inom Sunne kommun Granskning av IT-användning och ITsäkerhet Granskningsrapport KPMG AB Antal sidor: 17

Transkript

1 Granskning av IT-användning och ITsäkerhet inom Granskningsrapport KPMG AB Antal sidor: 17

2 Innehåll 1. Sammanfattning 1 2. Inledning Bakgrund Syfte Avgränsning Revisionskriterier Ansvarig nämnd Metod 5 3. Resultat IT-miljön inom Nyttoaspekter IT-strategi IT-organisation och ansvarsfördelningar Kompetens inom IT-organisationen Användning av befintligt IT-stöd och utveckling av nytt IT-stöd Forum och mötesplatser för IT-utveckling Säkerhetsaspekter Informationssäkerhetspolicy Åtkomsthantering Rutiner för kontinuitetshantering och säkerhetskopiering Informationssäkerhet i molntjänster och mobila enheter Sammanfattade bedömningar och iakttagelser Iakttagelser Rekommendationer 17 - IT-granskning 2016_slutlig.docx

3 1. Sammanfattning Vi har genomfört en utredning kring hur arbetar med IT-användning och ITsäkerhet. Syftet med granskningen har varit att utreda huruvida IT-stöd och IT-säkerhet är ändamålsenliga. För att granska området har ett antal områden inkluderats såsom IT-strategi, ansvarsfördelningar för IT, IT-utveckling, informationssäkerhetspolicy, åtkomsthantering samt katastrofplanering. Granskningen har utförts genom dokumentstudier samt intervjuer med berörda tjänstemän, representativa medarbetare och ett urval av användare. har en IT-enhet bestående av 14 personer som stödjer verksamheten med ITrelaterade frågor. IT-utveckling genomförs dels av IT-enheten men även av respektive verksamhetsområde. Det finns en lokal serverhall där merparten av kommunens system driftas. Det genomförs även samdrift av system med ett antal kringkommuner. Som en del av granskningen har vi noterat ett antal förbättringsområden kopplat till IT-användning och IT-säkerhet. Följande väsentliga iakttagelser har noterats: Det saknas ett strategiskt IT-utvecklingsarbete inom och ingen IT-strategi har formaliserats. Detta innebär en risk att det inte genomförs tillräcklig IT-utveckling för att tillgodose medarbetare och medborgares behov. Det innebär ytterligare en risk att utveckling inte är fullt koordinerad mellan kommunens verksamheter och att IT-strategiska frågor inte blir tydligt nog kommunicerade. Det saknas tydliga ansvarsbeskrivningar kring de olika rollerna som används i ITverksamheten. Det finns en risk att avsaknad av tydliga ansvarsbeskrivningar medför en osäkerhet och otydlighet kring vilka individer som ska driva IT-utveckling och ITsäkerhetsfrågor för delar inom IT-verksamheten. Det saknas en tydlig struktur för att dokumentera IT-utvecklingsbehov. Detta medför att det inte blir en tydlig dialog kring vilka behov som fångas in och diskuteras. Ytterligare saknas därmed ett sätt att dokumentera motiveringar kring varför viss utveckling inte kan genomföras. Nuvarande informationssäkerhetspolicy är inaktuell. Det saknas därmed en policy som tar i beaktande aktuella informationssäkerhetsfrågor. Det saknas tydliga rutiner för användaradministration och åtkomsthantering. Det finns en risk att användarkonton tillhörande personer som slutat inom kommunen ligger kvar aktiva i systemen samt att svaga lösenordskrav används. Detta medför en risk för missanvändning och manipulering av data. Det saknas en kontinuitetshantering och katastrofplanering. Därtill saknas en kartläggning och prioritering av system som inkluderar kravställning för återställande. Detta medför en risk att återställningsförfarandet blir utdraget och fel system prioriteras vilket innebär att viktiga systemresurser kan vara otillgängliga under längre perioder. - IT-granskning 2016_slutlig.docx 1

4 För att stärka dessa områden ger vi följande rekommendationer: 1. KPMG rekommenderar att en formell IT-strategi implementeras som tydliggör ansvarsförhållande kring strategisk IT-utveckling. IT-strategin bör tydliggöra hur ITutvecklingen ska bedrivas framgent inom kommunen och vilka väsentliga inriktningar som ITutvecklingen ska fokusera på. IT-strategiarbetet bör utföras och drivas med ett kommungemensamt perspektiv. 2. KPMG rekommenderar att en rutin implementeras för att dokumentera IT-utvecklingsbehov och inkluderas relevanta delar i IT-strategiutvecklingsarbetet. 3. KPMG rekommenderar att det skapas tydliga ansvarsfördelningar kring väsentliga områden inom IT-enheten samt systemansvar inom verksamheten. Det bör inkludera rollbeskrivningar kring systemägar- och systemförvaltarskap. Ansvarsbeskrivningar bör formuleras i syfte att klargöra vilka roller som ansvarar för olika funktioner såsom IT-utveckling generellt samt ITutveckling för olika verksamheter och system. 4. KPMG rekommenderar att den befintliga informationssäkerhetspolicyn revideras och uppdateras till att inkludera en aktuell hantering utifrån nuvarande informationssäkerhetsfrågor. Policyn bör inkludera tydlig ansvarsbeskrivning, en modell för klassificering av informationstillgångar samt en struktur för att säkerställa informationens riktighet, sekretess och tillgänglighet. Ytterligare bör en rutin implementeras för kontinuerlig utbildning av verksamhetens personal inom informationssäkerhet. 5. Rutinerna för åtkomsthantering bör stärkas i syfte att säkerställa att endast korrekta personer har åtkomst till väsentlig information och system. Rutinen för tillägg, ändring och borttag av behörigheter bör stärkas till att säkerställa att användare tillhörande personer som slutar inom kommunen blir borttagna inom en rimlig tid. Det bör säkerställas att en rutin för periodisk genomgång av samtliga användarbehörigheter utförs utefter ett fastställt schema och att genomgången säkerställer att samtliga användare är korrekta och har lämpliga behörigheter i systemen. En enhetlig lösenordspolicy bör implementeras som säkerställer en stark nivå av autentisering av samtliga användare. 6. KPMG rekommenderar att en kontinuitetsplan implementeras som inkluderar rutiner för återställning av system och data vid en katastrof inom IT-miljön. - IT-granskning 2016_slutlig.docx 2

5 2. Inledning 2.1 Bakgrund Vi har, i uppdrag av s revisorer, genomfört en utredning kring hur kommunen arbetar med användningen av IT-stöd och IT-säkerhet. All verksamhet är i dagsläget beroende av IT och det IT-stöd som används. IT-verksamheten måste fungera för att kommunen ska kunna utföra den samhällsviktiga funktionen. IT-verksamheten behöver utföras på ett effektivt sätt där nyttan med IT-relaterade beslut alltid finns i åtanke. Ytterligare bör användarnyttan och utvecklingen vara baserad på de behov som uppkommer i verksamheten. Kommuner bör säkerställa en tydlig strategi för sin IT-verksamhet där ITinvesteringar är väl motiverade och följer den övergripande verksamhetsplanen. Samtlig IT-verksamhet behöver utföras på ett säkert sätt där informationen som bearbetas skyddas mot extern och intern missanvändning. En stor mängd viktig information, varav en del är sekretessbelagd, hanteras i IT-systemen. Utvecklingen går mot att än mer information hanteras elektroniskt och därmed minskar den fysiska kontrollen på informationen. IT-säkerhet är därmed ett väsentligt område och det krävs en tydlig hantering för att säkerställa skyddet kring viktig information. Säkerhetsaspekter som bör existera inkluderar bland annat åtkomsthantering och drifthantering. s revisorer har dragit slutsatsen att området för ska granskas. 2.2 Syfte Det övergripande syftet med granskningen är att analysera IT-stöd och IT-säkerhet i syfte att utreda om dessa är ändamålsenliga. Vi belyser därmed följande revisionsfrågor: Nyttoaspekter Finns en IT-strategi som definierar hur IT-verksamheten ska utvecklas och förvaltas inom en 3-5 års period? Hur ser IT-organisationen ut och vilka ansvarsfördelningar finns avseende ITverksamheten inom kommunen? Finns kompetens inom IT-organisationen för att insamla och driva lämplig IT-utveckling? Hur används IT-stöd i verksamheten och hur sker samarbete kring att utveckla/förbättra IT-stödet? - IT-granskning 2016_slutlig.docx 3

6 Vilka forum och mötesformer används för diskussion om IT-utveckling mellan ITavdelning och övriga verksamheten? Säkerhetsaspekter Finns en informationssäkerhetspolicy med tillhörande informationssäkerhetsrutiner? Finns rutiner för åtkomsthantering för väsentliga IT-system inklusive rutiner för beställning av behörighetsförändringar, lösenordshantering, begränsning kring höga behörigheter och säkerhet relaterad till att endast behöriga personer har åtkomst till relevanta IT-system? Vilka rutiner finns på plats för återskapande av data vid en eventuell katastrof, hur ser rutinerna ut för säkerhetskopiering och test av återläsning? Hur säkerställs informationssäkerheten vid användandet av molntjänster samt mobila enheter såsom läsplattor, datorer och mobiltelefoner? 2.3 Avgränsning Granskningen har fokuserat på verksamheten kring IT och identifiering av eventuella förbättringsområden med avseende på IT-stöd och IT-säkerhet. Granskningen har inte omfattat någon utvärdering av lämpligheten i befintliga system eller hårdvara som kommunen använder. Granskningen har inte inkluderat implementering av de rekommendationer som lämnas. 2.4 Revisionskriterier Vi har bedömt om rutinerna uppfyller: Kommunallagen 6 kap. 7 som anger att nämnderna skall var och en inom sitt område se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som kommunfullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. De skall också se till att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt. Tillämpbara interna regelverk och policys inom avseende informationssäkerhet och IT-strategi. Normkällor avseende informationssäkerhet 1. Internationella standarder enligt ISO (International Organization for Standardization) avseende ISO 27001:2013 Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet. 2. Internationella standarder för informationssäkerhet som ryms inom Control Objective for Information and Related Technology Standards (COBIT). - IT-granskning 2016_slutlig.docx 4

7 Normkällor avseende nyttoaspekter 1. Vägledning från E-delegationen, Vägledning för behovsdriven utveckling, Version 2.0 daterad Kapitel 2: Vad är behovsdriven utveckling? 2. Vägledning från E-delegationen, Vägledning i Nyttorealisering, Version 2.0. Kapitel 2: Vad är nytta? 2.5 Ansvarig nämnd Granskningen avser huvudsakligen kommunstyrelsen. 2.6 Metod Granskningen har utförts genom: 1. Dokumentstudier av relevanta dokument 1. Informationssäkerhetspolicy, daterad Beslutsattestant formulär för attest av behörigheter 2. Intervjuer, dessa inkluderar: 1. Personal inom IT-enheten 1. IT-chef 2. IT-strateg, framtida tf. IT-chef 3. IT-pedagog 2. Urval av representativa medarbetare inom olika verksamheter i kommunen 1. Verksamhetschef, Vård och omsorg 2. Medicinsk ansvarig sjuksköterska (MAS), Vård och omsorg 3. Socialt ansvarig samordnare (SAS), Individstöd 4. Distriktssköterska (IT-samordnare), Vård och omsorg 5. Verksamhetschef, Individstöd 6. Chef LSS, Individstöd - IT-granskning 2016_slutlig.docx 5

8 7. Administratör, Individstöd 8. Verksamhetschef, Samhällsbyggnad och säkerhet 9. Administratör, Samhällsbyggnad och säkerhet 10. Verksamhetschef, Ungdomar och vuxnas lärande 11. Högstadielärare, Ungdomar och vuxnas lärande 12. Verksamhetschef, Verksamhetsstöd och kommunikation 13. Informationsstrateg, Verksamhetsstöd och kommunikation 14. Webbansvarig, Verksamhetsstöd och kommunikation 15. Ekonomichef, Ekonomienheten 3. Urval av elever inom skolverksamheten 1. Elevrådets Vice Ordförande - IT-granskning 2016_slutlig.docx 6

9 3. Resultat 3.1 IT-miljön inom IT-enheten i består av 14 personer med en övergripande IT-chef. IT-enheten arbetar strategiskt med att skapa en centraliserad, standardiserad IT-hantering för att kunna avlasta kommunens verksamheter med IT-drift och support. IT-enheten ansvarar dels över driften av nätverket inkl. det register som innehåller kommunens cirka 3500 användare (Active Directory). Ytterligare genomförs driften av de olika verksamhetssystem och IT-system som används. Ett antal av systemen som används samdriftas med kringkommunerna Torsby och Hagfors. Samdriften innebär att varje kommun ansvarar för driften av ett system som används samtidigt för samtliga kommuner. Detta är utfört i syfte att kunna fokusera teknisk kompetens på ett av de stora systemen. Ansvaret över systemen för samdriften är enligt följande: personalsystem (Personec) Torsby kommun ekonomisystem (Aditro) Hagfors kommun verksamhetssystem (Procapita) Kommunens datorer tillhandahålls genom leasingkontrakt som löper på 3 år. En person inom ITenheten arbetar med att genomföra installationer av datorerna och en ytterligare person inom ITenheten arbetar med att installera mjukvara. På IT-enheten arbetar fyra personer med den tekniska driften av IT-miljön. Två personer arbetar som helpdesk åt kommunens användare och kan stödja via fjärrstyrning, via telefon samt platsbesök. 3.2 Nyttoaspekter IT-strategi IT-strategi är ett begrepp för strategisk ledning av IT-verksamhet där verksamhetens inriktning definieras på längre sikt i form av strategiska planer och styrdokument. Inom saknas en formellt antagen IT-strategi. Det genomförs ett antal projekt inom IT-enheten som är av strategisk karaktär och det finns ett antal informella inriktningar för ITutvecklingen. IT-enheten upplever att kommunen är för liten för att dra nytta av en formaliserad IT-strategi och att IT är ett område som förändras för snabbt för att det ska vara möjligt att nedteckna en strategi. Istället genomför IT-enheten ett praktiskt arbete med IT-strategi där inriktningar inkluderar att standardisera och centralisera processer inom IT-verksamhet. De informella inriktningarna diskuteras löpande med verksamheten i ett antal olika mötesforum. ITenheten arbetar även med platsbesök, omvärldsbevakning, samarbete med kringkommuner m.m. för att praktiskt ta fram och arbeta med strategiska frågor. - IT-granskning 2016_slutlig.docx 7

10 Vid samtal med representanter från verksamheten beskriver merparten av de tillfrågade att det finns en avsaknad av en formell IT-strategi som beskriver hur verksamheten ska ledas strategiskt med avseende på IT-verksamheten. Det varierar mellan verksamheterna kring hur de ser på en ITstrategi. I verksamheten är de tillfrågade medvetna om att det genomförs ett antal IT-strategiska initiativ och projekt, dock upplevs att det inte finns någon enhetlig inriktning på IT-verksamheten. Det praktiska arbetet som utförs kopplat till IT-strategi upplevs inom verksamheten fungera till viss del. Det genomförs möten där strategiska frågor diskuteras och det finns ett gott samarbete mellan verksamhetsområdena och IT-enheten. Det finns en tydlighet kring att samtliga strategiska ITfrågor ska tas upp med IT-enheten. Det praktiska arbetet upplevs dock inte koordinerat och det upplevs som att det saknas ett kommungemensamt perspektiv. Den utveckling av IT-miljön som sker idag upplevs mer som reaktiv för att hantera de problem som uppstår än proaktiv för att på ett strategiskt sätt driva utvecklingen avseende IT. Bedömning Vi bedömer att det saknas en IT-strategi för. Vi bedömer att det bedrivs ett visst praktiskt strategiskt IT-arbete, dock är detta inte formaliserat, det är inte fullt ut koordinerat mellan kommunens verksamheter och det är inte formellt kommunicerat IT-organisation och ansvarsfördelningar IT-enheten är ansvarig för IT-verksamheten inom kommunen vilket inkluderar den operativa driften, supporten och underhållet av IT-miljön. IT-enheten består av 14 medarbetare inklusive ITchefen. Personalen har uppdelade arbetsuppgifter med ansvar/roller för bland annat IT-ledning, ITstrategi, IT-administration, helpdesk, driftteknik, hårdvaruinstallationer, mjukvaruinstallationer. I verksamheten finns ansvariga för de olika verksamhetssystem som används. Enligt IT-enheten har tydliga ansvarsområden växt fram inom IT-enheten och då det upplevs finnas en viss resursbrist så stödjer medarbetare varandra inom olika områden. Området kring systemägarskap och systemförvaltarskap ute i verksamheten har enligt IT-enheten inte varit väl utarbetat tidigare och ett projekt drivs nu kring att ytterligare arbeta med att definiera dessa roller. Arbetet upplevs vara ett viktigt steg i ledet mot att tydliggöra och strukturera samarbetet med verksamheten men även i att tydliggöra vilket ansvar som ska vara inom de olika verksamheterna kring IT-system. Enligt IT-enheten saknas idag en tydlighet i vad som ingår i systemägare/systemförvaltarskapet i verksamheten och det leder ibland till otydlighet i ansvarsfrågor. De tillfrågade verksamheterna upplever en otydlighet kring vilken verksamhet som bär ansvar över olika IT-komponenter inom kommunen. Det upplevs delvis otydligt kring vad som inkluderas i systemägare/systemförvaltarskap då detta inte är formaliserat. Via dialog med de tillfrågade verksamheterna uppstår olika åsikter kring om det är den egna verksamheten eller IT-enheten som bär ansvaret för olika frågeställningar. Frågan om ansvar kring IT-utveckling av de egna verksamhetssystemen är inte diskuterad och olika åsikter har framkommit vid intervjuerna. Samtliga tillfrågade verksamheter tydliggör att det finns ett väldigt bra samarbete mellan verksamheterna och IT-enheten och frågeställningar som framkommer kan lösas med dialog. Avsaknaden av tydliga ansvarsområden upplevs dock medföra att vissa områden inte drivs på ett tydligt sätt, såsom strategisk IT-utveckling. - IT-granskning 2016_slutlig.docx 8

11 Bedömning Vi bedömer att det saknas tydliga ansvarsbeskrivningar kring vad som ingår i de olika rollerna som inkluderas i IT-verksamheten. Detta inkluderar roller inom IT-enheten men främst roller inom verksamhetsområdena (systemägare/systemförvaltare). Vi bedömer att det finns en risk att avsaknad av tydliga ansvarsbeskrivningar medför en osäkerhet och otydlighet kring vilka individer som ska driva IT-utveckling och IT-säkerhetsfrågor för delar inom IT-verksamheten Kompetens inom IT-organisationen Personal med IT-kompetens inom kommunen är främst koncentrerad till IT-enheten men det finns även nyckelpersoner avseende IT inom de övriga verksamheterna inom organisationen. Det finns en struktur med olika ansvars/kompetensområden inom IT-enheten. Extern kompetens i form av konsulter tas in vid behov, dock är ambitionen att samtligt behov av IT-kompetens ska finnas inom organisationen. IT-enheten uttrycker att det finns en god struktur inom IT-enheten idag med de väsentliga kompetensområden som efterfrågas. Det uttrycks främst att det stora problemet är att det är resursbrist ibland fall vilket medför svårigheter att utföra vissa aktiviteter. Insamling av behov från verksamheten genomförs i den mån det är möjligt utifrån den kapacitet som finns enligt IT-enheten. Samtliga tillfrågade verksamheter uttrycker att de är mycket tillfreds med kommunens IT-enhet. Verksamheterna menar att IT-enheten är kompetent samtidigt som de är tillmötesgående när det uppstår problem eller när det framkommer utvecklingsförslag. Flera tillfrågade personer uttrycker stark tillit till IT-enheten och upplever att väsentlig kompetens finns. Samtidigt menar flera tillfrågade personer att de efterfrågar ytterligare kompetens inom området för IT-strategi och ITutveckling. Många tillfrågade personer upplever att IT-enhetens kompetens främst är teknisk och inte strategisk avseende IT. Bedömning Vi bedömer att det saknas en tydlighet i vilken enhet som bär ansvaret kring att driva strategisk ITutveckling inom kommunen. Detta medför att det finns oklarheter och olika åsikter framkommer kring vilken utvecklingskompetens som ska finnas inom IT-enheten och vilken utvecklingskompetens som ska finnas inom den resterande organisationen Användning av befintligt IT-stöd och utveckling av nytt IT-stöd IT-stödet som används inom består dels av kommungemensamma system såsom nätverk och teknik och dels av verksamhetsspecifika system. De systemlösningar som finns har generellt sett använts under många år. Verksamhetsspecifika system som används är standardsystem som uppgraderas i takt med att systemversioner släpps. IT-enheten har uppfattningen att befintligt IT-stöd är under utveckling och att förbättringar blivit genomförda för att säkerställa den tekniska driften av IT-miljön. IT-enheten har drivit ett antal strategiska IT-projekt som syftat till att förbättra IT-stödet för medarbetare, elever och medborgare. Det saknas enligt IT-enheten en struktur för att dokumentera utvecklingsbehov och genomföra strategiska beslut dem emellan. IT-enheten menar att de försöker arbeta praktiskt med att samla in och analysera de önskemål och behov som verksamheten presenterar. - IT-granskning 2016_slutlig.docx 9

12 IT-enheten samlar in uppgifter om behov om utveckling genom samtal med medarbetare, strukturerade möten, helpdesk och omvärldsbevakning. De anledningar som hindrar viss utveckling kan enligt IT-enheten härledas till bland annat: - Ekonomiska begränsningar - Tekniska begränsningar - Rådande uppfattning om inriktning såsom enhetlig standardisering och centralisering avseende datorer och system - Lagmässiga begräsningar samt säkerhetsaspekter Det är inte möjligt att genomföra samtliga utvecklingsförslag som inkommer och IT-enheten försöker sakligt kommunicera anledning till att vissa önskemål inte kan genomföras. Enligt ITenheten är många av önskemålen som nekas svåra att genomföra då de kräver omfattande projekt för att tillgodose. IT-enheten påpekar även att vissa användare inte förstår att det kan krävas stora uppgraderingar av infrastruktur innan det går att genomföra mindre önskemål som att exempelvis installera trådlöst internet i byggnader om det inte finns väl utbyggt internet. Det saknas en struktur på IT-enheten för att dokumentera utvecklingsförslag och motivering kring varför vissa förslag inte kan genomföras. Merparten av de tillfrågade verksamheterna och medarbetarna upplever att IT-stödet är tillräckligt idag och att de önskemål som uppkommer tas emot på ett bra sätt. Det finns dock en gemensam bild av att det kommer att krävas mycket arbete för att IT-stödet ska fortsätta täcka framtidens ITbehov. De framtida utmaningarna upplevs stärka behovet av en tydlig plan kring IT-utveckling och ett tydligt driv kring strategiska IT-frågor. Tillfrågade verksamheter och medarbetare upplever att de system som används och de projekt som utförs är grundade i ett behov i verksamheten och känns därmed som att de uppfyller ett syfte. Åsikter som framkommer kring stödet för den generella IT-miljön är att det upplevs som att tillgänglighetstiderna för IT-enheten kan förbättras. IT-enheten har öppettider mellan kl 08:00 och 16:00 vilket ifrågasätts av många av de tillfrågade då de upplever behov av IT-support även utanför dessa tider. En medarbetare som har varit delaktig i implementationen av Office 365 upplevde att projektet genomfördes för sent och påpekade även att flera önskemål om ett liknande IT-projekt har framförts under många år utan resultat. Det påpekades dessutom att medarbetaren under planeringsarbetet av implementationen har framfört önskemål på förbättringar avseende projektet till person som är kontaktyta mot IT-enheten utan att få ett tydligt besked kring om eller när önskemålet kommer implementeras. Några tillfrågade användare från skolan påpekar att antalet datorer är för lågt med avseende på antalet användare (elever) på skolan. Dessa användare menar att det finns ca 10 datorer per ca 50 elever och att detta är för lite, vilket påverkar möjligheterna i undervisningen. Ytterligare påtalas från några tillfrågade att IT-stödet i skolverksamheten upplevs eftersatt med dålig struktur både på befintliga datorer samt avseende internetkapacitet och möjligheten till trådlös uppkoppling. - IT-granskning 2016_slutlig.docx 10

13 Bedömning Vi bedömer att det finns olika åsikter kring befintligt IT-stöd där dock merparten av tillfrågade är nöjda med de system och den nivå av IT-stöd som finns. Vi bedömer att det saknas en tydlig struktur för att dokumentera utvecklingsbehov som uppkommer i verksamheten och en analys kring varför vissa behov inte kan tillgodoses. En otydlig struktur kring motivering av IT-utveckling medför att denna kan mötas med motstånd eller kan kännas omotiverad i verksamheten Forum och mötesplatser för IT-utveckling IT-enheten arbetar med ett antal mötesformer för att träffa medarbetare och samla in utvecklingsbehov från verksamheterna. Strukturen för möten har arbetats fram och mötenas frekvens är baserad på hur behovssituationen ser ut för de specifika verksamheterna. Det genomförs möten varannan månad med verksamheterna för skola samt vård och omsorg då dessa verksamheter framkommer med mest behov. Enligt IT-enheten har forumen fungerat väl för att fånga upp de utvecklingsområden som finns. ITenheten arbetar även strukturerat med att fånga upp utvecklingsbehov från de supportärenden som inkommer till IT-enhetens helpdesk. Verksamheterna som genomför periodiska möten med IT-enheten anser dessa möten fungera tillfredsställande och skapar en god struktur för att väcka utvecklingsfrågor. För de verksamheter där möten inte genomförs periodiskt framkommer en samstämdhet kring att utvecklingsbehov på ett smidigt sätt kan kommuniceras till IT-enheten på andra sätt. Samtliga tillfrågade medarbetare menar att det är tydligt kommunicerat att eventuella IT-utvecklingsförslag eller önskemål ska kommuniceras till IT-enheten och menar därmed att detta minskar behovet av strukturerade möten. Nästan alla tillfrågade medarbetare upplever att de IT-utvecklingsbehov som kommuniceras blir utvärderade och att de därefter får respons på förslaget. Många medarbetare uttrycker att de återkommande arbetsplatsträffarna (APT) är ett bra forum för att diskutera IT-utveckling med andra medarbetare inom kommunen. Flera medarbetare uttrycker däremot att de tycker att IT-frågor borde tilldelas större utrymme under träffarna för att kunna diskutera och lyfta fram fler åsikter. En tillfrågad medarbetare som har varit delaktiga i ett IT-projekt inom verksamheten för skola upplever att det har varit problematiskt med kommunikationen avseende att få klara besked och information kring vilka beslut som tas och hur dessa kommer att påverka medarbetarens verksamhet. Medarbetaren menar att det blir svårt att planera för framtiden när det är osäkert kring vilket IT-stöd som kommer att användas. Bedömning Vi bedömer att kontaktytorna för att diskutera och samla in IT-utvecklingsbehov varierar mellan kommunens olika verksamheter men att det existerar en allmän förståelse för hur ITutvecklingsbehov kan lyftas fram för utvärdering. - IT-granskning 2016_slutlig.docx 11

14 3.3 Säkerhetsaspekter Informationssäkerhetspolicy En informationssäkerhetspolicy är ett styrande dokument innehållande ställningstaganden kring hur arbete ska utföras för att hindra att information läcker, förvanskas eller förstörs samt att information ska vara tillgänglig vid behov. I finns det en informationssäkerhetpolicy som är daterad IT-enheten uttrycker att det inte genomförs något aktivt arbete med att uppdatera eller hålla den befintliga policyn levande. Det pågår inte heller något aktivt arbete med informationssäkerhet i form av informationsklassificering eller riktlinjer för området. IT-enheten uttrycker att det finns en oklarhet kopplat till vilken enhet inom kommunen som har ansvaret för att driva utvecklingen kring informationssäkerhet och tillhörande informationssäkerhetspolicy. Informationssäkerhetspolicyn är inte längre aktuell enligt IT-enheten och det saknas rutiner för att löpande utbilda personal i informationssäkerhetsfrågor. Samtliga tillfrågade verksamheter känner till att det existerar en informationssäkerhetspolicy men det påpekas att den upplevs som både inaktuell och så omfattande att den upplevs mycket svår att ta till sig. Ett par verksamheter påpekar att det upplevs som frustrerande att ingen driver utvecklingen av informationssäkerhetspolicyn. En av de tillfrågade verksamheterna tycker att ansvaret för informationssäkerhetspolicyn bör delegeras till IT-enheten. Bedömning Vi bedömer att den nuvarande informationssäkerhetspolicyn är inaktuell och att det därmed saknas en informationssäkerhetspolicy som tar i beaktande aktuella informationssäkerhetsfrågor. Vi bedömer att det saknas en rutin för att aktivt arbeta med och kommunicera informationssäkerhetsfrågor i verksamheten, detta då det saknas en aktuell policy samt att det saknas en rutin för utbildning inom området. Vi noterar ytterligare att det är otydligt kring var ansvaret att driva hanteringen inom informationssäkerhetsområdet ligger Åtkomsthantering Åtkomsthantering avser de interna rutiner som gäller för att hantera användare och dess åtkomst till kommunens IT-system och information. Goda interna rutiner innebär att rätt personer har åtkomst till rätt information och att informationen skyddas från obehöriga personer. Kommunens åtkomst till nätverk och nätverksmappar administreras av IT-enheten enligt en etablerad rutin. Vid åtkomständringar ska enligt rutinen en persons ansvariga chef skicka en ifylld och signerad beställningsblankett som finns på kommunens intranät till IT-enheten. Rutinen ska utföras i samband med att en person börjar arbeta i kommunen, när en person behöver en förändrad åtkomst samt i samband med att en person slutar arbeta inom kommun. - IT-granskning 2016_slutlig.docx 12

15 IT-enheten uttrycker att rutinen för tillägg, ändring och borttagning av användarkonton inte alltid fungerar tillfredsställande. Vid nyanställning får inte IT-enheten alltid information i rimlig tid för att hinna administrera samtliga delar inför att personalen börjar inom kommunen. Det uttrycks även att rutinen för borttagning är svag då IT-enheten inte alltid blir informerade om att personal slutat och att därmed deras behörigheter ska raderas. För åtkomsthantering i specifika verksamhetssystem utförs administrationen inom den verksamheten enligt en liknande process. I processen för verksamhetssystemen är det en annan blankett som används och som skickas till en administratör inom verksamheten istället för till ITenheten. I blanketten ska beställaren fylla i vem beställningen gäller samt vilken roll som användaren ska ha i systemet. Roller är skapade i systemet utifrån användarens organisatoriska roll. Inom vissa av kommunens verksamheter påtalas det att rutinen för att ta bort användaråtkomster i verksamhetssystemen i samband med att personal slutar inte fungerar tillfredsställande. I syfte att verifiera huruvida användare i nätverk och system är aktuella genomförs vissa periodiska genomgångar. Dessa genomförs för nätverket genom att behörighetslistor extraheras och kommuniceras till enhetschefer. Enligt IT-enheten är det varierande svarsfrekvens från verksamheten. Det görs inga ytterligare genomgångar för att säkerställa att nätverksanvändare tillhör aktuella anställda inom kommunen. I verksamhetssystem genomförs löpande genomgång av samtliga användare i syfte att verifiera att dessa är korrekta. Frekvensen på genomgångarna varierar mellan verksamheterna, merparten utför genomgångar 1-2 gånger per år. Åtkomsten till nätverket är skyddat genom ett personligt användarnamn och ett lösenord. Lösenordet har ett antal krav för att höja styrkan på lösenordet. Följande krav är implementerade för åtkomst till nätverket: minst 6 tecken samt lösenordsbyte var 90:e dag. Det saknas krav på att använda komplexa lösenord. Lösenordskrav som används i verksamhetssystem skiljer sig åt för respektive verksamhetssystem. Det saknas en lösenordspolicy som klargör vilken nivå på lösenordskrav som ska användas för samtliga system som används i kommunen. Höga behörigheter i systemen som exempelvis ger åtkomst till att hantera användare i systemen ska inom samtliga system vara begränsat till ett fåtal personer inom verksamheten som behöver det för att kunna utföra sina arbetsuppgifter. Åtkomst till höga behörigheter inom nätverket tillhör ITenheten där personliga användarkonton används. Bedömning Vi bedömer att det saknas tydliga rutiner för att säkerställa att personal som slutar inom kommunen får sina användarbehörigheter inaktiverade. Vi bedömer att det saknas en enhetlig rutin för periodisk genomgång av befintliga användare i syfte att säkerställa att dessa tillhör aktuella anställda inom kommunen. Ytterligare noterar vi att det saknas en lösenordspolicy som säkerställer att en enhetlig nivå används för utformning av säkra lösenord. - IT-granskning 2016_slutlig.docx 13

16 3.3.3 Rutiner för kontinuitetshantering och säkerhetskopiering IT-enheten har driftrutiner för den lokala driften, det tas en komplett daglig backup av samtliga system för att minska risken för att förlora kritisk information. Säkerhetskopieringen täcker samtliga system som kommunens IT-enhet ansvarar över och sparas i tre månader. Torsby- och Hagfors kommuner använder sig av motsvarande backuprutiner för de system som de har ansvar över genom deras samdrift. I används en serverhall som blivit uppgraderad senast Serverhallen inkluderar säkerhetsåtgärder såsom kylanläggning, reservel genom en UPS (uninterruptible power supply), datagolv, automatiskt brandsläckningssystem samt åtkomsthantering genom kort och kod. Det används ytterligare ett separat större dieselaggregat som automatiskt startar vid större elavbrott. Säkerhetskopieringen av IT-miljön genomförs med utrustning som är placerad i serverrummet, säkerhetskopian speglas även över till en sekundär lokalisering. I finns endast en primär serverhall. Det finns ingen sekundär serverhall eller driftplacering som kan användas vid de fall att utrustning eller lokalen för den primära serverdriften är otillgänglig. Det saknas en kontinuitetsplan och avbrottsplan inom som kan användas vid avbrott i IT-miljön. Det har pågått ett praktiskt arbete med att stärka skalskydd och säkerhet kring den primära serverhallen. Det saknas dock en samordnad plan som kan aktiveras vid oplanerade avbrott eller katastrofer vid servermiljön. Det saknas en kartläggning på vilken prioritet och väsentlighet olika system inom IT-miljön har. Det är därmed inte formaliserat vilken prioriteringsordning som ska råda vid nöddrift och återskapande i samband med en katastrof i ITmiljön. Inom kommunens verksamheter finns det en gemensam tillit till att IT-enheten ansvarar och har rätt kunskap för att säkerhetskopiera verksamheternas data. Samtliga tillfrågade verksamheter saknar en kontinuitetshantering som beskriver hur verksamheten ska agera vid oplanerade händelser som gör att verksamhetens IT-miljö blir oåtkomlig. Två av de tillfrågade verksamheterna förväntar sig att det är IT-enheten som ansvarar för att säkerställa att det finns katastrofplanering som kan garantera att IT-miljön för respektive verksamhet inte är oåtkomlig under en allt för lång tid. Dessa två verksamheter menar att det vore kritiskt för verksamheten om IT-miljön är oåtkomlig under mer än 1 vecka. Enligt IT-enheten är det osäkert hur lång tid som det skulle ta att återställa IT-miljöns åtkomst, men menar att det kan röra sig om månader beroende på katastrofens omfattning. Bedömning Vi bedömer att det saknas en kontinuitetshantering och katastrofplanering som tydligt beskriver hur IT-miljön ska kunna återställas från större avbrott i IT-miljön. Vi noterar att det saknas en kartläggning och prioritering av system som inkluderar kravställning kring tid för återställande och krav kring dataförlust. Ytterligare noterar vi att det saknas formaliserade krav från verksamheten på tillgänglighet och nivå av säkerhetskopiering för specifika verksamhetssystem. - IT-granskning 2016_slutlig.docx 14

17 3.3.4 Informationssäkerhet i molntjänster och mobila enheter Molntjänster är en köpt IT-tjänst där uppköparen endast betalar för användningen av tjänsten. Därmed har användaren låg egen kontroll över datalagring och systemfunktionalitet vilket innebär risker kopplat till informationssäkerhetsområdet. Mobila enheter avser enheter som kan användas externt såsom läsplattor, datorer och mobiltelefoner. Användandet av molntjänster är inte utbrett i kommunen ännu. Det har påbörjats dialoger kring att även inkludera molnbaserade lösningar i upphandlingsprocesser. Det blir oftast en kostnadsfråga där molntjänster väljs ifall det är det mest fördelaktiga alternativet ekonomiskt. Vid upphandling av en molntjänst finns ett arbetssätt att genomföra risk och sårbarhetsanalyser kopplat till ITsäkerhet. Ytterligare inkluderas säkerhetsfrågor såsom ägande av data, exitstrategier, driftrutiner för molntjänstleverantören samt hur hanteringen kring underleverantören ser ut. Det saknas en formell policy och tydliga riktlinjer för mobila enheter inom kommunen. Det finns ett användarkontrakt som måste signeras vid utlämning av mobila enheter, detta inkluderar hur enheten ska hanteras. På de läsplattor som används inom kommunens verksamheter har IT-enheten implementerat en Mobile Device Management (MDM), vilket är en lösning som möjliggör administration av plattorna trådlöst. Detta ger IT-enheten möjlighet att bl.a. installera applikationer, spåra och låsa den för att skydda innehållet. Bedömning Vi bedömer att det saknas aktuella policyer och riktlinjer för hantering av mobila enheter inom kommunen. 4. Sammanfattade bedömningar och iakttagelser Genom granskningen av s är det möjligt att konkludera ett antal återkommande iakttagelser som får en påverkan över kommunens ITanvändning och IT-säkert. Åsikter som framkommit från de olika verksamheterna är till stor del enhetliga men dock finns vissa avvikande åsikter. Generellt är merparten av de tilltalade mycket nöjda med IT-enheten och det arbete de utför dock framkommer att det saknas en struktur för tydlig IT-utveckling inom kommunen. Det framkommer att det är otydligt kring vem som ska driva den strategiska IT-utvecklingen. IT-enheten anses kompetent, dock historiskt sett tekniskt inriktad. IT-utvecklingsbehov som presenteras blir inte alltid underlag för utveckling och detta har inte alltid kommunicerats på ett tydligt sätt av IT-enheten. Verksamheten påtalar att IT-enheten inte upplevs bromsa utvecklingen, dock har inte alltid ett tydligt driv för ny IT-utveckling påvisats. Avsaknad av utveckling inom vissa områden, såsom tekniskt nätverk, antal datorer m.m. har inte alltid motiverats vilket i vissa specifika fall upplevts frustrerande. - IT-granskning 2016_slutlig.docx 15

18 4.1 Iakttagelser Vi noterar följande väsentliga iakttagelser: Det saknas en IT-strategi för. Det IT-strategiarbete som utförs är inte formaliserat, det är inte fullt ut koordinerat mellan kommunens verksamheter och det är inte formellt kommunicerat. Det saknas ett tydligt ansvar kring strategisk IT-utveckling. o Ett IT-strategiarbete som en del av behovsdriven utveckling bör utföras enligt E- delegationens vägledning för behovsdriven utveckling (Kap 2). Detta i syfte att säkerställa att krav tillmötesgås och att rätt saker utvecklas baserat på nyttoaspekter. I strategin bör en tydlig behovsanalys ligga till grund för att säkerställa korrekt fokus och prioriteringar. I Sunne bör därmed IT-strategiarbetet som utförs vara tydligt med bäring på ansvar och koordinering i syfte att säkerställa att målen med strategisk styrning uppfylls. o Enligt E-delegationens vägledning för nyttorealisering (Kap 2) är en viktig del i nyttorealisering förändringsledning för att realisera nyttor kopplat till beteende och förändringsvilja inom en organisation. En grundläggande förståelse om varför förändringar genomförs är av stor vikt. Ledande befattningshavare bör skapa tydliga budskap kring behov, nytta, motiv och bakgrund för en förändring. Inom Sunne är därmed en formaliserad IT-strategi som tydligt kommuniceras en förutsättning för att kunna realisera nyttan i de ändringar som IT-strategin avser utföra. Därmed är kommunikation om strategisk IT-utveckling och motiv kring det av stor väsentlighet för bemötandet i organisationen. Ett formaliserat ITstrategiarbete kan på ett tydligare sätt involvera medarbetare i hur utveckling ska utföras, vilket enligt vägledning för nyttorealisering är viktigt för att uppnå engagemang och en positiv förändringskultur. Det saknas tydliga ansvarsbeskrivningar kring vad som ingår i de olika rollerna som inkluderas i IT-verksamheten. Det finns en risk att avsaknad av tydliga ansvarsbeskrivningar medför en osäkerhet och otydlighet kring vilka individer som ska driva IT-utveckling och IT-säkerhetsfrågor för delar inom IT-verksamheten. Det saknas en tydlig struktur för att dokumentera IT-utvecklingsbehov som uppkommer i verksamheten och en analys kring varför vissa behov inte kan tillgodoses. Den nuvarande informationssäkerhetspolicyn är inaktuell och därmed saknas en informationssäkerhetspolicy som tar i beaktande aktuella informationssäkerhetsfrågor. Det saknas en rutin för att arbeta med och utbilda inom informationssäkerhetsfrågor. Det saknas tydliga rutiner för att säkerställa att personal som slutar inom kommunen får sina användarbehörigheter inaktiverade i relevanta system. Ingen enhetlig rutin för periodisk genomgång av befintliga användare finns. Ytterligare noterar vi att det saknas en lösenordspolicy som säkerställer att en enhetlig nivå används för utformning av säkra lösenord. - IT-granskning 2016_slutlig.docx 16

19 Det saknas en kontinuitetshantering och katastrofplanering som tydligt beskriver hur ITmiljön ska kunna återställas från större avbrott i IT-miljön. Vi noterar att det saknas en kartläggning och prioritering av system som inkluderar kravställning kring tid för återställande och krav kring dataförlust. 4.2 Rekommendationer I syfte att stärka hanteringen kring inom ger KPMG följande rekommendationer till kommunstyrelsen: 1. KPMG rekommenderar att en formell IT-strategi implementeras som tydliggör ansvarsförhållande kring strategisk IT-utveckling. IT-strategin bör tydliggöra hur ITutvecklingen ska bedrivas framgent inom kommunen och vilka väsentliga inriktningar som ITutvecklingen ska fokusera på. IT-strategiarbetet bör utföras och drivas med ett kommungemensamt perspektiv. 2. KPMG rekommenderar att en rutin implementeras för att dokumentera IT-utvecklingsbehov och inkluderas relevanta delar i IT-strategiutvecklingsarbetet. 3. KPMG rekommenderar att det skapas tydliga ansvarsfördelningar kring väsentliga områden inom IT-enheten samt systemansvar inom verksamheten. Det bör inkludera rollbeskrivningar kring systemägar- och systemförvaltarskap. Ansvarsbeskrivningar bör formuleras i syfte att klargöra vilka roller som ansvarar för olika funktioner såsom IT-utveckling generellt samt ITutveckling för olika verksamheter och system. 4. KPMG rekommenderar att den befintliga informationssäkerhetspolicyn revideras och uppdateras till att inkludera en aktuell hantering utifrån nuvarande informationssäkerhetsfrågor. Policyn bör inkludera tydlig ansvarsbeskrivning, en modell för klassificering av informationstillgångar samt en struktur för att säkerställa informationens riktighet, sekretess och tillgänglighet. Ytterligare bör en rutin implementeras för kontinuerlig utbildning av verksamhetens personal inom informationssäkerhet. 5. Rutinerna för åtkomsthantering bör stärkas i syfte att säkerställa att endast korrekta personer har åtkomst till väsentlig information och system. Rutinen för tillägg, ändring och borttag av behörigheter bör stärkas till att säkerställa att användare tillhörande personer som slutar inom kommunen blir borttagna inom en rimlig tid. Det bör säkerställas att en rutin för periodisk genomgång av samtliga användarbehörigheter utförs utefter ett fastställt schema och att genomgången säkerställer att samtliga användare är korrekta och har lämpliga behörigheter i systemen. En enhetlig lösenordspolicy bör implementeras som säkerställer en stark nivå av autentisering av samtliga användare. - IT-granskning 2016_slutlig.docx 17

20 6. KPMG rekommenderar att en kontinuitetsplan implementeras som inkluderar rutiner för återställning av system och data vid en katastrof inom IT-miljön. KPMG, som ovan Jenny Johansson IT-revisor Simon Löwendahl IT-revisor - IT-granskning 2016_slutlig.docx 18