kritiska riskerna inom IT-miljön och bland olika system, granska den interna kontrollen på området, ge en övergripande bild av kommunens IT-säkerhetsarbete samt belysa kommunens IT-säkerhetsmedvetande. Revisionsfrågor Följande revisionsfrågor ligger till grund för granskningen: o Är organisationen för IT-säkerhet tydlig och ändamålsenlig? Fungerar rutinerna, till exempel inom behörighetsadministration och stöldskydd? Är styrdokumenten kända och aktuella? Finns avtal på alla områden? Hur fungerar de? o Görs riskanalyser regelbundet och på ett systematiskt sätt? Avgränsning Granskningen har avsett IT-säkerheten genom kartläggning på en övergripande nivå. Testning i eller granskning av specifika system har inte varit en del av granskningen. Metod Granskningen har genomförts med stöd av KPMGs metodik för utvärdering av IT-säkerhet. Arbetet har genomförts genom granskning av styrande dokumentation och intervjuer med nyckelpersoner. Respondenter IT-chef Ekonomichef Personalchef Chef barn- och utbildningsförvaltningen IT-sektionschef, drift & utveckling IT-sektionschef, service & support IT-sektionschef, telefoni & växel Arbetsledare, drift & utveckling Erhållen dokumentation Ansvar- och arbetsfördelning IT-organisationen, ej daterad Anvisningar för Dataanvändare, ej daterad Delegationsordning, daterad IT-regler för anställda, daterad Policy för ADB-säkerhet, daterad Regler för telefonanvändning, daterad Rutiner för anställda, chefer m.fl., daterad

5 Kriterier för bedömning Kriterier för bedömning KPMGs metodik för utvärdering av IT-organisation och IT-säkerhet ligger till grund för granskningen. KPMGs bedömning och rekommendationer baseras på stor erfarenhet av liknande granskningar inom både privat och offentlig sektor. Samtliga avsnitt har grupperats ihop utifrån respektive revisionsfråga i denna rapport för översiktens skull och värderingen har skett genom en tregradig skala enligt nedan. När barometern visar grönt finns det mindre brister inom området och KPMG rekommenderar att kontinuerliga insatser genomförs När barometern visar gult finns det betydande brister inom områdets som bör åtgärdas så snart som möjligt När barometern visar rött förekommer väsentliga brister inom området och det är kritiskt att bristerna åtgärdas omgående 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms

6 Organisationen för IT-säkerhet IT-organisationen Uddevalla kommuns IT-verksamhets drivs av den centrala ITavdelningen som har cirka 40 anställda. IT-avdelningen är en del av kommunledningskontoret och är indelad i fyra sektioner: ledning & administration, service & support, drift & utveckling samt växel & telefoni. IT-avdelningens primära områden är att tillhandahålla kommungemensamma IT-system, hårdvara, sköta driften av verksamhetsspecifika system samt leda och samordna utvecklingen av kommunens IT. I syfte att skapa en kontinuerlig dialog avseende IT-säkerhet och övriga IT-frågor används kommundirektörens ledningsgrupp (KDLG) som forum. Organisationsschema Politisk nivå ( Kommunstyrelsen Tjänstemannanivå Kommunledningskontoret C IT-avdelningen IT-chef I KDLG i Förvaltningar Drift och utveckling ) Ledning och administration ( Service och support C Telefoni, växel och 1 reception J affiliated with KPMG International Cooperative ("KPMG International'), a Swiss entity. All rights reserved. Ansvar inom IT-projekt Det saknas en formell och dokumenterad modell med roller inom ITorganisationen. Rutiner finns men dessa är informella och inte dokumenterade. Representanter för IT-avdelningen menar att det är viktigt att det är verksamheten som är den drivande parten i IT-projekt, IT-avdelningen skall endast finnas med som ett stöd i att omvandla verksamhetskraven till tekniska kravspecifikationer och säkerställa att nya system passar den befintliga IT-infrastrukturen inom kommunen. Intervjusvar tyder på att representanter för verksamheten har intrycket att IT-avdelningen tar ett större ansvar än vad IT-avdelningen själva uttrycker. Det saknas dokumenterade rutiner som beskriver hur ansvarsfördelningen ser ut i samband med IT-projekt såsom implementering av nya system. Roller och ansvar I den löpande driften av system har IT-avdelningen ansvar för drift och backup samt service och support för gemensamma system. Verksamheten äger och ansvarar för informationen i systemen och skall erbjuda support avseende verksamhetssystem till de egna användarna. Något formellt dokument finns inte upprättat men på intranätet finns följande roller definierade inom verksamheten: Informationsägare: Är den person inom verksamheten som har ansvar för att säkerställa att informationen i ett system är korrekt och uppdaterad. Vidare är informationsägaren ytterst ansvarig för informationsklassningen och behörighetsadministrationen för systemet. Systemägare: Är den person från verksamheten som har ansvar för att systemet tillhandahåller rätt funktionalitet samt har det ekonomiska ansvaret för systemet. Systemförvaltare: Är den person från verksamheten som ansvarar för den löpande administrationen av systemet, vilket innefattar licensfrågor, behörighetsadministration, kontakt med systemleverantören, programstöd samt utbildning av användare. 6

7 Organisationen för IT-säkerhet Roller och ansvar, forts. Intervjusvar tyder på att personer med dessa roller inte alltid är införstådda med sitt ansvar och vad som förväntas av dem i rollen. Ett skäl till detta är begreppsförvirring avseende IT-säkerhet och informationssäkerhet. IT-säkerhet avser teknisk säkerhet såsom skydd mot intrång och är IT-avdelningens ansvar. Informationssäkerhet avser klassning av information och definition vilken information som behöver skyddas. Detta skall förvaltningarna ansvara för, men skillnaden är inte tydlig för ansvariga inom förvaltningarna vilket leder till att det kan finnas en förväntan att IT-avdelningen ansvarar även för informationssäkerhet. Det finns i kommunen också en ansvarig för katastrofplanering som inte rör IT-säkerhet, som leder till att begreppen inte är tydliga. Inom tekniska förvaltningen finns en IT-strateg vars roll består i att koordinera arbetet avseende IT-frågor med IT-avdelningen. Detta är inte en kommungemensam roll utan den finns endast på tekniska förvaltningen, även om denne arbetar också med vissa kommunövergripande frågor. Gradering A t A När barometern visar gult finns det betydande brister inom områdets som bör åtgärdas så snart som möjligt KPMGs bedömning IT-organisationen i Uddevalla kommun bedöms vara ändamålsenlig, då lämplig rollfördelning och uppdelning av ansvar finns. På detaljerad nivå saknas formellt dokumenterade och antagna roller och ansvar. Det finns osäkerhet kring ansvaret som ingår i rollerna i förvaltningsorganisationen, liksom kring skillnaden mellan informationssäkerhet och IT-säkerhet. Dessa oklarheter leder till en risk att frågor faller mellan stolar och inte hanteras. Det finns en IT-strateg i kommunen, rollen arbetar dock främst med frågor avseende tekniska kontoret. KPMGs rekommendationer KPMG rekommenderar att: n Ett formellt styrdokument upprättas där roller och organisation avseende IT definieras, förslagsvis som en del av en ny IT-policy. KPMG rekommenderar att roller och ansvar kommuniceras tydligare då detta inte är helt klart i organisationen. KPMG rekommenderar också att IT-strategen inte begränsas till att huvudsakligen arbeta med tekniska förvaltningen, utan att rollen uttryckligen utgör en resurs för hela verksamheten som kan driva utvecklingen av IT som ett led i verksamhetsutvecklingen.

8 Rutiner och efterlevnad Rutiner för behörighetsadministration När en person anställs inom kommunen sker detta enligt en personaladministrativ rutin som finns dokumenterad. Användaren registreras i personalsystemet, varefter personen får åtkomst till AD (Active Directoy) samt ett konto. En stor del av kommunens verksamhetssystem kräver att användaren först loggar in via single signon för att få åtkomst till systemet, därmed finns en gemensam databas och rutin för majoriteten av kommunens system. IT-avdelningen en ambition att så många system som möjligt skall använda single sign-on. Genom att beställningen av behörighet sker genom ett web-formulär finns en automatiserad rutin för beställningen samt dokumentation av ärenden. Administrationen av specifika systembehörigheter sköts av systemförvaltarna. För de system där åtkomst inte sker via single signon skall beställning av åtkomst och behörighet ske till systemets systemägare eller systemförvaltare. Det saknas dokumenterade riktlinjer som är gemensamma och kvalitetssäkrade för beställningar av behörigheter till enskilda system. Respektive systemförvaltare ansvarar för beställningsrutinen på systembasis. När en anställd lämnar kommunen inaktiveras användaren i personalsystemet, varpå åtkomsten till AD blockeras. För de system som inte har single sign-on gentemot AD måste den anställdes närmaste chef kontakta systemansvarig för att användaren skall tas bort ur systemet. Kommunen saknar dokumenterade rutiner för periodiska genomgångar av användarkonton och användarbehörigheter i respektive system. Avseende genomgång av användarkonton så anser IT-avdelningen att det finns ett välfungerande system för borttag av användarkonton och därför genomförs inga periodiska genomgångar avseende användarkonton. Däremot ser IT-avdelningen ett behov av att ta fram en rutin för att gå igenom användarnas behörigheter regelbundet. Frågan kommer att diskuteras i samband med kommunens pågående arbete med informationsklassning. Granskningen har påvisat att enskilda avdelningar och förvaltningar genomför genomgångar av användarkonton och behörigheter. affiliated with KPMG International Cooperative ("KPMG International ), a Swiss entity. All rights reserved. Rutiner för stöldskydd Rutiner avseende stöldskydd finns inte dokumenterade i ett styrande dokument. Inköp av IT-utrustning skall endast ske genom ITavdelningen som hanterar frågan om stöldskydd vid avtalsskrivning. Det finns interna krav för IT-utrustning där stöldskydd ingår, men dessa är inte formellt dokumenterade. Enligt dessa interna krav skall samtliga kommunens bärbara datorer vara stöldmärkta, samt kunna spärras i det fall de försvinner. Vidare skall datorer som finns tillgängliga på offentliga platser såsom bibliotek vara fastlåsta. De formella instruktionerna till användarna avseende stöldskydd är att en dator skall låsas när användaren inte använder den respektive stängas av vid arbetsdagens slut, dessa regler avser alltså endast informationsskydd, inte skydd av hårdvaran. Någon rutin för stöldskydd av elevdatorer finns inte utöver att eleverna ansvarar för datorerna. Rutiner för incidenthantering och katastrofala driftstopp Formella rutiner för incidenthantering finns inte sammanställt, incidenter dokumenteras inte centralt, utan finns endast som arbetsmaterial hos respektive ansvarig på IT-avdelningen. Det saknas en sammanställning av dessa rutiner i en kontinuitetsplanering och katastrofplanering. 8

9 Rutiner och efterlevnad Slutsatser Det finns formaliserade rutiner för tilldelning och borttag av användare med dokumenterade ärenden via webformuläret på intranätet. Det saknas dock rutiner för regelbunden genomgång av användarkonton i syfte att identifiera behörigheter som är inaktuella eller inkorrekta. Dokumenterade generiska rutiner för tilldelning av behörigheter till olika verksamhetssystem som inte är kopplat via single sign-on saknas. Rutinerna för stöldskydd bedöms i kommunen vara en angelägenhet inom IT-avdelningens ansvarsområde för inköp av utrustning. Det saknas formell styrande dokumentation eller regler för användare avseende stöldskydd. Övergripande rutiner saknas för incidenter och avbrott, och incidenter finns inte centralt sammanställda. KPMGs rekommendationer KPMG rekommenderar Uddevalla kommun att införa rutiner för periodiska genomgångar av användarkonton och behörigheter för kommunens system i syfte att säkerställa att användardatabasen är uppdaterad och korrekt. Gradering KPMG rekommenderar även att det bör införas dokumenterade gemensamma rutiner för tilldelning av behörigheter till verksamhetssystem, i syfte att enhetliga rutiner som möjliggör ett generiskt arbetssätt inom kommunen. KPMG rekommenderar vidare att rutiner för incidenter och avbrott sammanställs i ett centralt dokument, samt att samtliga incidenter förs in i ett centralt dokument som möjliggör analys av vad som sker. När barometern visar grönt finns det mindre brister inom området och KPMG rekommenderar att kontinuerliga insatser genomförs

10 Styrande dokumentation Styrande dokumentation Inom kommunen finns det flertalet dokument som behandlar IT-säkerhet och hur användare skall förhålla sig avseende IT-säkerhet. Rutiner och riktlinjer finns att tillgå på IT-avdelningens sida på intranätet. I granskningen har det framkommit att majoriteten av dokumenten är föråldrade, bl.a. är kommunens policy för IT-säkerhet uppdaterad senast Dokumentet "IT-regler för anställda" har inte uppdaterats sedan 2004, och är förlegat då exempelvis definierade ansvar inte stämmer med de roller som finns i dagens förvaltningsorganisation. En anledning till att policy och styrdokument inte har uppdaterats beror enligt IT-chefen på att det under senare år genomförts en rad förändringar inom IT-organisationen. IT-avdelningen har påbörjat ett arbetet med att formalisera rutinerna avseende IT, bl.a. kommer en ITstrategi att vara klar under hösten 2013 och förhoppningen är att kunna färdigställa en Informationssäkerhetspolicy under Flertalet respondenter menar att det finns en medvetenhet om ITsäkerhet inom kommunen men att kunskapen är personberoende och det finns en uttalad känsla av att de informella rutiner som används fungerar väl och är tillräckliga. Gradering När barometern visar rött förekommer väsentliga brister inom området och det är kritiskt att bristerna åtgärdas omgående 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms KPMGs bedömning KPMG konstaterar att kommunens styrdokument är kraftigt föråldrade och i behov av att uppdateras. Detta gäller i synnerhet IT-policyn, men också andra policys som inte avspeglar dagens miljö och rutiner. De styrande dokumenten är enkla att lokalisera och ta fram, men är ej kända i verksamheten. Som en följd av den informella styrningen finns ett personberoende vilket leder till risker, bl.a. avseende kunskapsöverföring. Det finns en tydlig risk att den informella styrningen baserad på den föråldrade dokumentationen inte är komplett och att viktiga delar av ITsäkerheten inte beaktas. Fungerande informella rutiner blir transparenta och potentiellt effektivare genom att de dokumenteras, kompletteras och granskas. KPMGs rekommendation KPMG rekommenderar att IT-policy och andra dokument uppdateras, samt att en förteckning med all styrande dokumentation inom IT och informationssäkerhet upprättas. Relevanta styrande dokument behöver också kommuniceras tydligt ut till organisationen. 10

11 Avtalsstyrning Interna avtalsförhållanden Inom kommunen ansvarar IT-avdelningen för driften av både kommungemensamma och verksamhetsspecifika system medan förvaltningarna ansvarar för att administrera innehållet i respektive verksamhetssystem. Endast ett fåtal system underhålls av externa leverantörer. Idag är ansvarsförhållandet mellan verksamhet och ITavdelning inte reglerat i formella avtal, men ett arbete pågår med att skapa Service Level Agreements (SLA) där verksamheten kravställer sina behov gentemot IT-avdelningen. Dessa SLA omfattar områden såsom drift och utveckling samt service och support. Hittills har avtal slutits med socialtjänsten och tekniska kontoret. Villkoren i avtalet har utarbetats från ett övergripande perspektiv, där det inte gjorts specifika anpassningar till enskilda förvaltningar. Ett ansvarsavtal finns upprättat med de skolelever som har lånat en dator från kommunen. Externa avtalsförhållanden Gentemot de externa systemleverantörerna skall kommunen ha formella avtal som reglerar vilken backup och servicenivå som förväntas av den externa leverantören. Vid upphandlingar från externa leverantörer skall förvaltningarna ta hjälp av IT-avdelningen som bidrar med tekniskt kunnande. När barometern visar gult finns det betydande brister inom områdets som bör åtgärdas så snart som möjligt KPMGs bedömning KPMG kan konstatera att interna ansvarsförhållanden idag är i huvudsak oreglerade, en konsekvens av detta är att någon tydlig kravställning från verksamheten till IT-avdelningen inte finns vilket leder till att ansvaret inte är tydligt fördelat mellan verksamhet och ITavdelning. Detta innebär risk för att väsentliga områden inte ligger under ett tydligt ansvar. De interna SLA som slutits bedömer KPMG som ändamålsenliga. KPMGs rekommendationer KPMG rekommenderar att de interna SLA:erna färdigställs så snart som möjligt i syfte att tydliggöra ansvarsfördelningen mellan IT-avdelning och verksamhet genom en tydlig kravställning som kommer båda till nytta. 11

12 Riskbedömning Riskanalys och informationsklassning Kommunen saknar idag övergripande riktlinjer för att genomföra riskanalyser av kommunens IT-verksamhet. Det saknas formella dokument såsom kontinuitetsplan och incidenthanteringsrutin. Vid intervjuerna har framhållits att riskanalys sker, men då av respektive ansvarig på IT-avdelningen, dessa utförs dock utan formella rutiner, avstämning eller sammanställning. Vid ett planerat elavbrott under hösten 2012 genomförde IT-avdelningen test av å terstartsrutiner och koordinering vid en extraordinär händelse. En loggbok upprättades, men någon sammanställning av resultatet, behov av åtgärder eller "lessons learned" finns inte dokumenterade. Som ett steg i att skapa en riskmedvetenhet och en formell riskanalys förankrad i verksamheten har IT-avdelningen inlett ett projekt med att informationsklassificera de 80 mest verksamhetskritiska systemen inom kommunen, vilket beräknas vara klart under Gradering När barometern visar gult finns det betydande brister inom områdets som bör åtgärdas så snart som möjligt affiliated with KPMG International Cooperative ("KPMG International ), a Swiss entity. All rights reserved. KPMGs bedömning KPMG konstaterar att dokumentation avseende riskanalys saknas, både avseende en rutin att göra riskanalyser och sammanställning av genomförda riskanalyser. Arbete pågår med att ta fram kravställning som är avstämd mellan IT-avdelningen och verksamheten avseende riskklassificering. KPMGs rekommendation KPMG rekommenderar att kommunen tar fram en rutin för riskanalys samt att riskanalyserna sammanställs i syfte att frågor som belyses inte lämnas utan åtgärd. KPMG rekommenderar att kommunen fortsätter arbetet med att identifiera kritiska system och skapa dokumentation för dessa där verksamheten agerar kravställande och IT-avdelningen stödjande. Denna dokumentation bör därefter aggregeras till en central kontinuitetsplan med bland annat rutiner för incidenthantering och loggning av incidenter samt katastrofhantering (inom IT-området). 12

13 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. The KPMG name, logo and 'cutting through complexity' are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).