Jämtlands Gymnasieförbund

Transkript

1 Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr Linda Lignell

2 Innehållsförteckning 1. Allmänt Efterlevnad av policyn IT-säkerhetspolicy Tillgängligheten av IT-systemen Utbildning IT-säkerhet Ansvarsfördelning Rutiner för säkerhetsincidenter Övrig säkerhet Lösenordshantering Fysisk säkerhet IT -säkerhetshöjande åtgärder och resursbehov (6)

3 1. Allmänt KPMG har på uppdrag av de förtroendevalda revisorerna för Jämtlands Gymnasieförbund genomfört en granskning av efterlevnaden av förbundets IT-säkerhetspolicy. Granskningen har resulterat i slutsatsen att Jämtland Gymnasieförbund måste se över rutinerna för att säkerställa att IT-säkerhetspolicyn efterlevs. 2. Efterlevnad av policyn KPMG:s sammanfattning av iakttagelserna utmynnar i ett antal rekommendationer. Förbundet kommenterar i följande avsnitt respektive förslag IT-säkerhetspolicy IT-säkerhetspolicyn är, precis som revisionen påpekar, i behov av uppdatering. Policyn kommer att tillsammans med rutiner och riktlinjer revideras under våren 2014 samt kommuniceras ut till användarna i samband med höstterminsstarten Vad gäller informationssäkerhet rekommenderar revisionen att upprätta en särskild policy för detta, men vi har för avsikt att istället utöka den befintliga IT-säkerhetspolicyn så att den omfattar dessa frågor på ett mer utförligt sätt än idag Tillgängligheten av IT-systemen Sedan KPMG genomförde revisionen har åtgärder gjorts för att öka möjligheten till systematisk övervakning i förbundets IT-miljö. Bland annat har övervakningsprotokoll implementerats på all aktiv nätverksutrustning. I dagsläget finns dock inte tillräckligt med personella resurser för att systematiskt kunna följa upp och granska den övervakningsdata som skulle genereras. KPMG rekommenderar förbundet att begränsa tillgången till viss information via Internet. Men i förbundet finns sedan tidigare ett principbeslut fattat av lärare, skolledning och de fackliga organisationerna om att inte begränsa/filtrera information via Internet. Därmed har förbundet i dagsläget inte för avsikt att göra några förändringar i frågan. 3 (6)

4 Backuphanteringen har, precis som revisionen påpekar, under en längre tid varit otillräcklig. Sedan revisionen gjordes har arbetet med att åtgärda backuphanteringen påbörjats. Backuputrustningen har renodlats och förflyttats till ett säkrare förvaringsutrymme. Dessutom har vi fördubblat hastigheten mellan servrar och backuputrustning. Under våren 2014 kommer vi att köpa in ny backuputrustning i samband med att vi också köper in nya servrar. All användardata kommer dessutom att samlas på en och samma server för att underlätta backupkörningarna. När detta är gjort räknar vi med att kunna genomföra: - full backup 1 gång/veckan (vilket idag endast sker var tredje vecka) - inkrementell backup 5 gånger/veckan (vilket idag sker 2 gånger/veckan) Däremot ser vi inte att det med befintliga personella resurser är möjligt att systematiskt genomföra kontroller av backupernas funktion och dataintegritet i den utsträckning som vore önskvärt. Arbetet med rutiner vid serverkrasch är påbörjat och kommer att färdigställas under Idag är 8 av totalt 30 servrar säkrade. Som revisionen rekommenderar kommer vi inom kort att gå ut med information till användarna om hur de själva gör backuper på viktiga filer, tills dess att backuphanteringen fungerar tillfredsställande Utbildning IT-säkerhet Rutiner för utbildning av personalen i IT-säkerhet kommer under våren tas fram tillsammans med personalstrateg och kommer att bli en del i introduktionen för nyanställda inför höstterminsstarten Detta kan kompletteras med återkommande genomgångar för all personal vid exempelvis förbundsdagar. Revisionen påpekar att förbundet idag inte genomför någon kontroll över huruvida användarna förstått och tillämpar IT-säkerhetsriktlinjerna. Alla användare måste idag intyga att de tagit del av och förstått riktlinjerna. Om detta inte görs får användarna inte åtkomst till IT-resurserna. Förbundet har idag inte nog med resurser för att också genomföra årliga kontroller av användarna. 4 (6)

5 2.4. Ansvarsfördelning Precis som revisionen påpekar, behöver förbundets systemförteckning uppdateras och kompletteras med uppgifter. Detta kommer att genomföras under året. En plan för återkommande revidering av styrdokumenten kommer samtidigt att upprättas Rutiner för säkerhetsincidenter I samband med omläggningen av förbundets datanät genomförs nu en rad åtgärder för att säkra åtkomsten till datanätet, exempelvis låsning av oanvända portar. Nya policys för klassrumsdatorer respektive lärardatorer kommer också att tryckas ut vilka gör att inloggade användarkonton automatiskt låses respektive loggas ut vid inaktivitet. På så sätt minskar risken betydligt för obehöriga att komma åt system och IT-resurser. Förbundet har sedan IT-säkerhetspolicyn upprättades haft planer på att införskaffa system för loggning av datatrafik, men inget system har ännu införskaffats. Förbundet tar på nytt tag i frågan Övrig säkerhet Lösenordshantering Revisionen påpekar att lösenordskonstruktionen som finns för förbundets e-postsystem och katalogtjänst idag anses som alltför enkelt. Vi delar idag e-postsystem, IAM-system (identitet- och åtkomsthanteringssystem) samt system för provisionering av katalogtjänst med länets övriga kommuner. Vi håller just nu på att kravställa och upphandla nya system för just detta. Två av dessa system kommer att bytas ut inom ett år och därför väljer förbundet att inte lägga ner tid på att tillfälligt ändra befintliga system Fysisk säkerhet I samband med ombyggnationerna av serverrummet under förra året skulle även en ny brandsäker dörr installeras, vilket av okänd anledning inte blivit gjort. Detta kommer att åtgärdas under våren. 5 (6)

6 IT -säkerhetshöjande åtgärder och resursbehov Antalet användare per tekniker är, precis som revisionen påpekar, högt. Det resulterar i att det idag inte finns särskilt mycket tid för vare sig förebyggande eller proaktivt arbete. Inte heller finns det tid för vidareutbildning och fortbildning i den omfattning som vore önskvärt. Men förbundet har idag inte de ekonomiska ramarna för att kunna utöka ITorganisationen. Istället måste riskbedömningar och prioriteringar göras för att ändå upprätthålla en rimlig nivå på IT-säkerheten och det övriga ITarbetet. En genomlysning av teknikernas arbetssituation kommer att göras under våren (6)