Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Relevanta dokument
Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Kommunrevisionen KS 2016/00531

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Granskning av generella IT-kontroller för PLSsystemet

Granskning av intern kontroll i lönehanteringen

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Håbo kommuns förtroendevalda revisorer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Uppföljning avseende granskning kring Avtalstrohet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revision av den interna kontrollen kring uppbördssystemet REX

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy för Ystads kommun F 17:01

Granskning av räddningstjänstens ITverksamhet

Granskning av intern kontroll i löneprocessen

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Uppföljningsrapport IT-revision 2013

Uppföljning av tidigare granskning av kommunens fordon

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Lomma Kommun

Uppföljningsrapport IT-generella kontroller 2015

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Granskning av IT- och informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Externt finansierade projekt

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Informationssäkerhetspolicy för Ånge kommun

Granskning av kommunens IT-säkerhet 2017

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bolagsspecifika resultat Sektion 3. Page 1

Svar på revisionsskrivelse informationssäkerhet

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Intern kontroll och riskbedömningar. Sollefteå kommun

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Granskning av IT-säkerhet

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Styrning av behörigheter

Intern kontroll och riskbedömningar. Strömsunds kommun

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Finansinspektionens författningssamling

IT- och informationssäkerhet

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Redogörelse för revisorernas verksamhet Bilaga 1

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

Granskning av IT- och informationssäkerhet

Uppföljning av tidigare granskningar

Granskning av IT intern kontroll

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Granskning av IT-säkerhet

Granskning av Intern kontroll

Generella IT-kontroller uppföljning av granskning genomförd 2012

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Hantering av IT-risker

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Riktlinjer för IT-säkerhet i Halmstads kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Granskningsredogörelse Strategisk styrning

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Informationssäkerhetspolicy inom Stockholms läns landsting

Granskning intern kontroll

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av den interna kontrollen avseende löner

Jämtlands Gymnasieförbund

Övergripande granskning av kommunstyrelsens styrning och uppföljning av ekonomi och verksamhet (styrmodell)

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Revisionsrapport "Förstudie av kommunens ITorganisation"

Granskning av kommunens beredskap avseende EKOfrågor (Etik, Korruption och Oegentligheter) Revisorerna Bollnäs kommun

Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019

Kommunstyrelsens beredskap och arbete med etik,korruption och oegentligheter

IT-Säkerhetsinstruktion: Förvaltning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Uppföljande granskning av överförmyndarverksamheten

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Ansvarsutövande: Överförmyndarnämnden

Uppföljning av tidigare granskning

Transkript:

www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena Salomon Januari 2018

Innehåll 1. Sammanfattning... 2 2. Inledning... 3 2.1. Bakgrund... 3 2.2. Syfte och Revisionsfråga... 3 2.3. Revisionskriterier... 3 2.4. Revisionsmoment... 3 2.5. Avgränsning... 4 2.6. Metod... 4 3. Iakttagelser, bedömningar och rekommendationer... 5 3.1. Styrning av IT- och informationssäkerhet... 5 3.1.1. Iakttagelser... 5 3.1.2. Bedömning och rekommendationer... 6 3.2. Processer för IT- och informationssäkerhet... 6 3.2.1. Iakttagelser... 6 3.2.2. Bedömning och rekommendationer... 7 3.3. Uppföljning av IT- och informationssäkerhet... 8 3.3.1. Iakttagelser... 8 3.3.2. Bedömning och rekommendationer... 8 4. Revisionell bedömning... 9 Appendix 1: Bedömning av uppfyllnadsgrad... 10 Januari 2018 1

1. Sammanfattning På uppdrag av de förtroendevalda revisorerna i har granskat säkerheten avseende externt och internt dataintrång, främst i form av interna riktlinjer och styrdokument. Revisionsfrågan för granskningen är: Är kommunstyrelsens styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterade hoten? Efter genomförd revision och genomgång av samtliga kontrollmål är vår bedömning att kommunstyrelsens styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ej är ändamålsenlig i förhållande till de prioriterade hoten. Vår bedömning grundar sig framför allt på att; Det saknas styrande dokument på förvaltningsnivå som beskriver behörighetsadministration samt förändringshantering. Det saknas beskrivning i de styrande dokumenten om hur ofta de ska revideras. Det saknas processer för periodvis granskning av behörigheter och priviligierade användaraktiviteter. Det saknas en definierad plan och process avseende kommunens förfarande gällande hur IT-miljön ska återställas vid händelse av en säkerhetsincident. Utifrån resultat av genomförd BSA-analys* bedömds det finnas förbättringsområden inom säkerhet i mjukvara. * Baseline Security Assessment är ett verktyg som läser konfigurations- och kontoinställningar på utvalda servrar. Januari 2018 2

2. Inledning 2.1. Bakgrund Hanteringen av risker inom området för IT-och informationssäkerhet får allt större betydelse då verksamheter blir allt mer beroende av stöd från IT-system. En effektiv och framgångsrik riskhantering bygger på ett helhetstänkande. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot till exempel obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Bakgrunden till granskningen är revisorernas risk- och väsentlighetsanalys. 2.2. Syfte och Revisionsfråga Granskningen ska ge svar på följande revisionsfråga; Är kommunstyrelsens styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterade hoten? 2.3. Revisionskriterier Det finns en ändamålsenlig process för att löpande identifiera hot mot kommunens IT- och informationssäkerhet. Prioriterade hot mot kommunens IT- och informationssäkerhet finns dokumenterade, och dokumentationen uppdateras löpande. Processer, policys och riktlinjer för att hantera identifierade hot, är ändamålsenliga i förhållande till de prioriterade hoten 2.4. Revisionsmoment Granskningen har inriktas mot följande moment: Riskanalys kopplat till område för IT-och informationssäkerhet finns. Styrande dokument för IT- och informationssäkerhet samt kommunikationsplan är upprättat. Organisationen, roller, ansvarsfördelning och rapporteringsvägar i frågor rörande IT- och informationssäkerhet är tydliga. Det finns ändamålsenliga rutiner för att hantera risker relaterade till prioriterade hot inom område för IT- och informationssäkerhet. Styrande dokument IT processer; behörighets administration, förändringshantering Kartläggning; säkerhet i mjukvara, fysisk säkerhet i förhållande till good practice. Januari 2018 3

Tekniska försvarsmekanismer och processer uppdateras utifrån lärdom av inträffade säkerhetsincidenter. Det finns en tydlig plan för att upprätthålla och återställa verksamhetskritiska funktioner vid tillfälle för en säkerhetsincident. 2.5. Avgränsning Granskningen avgränsas till kommunstyrelsen. 2.6. Metod Inom ramen för granskningen har intervjuer genomförts med utvalda personer på Växjö kommun. Analys av dokumentation i form av styrande dokument, processbeskrivningar och arbetsrutiner samt analys av tekniskt skydd i nätverk och fysisk granskning av serverhallar har genomförts. Revisionsrapporten har sakgranskats av berörda tjänstemän. Intervjuer har genomförts med följande personer: IT-chef IT-arkitekt F.d Säkerhetschef Systemägare Ekonomiavdelningen Systemägare Arbete och välfärd Systemägare Omsorgsförvaltningen Januari 2018 4

3. Iakttagelser, bedömningar och rekommendationer 3.1. Styrning av IT- och informationssäkerhet 3.1.1. Iakttagelser Riskanalys: Det genomförs årligen riskanalys på s IT-miljö som ligger till grund för verksamhetens handlingsplan. Under granskningstillfället var handlingsplanen för 2018 nyligen klar, vilken bland annat inkluderade framtagande av en kontinuitetsplan för IT. Vidare görs riskanalys till varje nytt system som övervägs att införas i IT-miljön. Riskanalyserna ligger sedan till grund för kravställning för respektive system. I ledningsgruppen inom IT behandlas olika typer av risker och på veckomötena finns en stående punkt som hanterar uppföljning av IT-risker. Styrning av IT- och informationssäkerhetsarbetet: Det finns formell dokumentation avseende informationssäkerhet, både för förvaltningar och bolag samt för IT drift, som utgår från s säkerhetspolicy. Dokumentationen är baserad på ISO 27000-serien. I dokumentet IT-drift beskrivs processen för behörighetsadministration samt rutiner för förändringhantering. Beskrivningarna avser endast IT-avdelningen. Det nämns i dokumentet IT-drift att det är systemägarna för respektive system som ansvarar för systemets användare, att användarna har rätt behörigheter i systemen samt att användarna har rätt kunskap om säkerhetsreglerna. Det saknas dock styrande dokument på förvaltningsnivå som beskriver behörighetsadministration samt förändringshantering. Vi har också noterat att det, i de befintliga dokumenten, saknas beskrivning om hur de ska revideras. Dokumentet IT-drift skapades 2016-11-24 men det framgår inte om dokumentet har reviderats sedan dess. Vidare har dokumentet Informationssäkerhet Förvaltning och Bolag inte reviderats sedan 2015-09-18. Organisation roller och ansvar: Det finns dokument som beskriver ITorganisationens avdelningar inklusive ansvarsområden och rapporteringsvägar. Det finns även dokument som beskriver informationssäkerhetsansvar samt vilka roller som har vilket ansvar inom området för informationssäkerhet. Det noterades vid granskningstillfället att det under senare halvan av 2017 endast funnits en säkerhetsansvarig på deltidstjänst (25 %) samt att det saknas informationssäkerhetsansvarig. Rekrytering till dessa tjänster pågår. Säkerhetsinställningar: Utifrån resultat av genomförd BSA-analys* bedöms det finnas förbättringsområden inom säkerhet i mjukvara. Inkonsekvens i konfiguration av säkerhetsinställningar och användarkonton har identifieras. Vissa säkerhetsinställningar som är fastställda enligt policy efterlevs inte. Vidare har generiska konton samt konton med kritiska behörigheter identifierats. Detta ökar risken för otillbörlig åtkomst och försvårar spårbarhet. Januari 2018 5

* Baseline Security Assessment är ett verktyg som läser konfigurations- och kontoinställningar på utvalda servrar. 3.1.2. Bedömning och rekommendationer Processerna avseende riskanalys kopplat till IT- och informationssäkerhet anses vara ändamålsenliga. Det finns etablerade rutiner gällande årlig riskanalys, riskanalys vid införande av nytt system, samt regelbundna möten för att hantera identifierade risker. Avsaknaden av styrande dokument avseende behörighetsadministration och förändringshantering ökar dock risken för otillbörlig åtkomst till system och applikationer samt driftstörningar. Bristande säkerhetskonfigurering av servrar samt inkonsekvens i policyefterlevnaden kring användarkonton, ökar risken för säkerhetsincidenter. Vi rekommenderar att överväga följande åtgärder; 1) Implementera styrande dokument på förvaltningsnivå för behörighetsadministration samt förändringshantering. Dokumenten avseende behörighetsadministration bör hantera kontroller för att tilldela, förändra och ta bort behörigheter i applikationer, samt periodvis uppföljning av behörigheter och priviligierade användaraktiviteter. Dokumenten avseende förändringshantering bör beskriva tillvägagångssättet samt kontroller för programförändringar alternativt uppgraderingar av applikationer. 2) Implementera en process för att regelbundet revidera styrande dokument inom IT- och informationssäkerhetsområdet för att säkerställa att dessa är ändamålsenliga. Det bör även framgå av dokumentation när senaste revidering genomfördes. 3) Gå igenom, och vid behov, uppdatera inställningar och konton på servernivå med syfte att stärka säkerheten. 3.2. Processer för IT- och informationssäkerhet 3.2.1. Iakttagelser Behörigheter i nätverk: Processen för tillägg, förändring och borttag av behörigheter på nätverksnivå sker delvis via en automatisk process, som synkroniseras mellan personalsystemet och katalogtjänst. Kontohantering för kommunala bolag samt för konsulter och leverantörskonton sker manuellt och på uppdrag av ansvarig beställare. Processen finns beskriven i dokumentet IT-drift. Vi har noterat att det inte sker någon periodisk genomgång av tilldelade behörigheter i nätverket, vilket innebär en risk att kritiska behörigheter kan ligga kvar på en anställd som fått en ny befattning eller avslutat sin anställning. Vidare har vi noterat att viss loggning av priviligierade användaraktiviteter görs, dock inte på detaljnivå. Det görs inte heller någon regelbunden uppföljning av loggarna. Behörigheter i applikationer: Processen för tillägg, förändring och borttag av behörigheter på applikationsnivå administreras av respektive förvaltning. Det finns inga styrande dokument på kommunövergripande nivå som reglerar denna process. Det finns dock vissa rutinbeskrivningar på förvaltningsnivå som beskriver Januari 2018 6

processen. Under granskningstillfället framkom det brister avseende avslut av användarkonton. Processen utgår från att den anställdes närmaste chef ska informera systemadministratör om att kontot ska tas bort, vilket inte alltid fungerar. Vidare noterades att det inte sker någon periodvis granskning av behörigheter och priviligierade användaraktiviteter på applikationsnivå. Förändringshantering: Förändringshantering innebär all medveten programförändring och uppgradering av system och applikationer som IT-enheten och underliggande enheter genomför. IT-avdelningen använder ett verktyg som heter Service Manager för att hantera programförändringar. I pulsmötena, ITavdelningens veckovisa avstämningar med verksamheten, planeras framtida versionsförändringar. Vi har noterar att det saknas processdokumentation som reglerar denna process på förvaltningsnivå. Avbrottshantering och fysisk säkerhet: Det saknas en definierad plan och process avseende kommunens förfarande gällande hur IT-miljön ska återställas vid händelse av en säkerhetsincident. Vid inspektion av fysisk säkerhet i serverhall identifierades inga brister. Vid en incident finns det möjlighet att återställa delar av IT-miljön på en reservsite, rutinen är dock inte formellt dokumenterad eller testad. 3.2.2. Bedömning och rekommendationer Avsaknad av periodisk uppföljning av behörigheter och priviligierade användaraktiviteter, medför en risk att tilldelade behörigheter ej är i linje med användares faktiska roll i verksamheten och att tidigare anställda har kvar sina behörigheter både i nätverket och på applikationsnivå. Detta kan i sin tur leda till otillbörlig åtkomst till känslig information och kritiska aktiviteter i system och applikationer. Slutligen föreligger risk för driftsstörningar i IT-miljön i händelse av en säkerhetsincident, genom oprövad avbrottsplan. Vi rekommenderar att överväga följande åtgärder; 1) Formalisera och dokumentera processen för administration av behörigheter i system och applikationer samt förändringshantering på förvaltningsnivå. Processerna bör vara formellt dokumenterade för att säkerställa enhetlighet samt minska personberoende. 2) Implementera en rutin för periodisk genomgång av tilldelade behörigheter i system och applikationer för att säkerställa att aktuella behörigheter stämmer överens med den anställdes roll i organisationen. Genomgången ska dokumenteras för att säkerställa spårbarhet i processen. 3) Ta fram en avbrottsplan för verksamhetskritisk IT-miljö. Planen ska regelbundet testas och åtminstone årligen utvärderas. Planen bör åtföljas av dokumenterade rutiner för att återskapa servrar och filer utifrån backup i händelse av en incident. Januari 2018 7

3.3. Uppföljning av IT- och informationssäkerhet 3.3.1. Iakttagelser Uppföljning av incidenter: Rutinen är att incidenter ska rapporteras in till ITteamets första- och andra linje support. Service Manager används som ärendehanteringssystem som medför full spårbarhet i processen. Varje incident klassificeras och får en dedikerad ägare i systemet. Incidenter klassificerade som kritiska tas upp på ledningsmöten där beslut tas om vilka åtgärder som behövs. Det hålls även regelbundna möten med gruppledare, driftschefer från driftavdelningen samt tjänsteägare där identifierade risker diskuteras. Vidare rapportering till ledningsmöten sker därefter. 3.3.2. Bedömning och rekommendationer De processer som finns kring incidenthantering bedöms fundera ändamålsenligt. Januari 2018 8

4. Revisionell bedömning Revisionsfrågan för granskningen är: Är kommunstyrelsens styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterade hoten? Efter genomförd revision och genomgång av samtliga kontrollmål är vår bedömning att kommunstyrelsens styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ej är ändamålsenlig i förhållande till de prioriterade hoten. Efter genomförd granskning är vår bedömning att det finns utrymme för förbättring. För redogörelse av vår detaljerade bedömning av uppfyllnadsgrad för kontroller inom respektive revisionsmoment, se Appendix 1. Uppdragsledare Lena Salomon Projektledare Viktor Bergvall Januari 2018 9

Appendix 1: Bedömning av uppfyllnadsgrad Nedan följer en sammanställning över s bedömning av uppfyllnadsgrad för kontroller inom respektive revisionsmoment; Revisionsmoment Moment 1 Riskanalys kopplat till område för IT-och informationssäkerhet finns? Moment 2 Styrande dokument för IT- och informationssäkerhet samt kommunikationsplan är upprättat? Moment 3 Att organisationen, roller, ansvarsfördelning och rapporteringsvägar i frågor rörande IT- och informationssäkerhet är tydlig. Moment 4 Att det finns ändamålsenliga rutiner för att hantera risker relaterade till prioriterade hot inom område för IT- och informationssäkerhet. Moment 5 Att tekniska försvarsmekanismer och processer uppdateras utifrån lärdom av inträffade säkerhetsincidenter. Moment 6 Finns det en tydlig plan för att upprätthålla och återställa verksamhetskritiska funktioner vid tillfälle för en säkerhetsincident? Uppfyllt Delvis uppfyllt Delvis uppfyllt Delvis uppfyllt Uppfyllt Ej uppfyllt Januari 2018 10

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss