Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Transkript

1 Utbildningsnämnden Ordförandeförslag Diarienummer Göran Nilsson (M) UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Göran Nilsson (M)

2 Handläggare Tjänsteskrivelse Diarienummer Rojda Alpsoy KS-2013/1344 Torbjörn Sjölin UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Sammanfattning Revisorerna har i skrivelse begärt Utbildningsnämndens yttrade över bifogad revisionsrapport, Granskning av IT-säkerhet som genomfördes i juni Det är tre punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut 2. Avsaknad av enhetliga rutiner i processen för avslut av användare 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Anstånd med svaret har erhållits av revisorernas ordförande Eva Enskär till början av mars för att Utbildningsnämnden ska kunna behandla ärendet på sitt sammanträde i februari Bakgrund Den kommunala revisionen granskar på fullmäktiges uppdrag om kommunens verksamhet sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen som görs inom nämnderna är tillräcklig. Knivsta kommuns revisorer har efterfrågat ett yttrande från Utbildningsnämnden avseende de iakttagelser de PwC presenterat i sin IT-revision, juni Kommunkontoret Postadress: Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: Fax: E-post: knivsta@knivsta.se

3 I det följande kommenteras de punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden. 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut Ett arbete med att implementera Knivsta kommuns förvaltningsmodell pågår för närvarande under ledning av Knivsta kommuns verksamhetsutvecklare. Arbetet har hög prioritet och Utbildningsnämnden kommer att utföra en genomlysning av behovet av personella resurser för att en implementering skall kunna vara genomförd senast Avsaknad av enhetliga rutiner i processen för avslut av användare Utbildningsnämnden delar uppfattningen om vikten av att säkerställa efterlevnaden av den befintliga processen för detta område. Utbildningsnämnden kommer under första halvåret 2014 att analysera bristens underliggande orsak och säkerställa att den befintliga processen är korrekt utformad, samt att en uppföljning genomförs årligen. Arbetet kommer att genomföras i samverkan med IT-enheten. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Med anledning av ovanstående iakttagelse kommer Utbildningsnämnden under 2014, i samverkan med IT-enheten, att införa rutiner för en årlig granskning av användarbehörigheterna inom nämndens ansvarsområde. Ett tydligt ansvar för denna granskning kommer att definieras och resultaten av genomförda granskningar kommer att arkiveras av spårbarhetsskäl. Rutinen för granskningen kommer primärt att inriktas mot användningen av finansiellt kritiska applikationer. Utbildningsnämnden kommer att samordna denna periodiska granskning med uppföljningen enligt punkt 2 ovan. Bengt Casterud T.f. Utbildningschef Bilaga: Revisionsrapport, Granskning av IT-säkerhet, daterad Kommunkontoret Postadress: Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: Fax: E-post: knivsta@knivsta.se

4

5 IT-revision juni 2013*

6 1. Granskningens omfattning I samband med revisionen av de finansiella räkenskaperna för Knivsta kommun har PwC genomfört en granskning av IT-miljön och system vilka bedöms påverka den finansiella rapporteringen. Uppdraget har under maj 2013 genomförts av Fredrik Dreimanis (PwC) under ledning av Magnus Olson-Sjölander (PwC). Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat förbättringspotential. Rekommendation för åtgärd presenteras för respektive observation. Granskningen har utförts som en del av vår revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den interna kontrollen. Vårt arbete har berört de områden vilka redovisas i tabellen intill. Granskningen har syftat till att skapa förståelse för hur IT påverkar verksamheten nom Knivsta kommun. Granskningen har genomförts genom intervjuer med nyckelpersoner på Knivsta kommuns ITavdelning i Knivsta med fokus på områdena i högertabellen. För mer information gällande intervjuade personer se Bilaga A - Intervjuade personer. I samband med revisionen har även föregående revisionsrapport avseende IT beaktats, dock har ingen explicit uppföljning av noterade observationer genomförts. För mer information se avseende dessa observationer se Bilaga B Observationer från föregående granskningar. Förvaltning av ITverksamheten (ITV) Programförändring (PF) - Styrande dokument finns upprättade avseende förvaltning och hantering av IT, - Riskanalyser kopplade till IT och verksamheten finns upprättade, - En tydlig IT-organisation finns definierad, - Tydliga kommunikationsvägar för IT-relaterade frågor i organisationen finns definierat, - Systemsamband för kritiska system finns upprättat, - Projekt vilka påverkar IT finns definierade och är formellt hanterade. - Process och kontroller finns på plats avseende fullständig och riktig hantering av förändringar till kritiska applikationer, vilket inkluderar: - Initiering av förändring, - Test av förändring, - Formellt godkännande av förändringen. Åtkomstkontroll (ÅK) - Process och rutiner finns på plats avseende fullständig och riktig hantering av behörigheter till kritiska applikationer, vilket inkluderar: - Tilldelning, förändring och borttag, - Periodisk granskning av behörigheter, - Hantering av höga behörigheter - Loggning av aktivitet och förändring till kritiska data. Datordrift (DD) - Kontroll att vitala batch jobb genomförs fullständigt och riktigt - Backup av finansiellt kritisk data genomförs fullständigt och riktigt 1

7 Innehållsförteckning Innehållsförteckning 1. Granskningens omfattning Sammanfattning Observationer, rekommendationer och kommunens kommentar... 4 Bilaga A Intervjuade personer Bilaga B Observationer från föregående granskningar Bilaga C Generella IT-kontroller för god intern kontroll inom IT Rapportstruktur Vi har graderat de observationer som diskuteras i denna rapport efter dessas bedömda väsentlighet. Graderingen illustreras med hjälp av trafiksignaler. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Rött ljus åsätts en brist med så stor påverkan på system, processer eller intern kontroll att det kan medföra att Knivsta kommun exponeras för betydande förluster, ineffektivitet eller väsentliga fel i den finansiella rapporteringen. Gult ljus åsätts en brist med påverkan på system, processer eller intern kontroll som kan medföra att Knivsta kommun exponeras för förluster, ineffektivitet eller ett betydande fel i den finansiella rapporteringen. Grönt ljus åsätts mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Rapporten har upprättats för Knivstas kommunledning och dess närstående och får inte hänvisas till eller distribueras till andra. 2

8 2. Sammanfattning Sammanfattning avseende IT-revisionen 2013 I samband med IT-revisonen för Knivsta kommun noterades väsentliga framsteg jämfört med den information PwC har tagit del av från tidigare revisoner. I första hand noterades att IT-funktionen idag är mer integrerad med verksamheten, dvs. fungerar som en stöd funktion i syfte att underlätta för verksamheten att leverera värde till medborgarna i kommunen. ITfunktionen bedrivs som en beställarorganisation med ett antal nyckelleverantörer. Vidare noterades att Knivsta kommun har tagit ett grepp gällande dokumentation och struktur där det idag finns underlag och instruktioner avseende exempelvis: Rutinbeskrivningar för roller (ex. systemägare, systemadministratör etc.), Beskrivningar avseende behörighetshantering, Beskrivning avseende förändringshantering, Systemkarta, IT-strategi, E-strategi, IT-policy. Det noterades även att Knivsta kommun bedriver arbete avseende informations- och IT-säkerhet där bland annat riskanalyser har upprättats för verksamheten i syfte att identifiera risker sam definiera åtgärder för dessa. Knivsta kommun har även utarbetat en projektmodell vilken säkerställer att IT arbetar proaktivt och i enlighet med verksamhetens mål avseende IT. Sammanfattningsvis bedömer PwC att Knivsta kommun har en definierad organisation avseende IT, givet kommunens storlek, med tydliga kopplingar och kommunikationsvägar till organisationen. Vidare bedöms det finnas grundläggande förutsättningar för att uppnå god intern kontroll avseende förvaltning och vidareutveckling av IT. intern kontroll definieras (se förslag enligt Bilaga C Generella ITkontroller för god intern kontroll inom IT ). Sammanfattning av årets observationer Vår observation från granskningen sammanfattas i nedan tabell ( Observationer 2013 ). Varje observation är graderade efter trafikljusmodellen beskriven tidigare i rapporten. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Referensnumret i denna tabell hänvisar till numrering i kapitlet 3 Observationer, rekommendationer och bolagets kommentar, där en detaljerad beskrivning återfinns för varje observationen med relaterad risk och den rekommendation vi bedömer rimlig för att begränsa risken. Observationer 2013 Ref. Observation Prioritet 1. Förvaltningsmodellen ITM5 är inte implementerad fullständigt. 2. Avsaknad av enhetligt i processen för avslut av användare. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare. 4. Stort antal användare med hög behörighet i nätverk. För att ytterligare förstärka den generella interna kontrollen inom IT-området rekommenderar vi att Knivsta kommun inför ett ramverk där miniminivån av 3

9 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer 1. Förvaltning av ITverksamheten (ITV) Förvaltningsmodellen ITM5 är inte implementerad fullständigt. Knivsta kommun har inte implementerat förvaltningsmodellen fullständigt. Vidare noterades att IT-säkerhet inte är en del av modellen. Avsaknad av riktlinjer och instruktioner för IT-verksamheten ökar risken för en förvaltning som inte förenlig med verksamheten. En ineffektiv IT-verksamhet kan påverka den operativa effektiviteten i verksamheten samt få effekter på transaktioner och data vilken påverkar den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun fortsätter arbetet med att implementera förvaltningsmodellen ITM5 i syfte att säkerställa tydliga och ändamålsenliga IT-processer vilka stödjer verksamheten och IT-strategin. Kommunens kommentar: Arbete pågår och har hög prioritet. 2. Åtkomstkontroll (ÅK) Avsaknad av enhetligt i processen för avslut av användare. Processen avseende avslut av användare efterlevs ej vid alla tillfällen vilket medför att det kan finnas aktiva konton för användare vilka har avslutat sin anställning inom kommunen. Bristande rutin för avslut av konton kan leda till att felaktiga behörigheter finns kvar i systemen. Felaktiga behörigheter kan leda till användare med åtkomst vilka inte är förenliga med deras arbetsuppgifter. Användare med felaktiga behörigheter ökar risken för felaktiga eller bedrägliga transaktioner vilka kan påverka data som är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun säkerställer efterlevnad avseende rutinen för avslut av konton. Detta i syfte att säkerställa att användare som slutat alternativt ändrat position inom företaget har behörigheter vilken motsvarar deras arbetsuppgifter. Kommunens kommentar: Arbete med att stödja respektive verksamhets kontroll av att rätt behörigheter är aktuella för respektive användare kan hanteras i samband med de respektive boksluten och rapporter om utförd 4

10 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer egenkontroll kan hanteras av IT centralt om uppdrag ges. 3. Åtkomstkontroll (ÅK) Avsaknad av formella rutiner avseende periodisk granskning av användare. Det noterades att ingen formell rutin finns på plats vilken säkerställer att periodisk granskning av användarbehörigheter till kritiska applikationer genomförs. Avsaknad av periodisk granskning ökar risken för användare vilka inte har behörighet i enlighet med sina arbetsuppgifter. Felaktiga behörigheter ökar risken för bedräglig eller otillåtna transaktioner. Bedrägliga eller otillåtna transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun som minimum granskar behörigheter i finansiellt kritiska applikationer en gång per år. Granskningen bör säkerställa att användare endast har behörighet i enlighet med sina arbetsuppgifter. Underlag från granskningen bör arkiveras i syfte att skapa spårbarhet samt stärka den interna kontrollen gällande behörigheter. Kommunens kommentar: Se ovan. 4. Åtkomstkontroll (ÅK) Stort antal användare med hög behörighet i nätverket. Genom granskning noterades att det finns 122 användare med behörigheten Domän Administratör. Baserat på antalet anställda inom IT samt organisationens storlek bedöms antal användare med hög behörighet i operativsystemet som hög samt ej förenlig med god intern kontroll avseende IT. Användare med hög åtkomst till funktioner och transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Hög åtkomst i applikation, databas och infrastruktur bör vara begränsad till användare vilka behöver detta i enlighet med sina arbetsuppgifter. Rekommendation: PwC rekommenderar att Knivsta kommun analyserar behovet av användare med hög behörighet i domänen och begränsar antalet till användare vilka behöver detta i enlighet med sina arbetsuppgifter. 5

11 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer Kommunens kommentar: Arbete med att begränsa antalet användare med hög behörighet pågår och aktualiseras i samband med uppgraderingen av nätverksoperativet på klienterna. Många äldre verksamhetsapplikationer kräver hög behörighet för att fungera prickfritt. 6

12 Bilaga A Intervjuade personer Följande personer har under januari 2013 intervjuats i samband med IT-revisionen av Knivsta kommun. Kontakt Anders Fredriksson Djamel Bhougaf Rojda Alpsoy Roll Strategisk IT-chef Servicesamordnare Verksamhetsutvecklare 7

13 Bilaga B Observationer från föregående granskningar Nedan är sammanfattning av de observationer vilka noterats vid tidigare granskningar. PwC har i samband med denna granskning tagit hänsyn till tidigare observationer vid informationsinsamlingen inför granskningen, dessa har dock inte varit del i omfattning vid ovan genomförd granskning. Observationerna är hämtad från rapporten Knivsta kommun - Rapport Uppföljning granskning 2008.doc, vilka är upprättad av dåvarande extern revisor (Ernst & Young). Ref Kontroll nr. Kontroll mål Observation 2.1 Organisation av Kontroll 2 informationssäkerheten Finns det en informationssäkerhetssamordnare/ funktion som ansvarar för informationssäkerheten? Informationssäkerhetssamordnare köps på timme i samverkan med Heby kommun. 2.2 Hantering av tillgångar Kontroll 8 Är organisationens information klassad avseende sekretess/ riktighet/tillgänglighet? Processen pågår. 2.2 Hantering av tillgångar Kontroll 11 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? Omarbetas i samband med driftsleverantörsbytet. 2.3 Personalresurser och säkerhet Kontroll 14 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? Nej, det är respektive systemförvaltare som skall ställa dessa krav. 2.3 Personalresurser och säkerhet Kontroll 17 Finns det användarmanual för ett informationssystem att tillgå? Delvis, framtaget lathundar och manualer. Varierande i verksamheten. Ingår i systemansvarsrollen. 2.3 Personalresurser och säkerhet Kontroll 18 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Delvis, finns rutin för avslut av anställda som inte alltid efterlevs. ITstrateg går igenom AD en gång i kvartalet. Användarkonton stängs om de inte har använts på tre månader. Fungerar inte alltid och kontrollen bör stärkas. 8

14 Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.4 Fysisk och miljörelaterad säkerhet Kontroll 19 Finns funktioner för att förhindra obehörigt fysiskt tillträde till organisationens lokaler och information? Systemet för inpassering har uppdaterats och största hålen täckta. 2.4 Fysisk och miljörelaterad säkerhet Kontroll 24 Är korskopplingsskåp låsta? Åtgärdat. 2.5 Styrning av kommunikation och drift Kontroll 42 Är det möjligt att logga säkerhetsrelevanta händelser? Delvis, hanteras av Systeam vad gäller loggning i brandväggen och där IT-samordnaren tar emot avvikelser. Loggar även i AD som sparas i en månad rullande, tittar på detta ad hoc. Brandväggslogg sparas i tre månader. Skall även ske loggning på verksamhetssystemen med systemansvariga som gör detta. 2.5 Styrning av kommunikation och drift 2.5 Styrning av kommunikation och Kontroll 48 Kontroll 49 Finns olika typer av autentiseringsmetoder med olika grad av skydd? Sparas revisionsloggar för säkerhetsrelevanta händelser? drift 2.6 Styrning av åtkomst Kontroll 50 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 2.6 Styrning av åtkomst Kontroll 53 Begränsas samtliga administratörers rättigheter till en behörighet som motsvarar arbetsuppgifterna eller tilldelas de fullständiga systembehörigheter? SITHS-kort under införande för medicinska journaler och inloggning mot apotekens e-dostjänst. Delvis, se kontroll 42. Personal från driftsleverantör har avtal och tystnadsförbindelse. Vad gäller tredjepartsleverantörer är det nog tyvärr mer flytande. Delvis, driftsleverantören skall inte ha några behörigheter i verksamhetssystemen. I AD:et har driftsleverantören ett antal personliga domainadminkonton för driften. IT-samordnaren har behörigheten Enterprise administrator. 2.6 Styrning av åtkomst Kontroll 54 Har organisationen en dokumenterad rutin för tilldelning, förändring eller borttag av behörighet? Är de kommunicerade till ansvarig för behörigheter? Instruktion för förvaltning är kommunicerad i samband med utbildning i "Chefskörkortet". Chef har sedan ansvar att sprida det till berörd personal. 9

15 Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.6 Styrning av åtkomst Kontroll 61 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? Är under utarbetande i samverkan med Informationssäkerhetssamordnare. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 67 Har systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? Under arbete: ett flertal äldre system är avslutade och dokumentation påbörjad. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 71 Finns det dokumenterade regler för hur systemoch programförändringar ska genomföras? Finns i IT-säkerhetsinstruktion Förvaltning, projekthandbok beslutad av ledningsgrupp 10

16 Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 1 Programutveckling 2 Programutveckling 3 Programutveckling 4 Programutveckling Alla nödvändiga moment inom programutveckling är formellt definierade. Data från gamla system konverteras fullständigt och korrekt, utan obehöriga förändringar. Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. All utveckling godkänns av ansvarig chef innan produktionssättning. Ledningen har etablerat en process för systemutveckling som innefattar krav på utvecklingsprojekt. Då datamigrering krävs ska migreringen granskas och godkännas av ansvarig chef inom affärsverksamheten. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. Ansvarig chef granskar och godkänner alla förändringsärenden innan utvecklingsprojektet produktionssätts. 5 Programförändringar Alla nödvändiga moment inom programförändring är formellt definierade. Ledningen har en dokumenterad programförändringsprocess. Alla programförändringar som ska genomföras är dokumenterade. 6 Programförändringar 7 Programförändringar Alla förändringar är dokumenterade samt testade och godkända av verksamhetssidan. Alla förändringar är godkända av ansvarig chef innan produktionssättning. För alla programförändringar ska testresultat granskas och godkännas av ansvarig chef inom affärsverksamheten. Ansvarig chef granskar och godkänner alla förändringsärenden innan förändringen produktionssätts. 8 Programförändringar Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. 11

17 Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 9 Åtkomst till program och data Relaterade policies och rutiner ska vara designade och implementerade för att stödja den finansiella verksamhetens krav på riktighet. Säkerhetspolicies och rutinbeskrivningar är definierade och dokumenterade. 10 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Begäran om ny användarbehörighet, eller förändring av existerande användarbehörighet, granskas och godkänns av ansvarig chef. 11 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Ansvarig chef genomför en periodisk granskning av användarbehörigheter i signifikanta applikationer, databaser och operativsystem för att avgöra om bara aktiva anställda har åtkomst till systemen och att användarbehörigheter stämmer överens med arbetsuppgifter. 12 Åtkomst till program och data Säkerhetskonfigurationer är inställda i enlighet med definierade standarder och granskas regelbundet för att säkerställa efterlevnad. Periodiska granskningar av säkerhetskonfigurationer genomförs för att säkerställa att inga obehöriga ändringar har gjorts. Förändringar av konfigurationer ska följa programförändringsprocessen. 13 Åtkomst till program och data Systemanvändare med höga behörigheter övervakas avseende obehöriga aktiviteter. Ansvarig chef genomför en periodisk granskning av de aktiviteter som utförs av användare med höga behörigheter (t.ex. systemadministratörer i applikationer och databasadministratörer) för att säkerställa att inga obehöriga aktiviteter har utförts. 14 IT-drift Schemalagda jobb övervakas avseende fullständigt slutförande. Ansvarig chef övervakar att schemalagda jobb slutförs fullständigt. Om ofullständiga avslut på schemalagda jobb upptäcks ska dessa undersökas och alla fel hanteras. 12