Stadsrevisionen Malmö Stad Granskning av IT-verksamheten och informationssäkerhet Marcus Sörlander, Peter Birgersson, Sofia Cervall 2015-12-11 - Slutversion
Innehåll... 1 1. Sammanfattning... 3 1.1 Översikt resultat... 3 2. Bakgrund... 5 2.1 Syfte, revisionsfråga och avgränsning... 5 2.2 Revisionskriterier... 5 2.3 Granskningsansvariga... 6 2.4 Upplägg och metod... 6 3. Resultat av granskningen... 7 3.1 Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt?. 7 3.2 Produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt?... 7 3.3 Uppföljning av tidigare synpunkter från revisionen på stadens ITverksamhet, samt skyddas sekretessbelagd information tillräckligt?... 7 Deloitte Stadsrevisionen Malmö Stad 2
Utformning av kontroll Faktisk efterlevnad 1. Sammanfattning Deloitte har på uppdrag av Malmö stadsrevision granskat IT-verksamheten inom Malmö stad. Granskningens syfte har varit att utvärdera och bedöma om Malmö Stads IT-verksamhet leds på ett ändamålsenligt och effektivt sätt, om produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt, uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet samt om sekretessbelagd information skyddas tillräckligt. Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt, o Efter genomförd granskning där utvalda kontroller testats i utformning och faktisk efterlevnad bedömdes det att kontrollernas design är utformade korrekt, dock har vi noterat brister i faktisk efterlevnad vilket betyder att det finns förbättringsmöjligheter för att anse att Malmö Stads IT-verksamhet leds på ett effektivt sett. För att staden effektivt ska kunna arbeta med informationssäkerhet så ska ett register över informationstillgångar upprättas. Däremot anses stadens ITverksamhet vara ändamålsenlig då design av kontroller är korrekt. Sker produktion och IT-utveckling i linje med nämndernas önskemål och på ett säkert sätt, o Produktion och IT-utveckling sker i linje med nämndernas önskemål. Däremot är det inte alltid så att produktion och IT-utveckling genomförs på ett säkert sätt då vi noterat brister inom områdena Drift & Nätverk samt Förändringshantering. Har tidigare synpunkter från revisionen på stadens IT-verksamhet åtgärdats, samt skyddas sekretessbelagd information tillräckligt. o Delar av tidigare års rekommendationer har åtgärdats, däremot kvarstår flera observationer (se resultat nedan). Sekretessbelagd information skyddas inte tillräckligt enligt vår granskning där vi valt ut att titta specifikt på ett system som innehåller sekretessbelagd information. Då det finns brister i kontroller rörande behörigheter i systemet anses sekretessbelagd information inte skyddas tillräckligt. Vi rekommenderar att Malmö Stad tar fram en aktivitetsplan där det framgår vilka av observationerna som kommer att åtgärdas, när de kommer att åtgärdas samt vem som är ansvarig för att åtgärden fullföljs. 1.1 Översikt resultat Nedan ges en överblicksbild över de områden vi granskat och vilka områden vi bedömt att det finns behov av förbättringar inom. Övergripande IT-verksamheten IT-organisation - ansvarsfördelning och organisationsstruktur. Kontinuitetshantering Kontinuerligt förbättringsarbete för informationssäkerhet Register över informationstillgångar Drift & Nätverk Åtkomst till datahallar (Serverhall 1 och Serverhall 2) Servicedesk stödfunktion Backuphantering Rutin för driftgodkännande av IT-system/e-tjänster och framtida kapacitetsbehov Informationssäkerhet Styrningsdokument för informationssäkerhet Lösenordspolicy System Y, System X (Uppföljning 2011) Tillägg & Borttag av användare AD, System Y (Uppföljning 2011) Höga behörigheter (System X) Användargenomgångar (System X) 2015-12-11 - Slutversion
Mindre betydande Betydande Kritisk Förändringshantering Godkännande av standardförändringar Informationskrav relaterade till systemklassificering Utveckling/Test/Produktionsmiljö - Segregation of duties (System X) Kategorier Inga iakttagelser noterade Noterade iakttagelser Iakttagelserna är graderade röd, orange, gul beroende på allvarlighetsgrad, se tabell nedan. Revisionskriterier Kontroll är inte effektiv eller icke existerande. Mitigerande/Kompenserande process/kontroll är inte effektiv och/eller utformningen av kontrollen är bristfällig. Med mitigerande menas annan kontroll vilken täcker samma risk. Kontroll är detektiv snarare än preventiv och bidrar endast i viss omfattning till att minska organisationens exponering för betydande konsekvenser. Detektiv kontroll betyder en fångande kontroll efter en händelse, preventiv betyder kontroll innan en händelse inträffar. Mitigerande kontroll är implementerad men designen av kontrollen kan förbättras. Kontroll är implementerad, däremot kan ett åtgärdande av rekommendationen vara en proaktiv handling för att öka informationssäkerheten och driften av företagets IT-system. Mitigerande kontroll är implementerad med fungerande design, dock efterlevs inte den mitigerande kontroll fullt ut. Deloitte Stadsrevisionen Malmö Stad 4
Mindre betydande Betydande Kritisk 2. Bakgrund Deloitte har på uppdrag av Malmö stadsrevision granskat IT-verksamheten inom Malmö stad. Granskningens fokus har varit stadens arbete inom IT-verksamheten och att den leds på ett på ett ändamålsenligt och effektivt sätt, samt uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet. Granskningen har berört stadsdelsnämnderna, servicenämnden och kommunstyrelsen. 2.1 Syfte, revisionsfråga och avgränsning Syfte och granskningens huvudfrågeställning var om IT-verksamheten leds på ett ändamålsenligt och effektivt sett. För att testa detta har frågeställningen brutits ned i följande frågeställningar: Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt, Sker produktion och IT-utveckling i linje med nämndernas önskemål och på ett säkert sätt, Har tidigare synpunkter från revisionen på stadens IT-verksamhet åtgärdats, samt skyddas sekretessbelagd information tillräckligt. För att svara på frågeställningen har kontroller testats både för utformning och faktisk efterlevnad och implementation. Vi har granskat Stadskontoret, Serviceförvaltningen, Grundskoleförvaltningen och Stadsområdesförvaltningen Väster. 2.2 Revisionskriterier Nedan följer revisionskriterier med tre olika nivåer. Observationerna har klassificerats utifrån nedanstående kategorier, baserat på vilken påverkan vi bedömer identifierade kontrollbrister har för Malmö Stad när kontrollerna inte är i linje med kravställning eller best practice. De styrdokument som vi reviderat mot under granskningen är följande: Malmö stad IT Standardbeskrivning Riktlinjer för informationssäkerhet - Beslutad av KS 2015-03-23 IT Malmö - Changeprocess 1.0 150528 Principer för det digitala Malmö v.1.0 Protokoll för inventering och klassificering av informationstillgångar Processdokumentation - IT-tjänster Rutin Ärendehantering Rutiner för behörighetsgivning rutin-tillträde Revisionskriterier Kontroll är inte effektiv eller icke existerande. Mitigerande/Kompenserande process/kontroll är inte effektiv och/eller utformningen av kontrollen är bristfällig. Med mitigerande menas annan kontroll vilken täcker samma risk. Kontroll är detektiv snarare än preventiv och bidrar endast i viss omfattning till att minska organisationens exponering för betydande konsekvenser. Detektiv kontroll betyder en fångande kontroll efter en händelse, preventiv betyder kontroll innan en händelse inträffar. Mitigerande kontroll är implementerad men designen av kontrollen kan förbättras. Kontroll är implementerad, däremot kan ett åtgärdande av rekommendationen vara en proaktiv handling för att öka informationssäkerheten och driften av företagets IT-system. Mitigerande kontroll är implementerad med fungerande design, dock efterlevs inte den mitigerande kontroll fullt ut. Deloitte Stadsrevisionen Malmö Stad 5
Till varje observation har vi nedan lämnat en förklaring av risken samt tillhörande rekommendation för att minska risken. De förbättringsåtgärder som har framkommit är nödvändigtvis inte en fullständig sammanställning över samtliga svagheter och brister som kan finnas eller förbättringar som är nödvändiga. 2.3 Granskningsansvariga Marcus Sörlander (Partner), Peter Birgersson (Manager) och Sofia Cervall (Consultant) på Deloitte, avdelning ERS (Enterprise Risk Services). 2.4 Upplägg och metod I nedanstående avsnitt ges en översiktlig beskrivning av uppdragets upplägg och metod, baserat på SKYREV s rekommendation. Uppdraget består av fyra faser; planera, genomföra, analysera och rapportera. Planera Syftet med denna fas är planering och formulering av detaljplan samt etablera kontakter med nyckelpersoner inom Malmö stad. Uppdraget startades utifrån överenskommelse med Stadsrevisionen. Granskningen började med ett uppstartsmöte med Stadsrevisionen och därifrån vidareutvecklades detaljplaneringen för projektet. Nyckelpersoner i verksamheten som innefattades av granskningsområdet identifierades. Dessa kontaktades under granskningens planeringsfas för att dels informeras om granskningens syfte och mål men även för att boka tid för intervju. Angreppssättet för granskningen var riskbaserad där förslag på omfattning och fokus beslutades med Malmö stad i den detaljerade planeringen. Genomföra Syftet med denna fas är att utifrån fastslagen granskningsplan genomföra granskning, intervjua personal (se bilaga 1) och samla in material/dokument för vidare analys. Genomförandet började med att ta del av förekommande centrala styrdokument, policys och riktlinjer inom granskningsområdena. Detta för att skapa förståelse för hur arbetet förväntas bedrivas samt de ramar som finns för IT-verksamheten vilket utgjorde grunden för granskningsarbetet. Vidare gjordes en översiktlig genomgång av IT- och informationssäkerhetsfrågor baserat dels på gällande lagar och förordningar men även relaterat till vanligt förekommande risker för liknande verksamheter med krav på informationens integritet, tillgänglighet och sekretess. Analysera Syftet med denna fas är att analysera och sammanställa resultatet av insamlad data som ligger till grund för slutsatser, både från genomförda intervjuer samt analys av erhållen dokumentation. Beroende på kontrollerna och hur de har implementerats har testning skett antingen via observation eller stickprovstestning för att utvärdera om policys och riktlinjer följs på ett ändamålsenligt sätt. Kopplat till de aktuella revisionsfrågeställningarna görs en bedömning och förslag på rekommendationer tas fram. Bedömningarna baseras på tidigare erfarenheter i liknande miljöer samt vedertagen best practice inom området. Eventuella uppföljande frågor formuleras och riktas till berörda. Slutligen dras sammanfattande slutsatser av granskningsresultatet. I detta steg genomförs även kvalitetssäkring av gjorda iakttagelser från genomförandefasen. Rapportera Syftet med denna fas är att rapportera och leverera resultatet av granskningen. Resultatet av granskningen sammanfattas i en preliminär rapport som stäms av med Stadsrevisionen i analysfasens slutskede. Därefter sker en slutlig kvalitetssäkring av rapporten. Rapporten kommer således innan den färdigställs att vara faktaavstämd liksom internt kvalitets och språkgranskad. Deloitte Stadsrevisionen Malmö Stad 6
3. Resultat av granskningen 3.1 Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt? För att besvara om IT-verksamheten leds på ett ändamålsenligt sätt identifierades kontroller utifrån de styrdokument som erhölls. De identifierade kontrollerna testades sedan i utformning och faktisk efterlevnad. För utformningen av kontrollerna så bedömdes dessa som effektiva, se övergripande ITverksamhet i 1.1, vilket gör att Stadens IT-verksamhet leds på ett ändamålsenligt sätt. För detaljerad beskrivning av observationer se bilaga 2. För den faktiska efterlevnaden se de granskade områdena Drift & Nätverk, Informationssäkerhet och Förändringshantering i 1.1 där de identifierades en del brister. Detta betyder att det finns förbättringsmöjligheter för att anse att Malmö Stads IT-verksamhet leds på ett effektivt sett. 3.2 Produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt? För att besvara om produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt genomfördes intervjuer med Stadsområdesförvaltning Väster och Serviceförvaltningen. En omorganisation genomfördes inom IT innan granskningen påbörjades vilket enligt intervjuerna var en positiv förändring men att organisationen behöver tid för att kunna landa i sina olika roller och att ansvarsfördelningen då kommer tydliggöras. Vår bedömning är att Produktion och IT-utveckling sker i linje med nämndernas önskemål. Däremot är det inte alltid så att produktion och IT-utveckling genomförs på ett säkert sätt då vi noterat brister inom Drift & Nätverk samt Förändringshantering. För detaljerad beskrivning av observationer se bilaga 2. 3.3 Uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet, samt skyddas sekretessbelagd information tillräckligt? För att följa upp på tidigare års observationer samlades information in genom intervjuer och email med systemförvaltarna för de system observationerna lyftes för tidigare år. De observationer som fortfarande bedömdes som ej effektiva beskrivs på ett översiktligt sätt i kapitel 1.1. Alla observationer från tidigare år är inte åtgärdade. För att besvara frågan om sekretessbelagd information skyddas tillräckligt valdes systemet X och relevanta kontroller identifierades för testning då detta system innehåller den mest kritiska informationen. Eftersom att inaktiva användare och användare med höga behörigheter fortfarande har aktiva konton och lösenordskraven inte är i enlighet med Malmö Stads policy anser vi att den sekretessbelagda informationen inte skyddas tillräckligt för de utvalda systemet som granskades. För detaljerad beskrivning av observationer se bilaga 2. Deloitte Stadsrevisionen Malmö Stad 7
About Deloitte Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related companies. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.com/about for a more detailed description of the legal structure of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings worldclass capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte s more than 220,000 professionals are committed to making an impact that matters. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte network ) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 2015 Deloitte AB Deloitte Stadsrevisionen Malmö Stad 8