Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm, 2011-06-14

2 av 17

Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna har Ernst & Young genomfört en ITrevision hos Lidingö Stad. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i verksamheten. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Övergripande slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej eller fungerar ej tillfredsställande: 8 % Kontrollen finns och fungerar delvis: 25 % Kontrollen finns och fungerar tillfredsställande: 67 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 0 % Jämfört med andra verksamheter, främst kommuner, som Ernst & Young gjort liknande granskningar för ligger Lidingö Stads måluppfyllnad över verksamhetsgenomsnittet. Iakttagelser Fullständiga iakttagelser med riskbedömningar och rekommendationer finns i kapitel 4. # Iakttagelse Prioritet 1. Avsaknad av rutin för periodisk genomgång av behörigheter Medel 2. Avsaknad av rutiner för fullständig återläsning av säkerhetskopior Medel 3. Avsaknad av dokumenterad brandväggspolicy Medel 4. Avsaknad av revisionsloggar för säkerhetsrelevanta händelser Medel 5. Avsaknad av tekniska säkerhetskrav för mobil datorutrustning Medel 6. Bristande utbildning i informationssäkerhet Medel 7. Tester av programutveckling sker i vissa fall i driftmiljö Låg iii

Innehållsförteckning SAMMANFATTNING... III Bakgrund...iii Övergripande slutsatser...iii Iakttagelser...iii INNEHÅLLSFÖRTECKNING... IV 1 BAKGRUND... 1 1.1 Syfte... 1 1.2 Metod... 1 1.3 Avgränsningar... 2 2 IAKTTAGELSER... 3 2.1 IT-organisation... 3 2.2 IT-system... 4 2.3 Aktuella förändringar... 5 2.5 Granskningsprotokoll... 6 3 JÄMFÖRELSE MOT ANDRA VERKSAMHETER... 11 4 SLUTSATSER OCH REKOMMENDATIONER... 12 4.1 Generella slutsatser... 12 4.2 Rekommendationer... 13 iv

1 Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för tillfredsställande informationssäkerhet krävs att informationen i verksamhetsstödet är tillgängligt, riktigt och har korrekt konfidentialitet, samt är spårbart. På uppdrag av de förtroendevalda kommunrevisorerna har Ernst & Young genomfört en ITrevision hos Lidingö Stad. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i verksamheten. Syftet har också varit att jämföra verksamhetens nuvarande informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps (tidigare Krisberedskapsmyndigheten) ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC 27000. 1.2 Metod Baserat på erfarenheter från tidigare kommunrevisioner har Ernst & Young valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1 av 15

Rapporten redovisar i vilken grad verksamheten uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Nej Kontrollen finns ej eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. E/T Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Analysen baseras på erhållen dokumentation samt på intervju med Björn Söderlund (IT-strateg), Birgitta Berglund (IT-chef), Fredrik Wassberg (IT-ansvarig, utbildningsförvaltningen), Lars Håkansson (IT- arkitekt) och Mikaela Schmidt (IT-ansvarig, äldre- och handikappsförvaltningen) Arbetet har genomförts av Pernilla Borg och Aleksandar Jovanovic under maj och juni 2011 och kvalitetssäkrats av Marcus Hansson. De intervjuade har fått möjlighet att faktagranska rapporten. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i verksamhetens hantering av IT som vi inte har identifierat. Arbetet har inte omfattat test av generella ITkontroller och applikationskontroller. 2 av 15

2 Iakttagelser 2.1 IT-organisation IT organisationen är uppbyggd kring en beställar-/utförarmodell, där IT-enheten är utförare och ITansvarig och IT-strateg är beställare av tjänster. Målsättningen är att köpa in system och tjänster i så hög grad som möjligt. I dagsläget driftas ungefär hälften av systemen av externa leverantörer och hälften internt. Lidingö Stad har en handfull leverantörer där Logica och IST räknas till de största. Figur 1: Lidingö Stads IT- organisation, Källa: Lidingö Stad 3 av 15

2.2 IT-system Lidingö Stad använder sig av ca 700 olika system och applikationer i sina olika verksamhetsområden. Nedan listas de system som har av staden identifierats och klassats som de mest verksamhetskritiska: Lidingö Stad använder sig även av ett IT-management verktyg som heter DEVS. I DEVS hanteras avtal, inventarier, debitering, kvalitetsuppföljning, support och uppdragshantering, systemdokumentation m.m. 4 av 15

2.3 Aktuella förändringar Lidingö Stad har genomfört och håller på att genomföra en rad förändringar i sin IT miljö. Nedan följer exempel på de största aktuella förändringarna: Byte av leverantör för vård och omsorgssystem från Logica till Pulsen AB. Systemet bygger på en molntjänst med säker inloggning (e-legitimationsinloggning). Kortinloggning kommer att gälla för all personal. Projektet är i uppstartsfasen och beräknas vara i full drift 2012/2013. Skolsystemet ska gå över till molntjänst på två till tre års sikt dvs. man ska hyra tillgång till mjukvaran som en IT-tjänst från en extern leverantör. Ett nytt system för skriftliga omdömen testades förra året och ska rullas ut till hösten. Användning av virtuell serverhosting (möjliggör användning av flera operativsystem på samma server) är på planeringsstadiet och staden söker för närvarande en lämplig leverantör för denna tjänst. E-arkiv är på diskussionsstadiet och samarbete med andra kommuner och aktörer på regional nivå är påbörjat. Staden uppgraderar sin plattform till Windows 7 och Office 2010 och befinner sig just nu i utrullningsfasen. 5 av 15

2.5 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.5 Finns det användarhandledning för ett informationssystem att tillgå? IT-policy finns och är tre år gammal. Till denna finns tillhörande regler och riktlinjer som komplement och som revideras årligen. Informationssäkerhetspolicy har tagit fram och ska godkännas i juni. Övergripande ansvarig för informationssäkerhetsarbete är sedan april IT-strategen på stadsledningskontoret. Sekretariatet ska rekrytera en operativ informationssäkerhetssamordnare under våren/hösten. Systemägare är beställare av systemen och har övergripande ansvar. Systemförvaltare finns på alla verksamhetskritiska system och de system som är så anses behöva en systemförvaltare. Sekretariatet ska rekrytera en operativ informationssäkerhetssamordnare under våren/hösten. Denne ska tillsammans med IT-strategen fungera som länk mellan verksamhet, sekretariatet och IT i informationssäkerhetsarbete. Ingår i tjänsteavtalen för de verksamhetskritiska systemen. Det finns även reglerat i Lidingö Stads IT-plattform vad dessa ska innehålla. Ett tiotal system har klassats enligt BITS+. Arbete är pågående för övriga verksamhetskritiska system. Beräknas vara slutfört efter sommaren 2011... Finns för de informationsbehandlingsresurser som bedöms vara verksamhetskritiska. Åligger respektive systemägare/systemförvaltare. IT ansvariga är osäker på hur det sköts i de fall det är aktuellt. Instruktioner finns att tillgå på intranätet. Det finns inte dokumenterat men alla får introduktionskurs. Rollbaserade behörigheter begränsar användning i systemet. Generella instruktioner för användare och hantering av information återfinns i Regler och riktlinjer för IT. Nej. Manualer och lathundar finns för majoriteten av systemen. Nej Nej 6 av 15

Granskningspunkt Kommentar Utvärdering 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt - sker test till larmmottagare 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Avslutning av användarkonto till stadens IT miljö (AD konto) sker efter avbeställning från ansvarig chef via tjänsten Self Service i samband med att medarbetare slutar. Rensning i specifika system finns det inga tydliga rutiner för. Vid förändring av tjänst inom staden fungerar rutinen mindre bra, enligt IT enheten., kortlås finns för tillträde till lokaler.., testas varje månad (temperaturlarm går via e-post till systemtekniker samt dagsjour). IT-chefen beslutar om tillträde till datahallarna. Inpassering sker med kort och kod. Access är begränsad till ett fåtal individer (systemtekniker, 5-6 st.) vilket lett till en bedömning av Lidingö Stad att ytterligare rutinbeskrivningar inte anses motiverat. 5.6 Är korskopplingsskåp låsta?, generellt sett, men undantag finns på vissa skolor. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? 6 Styrning av kommunikation och drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod Rutiner finns för radering och görs av externa experter. VPN används för åtkomst till det lokala nätverket. Möjlighet finns att rensa telefoner på distans vid förlust., mest kritiskt för socialförvaltningen som hanterar känsliga uppgifter där det finns uppsatta regler och direktiv. Sekretesshandlingar täcks av Regler och Riktlinjer för IT (4.3), en checklista baserad på BITS finns för utformning av driftsdokumentation.. Det finns testmiljöer för vissa system men majoriteten av utvecklingen sker hos externa leverantörer. Tester för skolsystem görs i driftmiljön när det handlar om nya funktioner som inte har påverkan på redan driftsatta funktioner. Inga generella rutiner finns för uppföljning. Servicenivåavtal finns med leverantörer. Verksamheten återkopplar om tjänster inte levereras i rätt utsträckning, då genomförs uppföljning och möten. Systemförvaltaren godkänner driftsättning.. 7 av 15

Granskningspunkt Kommentar Utvärdering 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det riktlinjer avseende förvaringstid för datamedia? 6.14 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.15 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion. 6.16 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst till informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer systembehörigheter endast i den utsträckning som krävs för arbetsuppgifterna? 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttagning eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? 7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? Uppdelat i tre delar (admin, skolnät och öppet). Brandväggsrutiner för detta håller på att ses över., filsystemet två gånger per dag, full backup en gång per vecka och inkrementell varje natt. Testning görs inte regelbundet. Mindre återläsningar görs regelbundet för fil och e-post som har försvunnit., i DEVS VPN-servern ligger parallellt med ordinarie brandväggen men kommer att flyttas under 2011. VPN servern är försedd med egen brandvägg. Möjligheten finns men ett aktivt val har gjorts att bara logga vissa system. Bedömning av vad som ska loggas i systemen åligger systemägare och förvaltare och val görs utifrån krav eller beställningar från IT eller stadsledningen., ingår i respektive verksamhets dokumenthanteringsplaner. Säkerhetskopior sparas i 180 dagar. Fakturor sparas i tio år via scanningsleverantör., i regler och riktlinjer för IT (4.3.1). Vissa säkerhetsrelevanta händelser loggas, ex på internetanvändning (via en övervakningsplattform), byte av lösenord, och numera också på tillgänglighet på vissa system. Finns reglerat i IT-plattformen (kapitel 12 och 16). Leverantörer ges åtkomst vid speciella servicefönster eller behov och har ingen löpande åtkomst., behörigheter är rollbaserade. Olika beroende på vilken verksamhet man arbetar med. Generellt är alla Elev PC och Pool PC helt öppna för installation. För installation på nätverket krävs administratörsrättigheter. Generellt har administratörer endast de behörigheter som krävs för deras arbete. Chefer och kontoadministratörer lägger beställning i Self service desk. Se 4.6. Kontroll görs mot kunddatabasen att beställaren är behörig. Inaktivering av konton sker automatiskt vid sex månaders inaktivitet., för nätverket och vissa av de verksamhetskritiska systemen. Alla system har dock inte stöd för att tvinga fram lösenordsbyten. Nej 8 av 15

Granskningspunkt Kommentar Utvärdering 7.7 Genomförs regelbundet (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.10 Finns en gemensam lösenordspolicy? 7.11 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord. 7.12 Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete? Endast inom vård och omsorg görs regelbundna kontroller. Nätverkskonton inaktiveras efter sex månaders inaktivitet.., görs av kontoansvarig eller ansvarig chef. Oftast räcker det med telefonsamtal till ansvarig chef.. Se Lidingö stads IT-plattform (15.3). Byte ska ske var 90:e dag. Lösenord bör vara minst 8 tecken, varav krav på små och stora tecken samt kombination med siffror är att föredra., vid 15 minuters inaktivitet. Inställningen kan inte stängas av lokala admins. VPN-servern ligger parallellt med ordinarie brandväggen men kommer att flyttas under 2011. VPN servern är försedd med egen brandvägg. Nej. 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll?, WPA2 (kryptering) och autentisering mot nätverkskontot. Nej, finns bara karta över nätverket.. Se Lidingö stads IT-plattform (17) Beskrivningar finns till viss del i styrande dokument. Ingen kryptering av hårddiskar och mobiltelefoner, men däremot finns en rensningsfunktion för att rensa smartphones och mobiler som synkar mail på distans och direktiv att ingen känslig eller kritisk information får sparas lokalt på datorerna. Generellt gäller att Lidingö stads dator med VPN förbindelse ska användas för distansarbete. För övriga system varierar detta från fall till fall.. Se Lidingö stads IT-plattform (15.4) Arbete pågår som en del av informationssäkerhetsarbetet. Lidingö Stad utgår från BITS+ som bland annat omfattar vissa delar av systemsäkerhet. Fem sådana analyser har avslutats. Krypteras för klienter via VPN tunnel eller https (tillägg till http för behörighetskontroll och kryptering av data mellan en webbserver och webbläsare).. Anges i DEVS. Nej 9 av 15

Granskningspunkt Kommentar Utvärdering 8.4 Finns det regler för hur system- och programutveckling ska genomföras? 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester regelbundet? 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs?. Anges i Lidingö stads IT-plattform.. Finns i IT-enhetens Change Management process. Nej, Inga generella rutiner finns., i DEVS., användare ska vända sig till IT-enhetens helpdesk. Dokumenterat i Lidingö Stads IT-policy. Reservrutiner finns dokumenterade för vissa verksamhetskritiska system. För verksamheten i övrigt finns ingen generell kontinuitetsplan dokumenterad., finns dokumenterat i DEVS men revision pågår. Varierar från system till system. Finns dokumenterat i DEVS (se även 10.1). Krishanteringsarbetet i kommunen drivs från ett risk- och sårbarhetsperspektiv. En sådan analys med identifiering utifrån 12 scenarios är genomförd. Beslut om fortsatt arbete ska tas i kommunstyrelsen i höst.. Staden har ett system för övervakning av licensefterlevnad., via Maria Bring som är personuppgiftsombud. Detta finns beskrivet på Lidingö Stads Ö-nät. Nej. Penetrationstest via extern leverantör planerat till hösten 2011 för webben. IT-enheten gör löpande uppföljning på fillagring, licenser, surfning, användning av telefoni och inköp. Vi avvikelser från regler kontaktas ansvarig person. Nej Nej 10 av 15

3 Jämförelse mot andra verksamheter Ernst & Young har gjort ett flertal gapanalyser mot BITS, främst hos Sveriges kommuner. Utifrån dessa kan vi mäta Lidingö Stads mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de verksamheter vi tidigare granskat. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot verksamhetsgenomsnitt 1 11 2 10 3 9 4 Verksamhetssnitt Lidingö Stad 8 5 7 6 Bild 3.1. Verksamhetsjämförelse, mognadsgrad 11 av 15

4 Slutsatser och rekommendationer 4.1 Generella slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Nej Kontrollen finns ej eller fungerar ej tillfredsställande: 8 % Kontrollen finns och fungerar delvis: 25 % Kontrollen finns och fungerar tillfredsställande: 67 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 0 % Verksamhetens starkaste områden är: Fysisk och miljörelaterad säkerhet Organisation av säkerhet Styrning av kommunikation och drift Verksamhetens svagaste område är: Personalresurser och säkerhet 12 av 15

4.2 Rekommendationer Nedan följer våra rekommendationer samt ett förslag på prioritering. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1 Iakttagelse: Avsaknad av rutin för periodisk genomgång av behörigheter Det görs inga regelbundna genomgångar av behörigheter i systemen. Risk Avsaknad av rutin för genomgång av behörigheter i systemen ökar risken för att personer som slutat eller bytt tjänst fortfarande har tillgång till system och information. Rekommendation Vi rekommenderar Lidingö Stad att dokumentera och implementera en rutin för att regelbundet granska rättigheter i sina system. Följande kontroller och aktiviteter bör finnas med: IT (eller service desk) bör förse linjechefer med listor över behörigheter minst två gånger per år. Linjechefer bör gå igenom listorna, markera felaktigheter, signera samt sända tillbaka listorna till IT (eller service desk). IT (eller service desk) tar bort eller förändrar rättigheter enligt underlag. 2 Iakttagelse: Avsaknad av rutiner för fullständig återläsning av säkerhetskopior Det saknas rutiner för att säkerställa att informationssystem kan återstartas från säkerhetskopior. Risk: Test av återläsning av säkerhetskopior görs för att garantera att rätt information har kopierats, att rutinerna fungerar samt att datamediet fungerar. Avsaknad av regelbundna tester kan innebära att information ej kan läsas tillbaka i en nödsituation. Rekommendation: Vi rekommenderar Lidingö Stad att upprätta rutiner för att regelbundna tester återläsning av säkerhetskopior. Sådana tester bör göras årligen. Medel Medel 13 av 15

# Iakttagelse och rekommendation Prioritet 3 Iakttagelse: Avsaknad av dokumenterad brandväggspolicy Det finns inte någon dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla. Risk: Felaktiga öppningar i brandväggen kan ge obehörig åtkomst till nätverkstjänster. Rekommendation: Lidingö Stad bör upprätthålla en förteckning över de beslutade öppningarna i brandväggen. Det ska finnas dokumenterade regler för anslutning av utrustning till interna och externa nätverk samt anslutning av externa nätverk till organisationens eget nät med ingående säkerhetsfunktioner, autentisering etc. 4 Iakttagelse: Avsaknad av revisionsloggar för säkerhetsrelevanta händelser Vi har noterat att Lidingö Stad endast sparar revisionsloggar för vissa säkerhetsrelevanta händelser. Risk: Vid avsaknad av revisionsloggar ökar risken för felaktigt användande av organisationens system och att bedrägeri inte upptäcks. Avsaknad av revisionsloggar ökar risken för att bedrägeriförsök genomförs samt gör det svårare att i efterhand reda ut vad som har hänt då felaktigheter har uppstått i system. Rekommendation: Vi rekommenderar Lidingö Stad att se över vilka typer av loggar man sparar och besluta ifall dessa är tillräckliga och relevanta för verksamheten. Möjligheter till spårbarhet ska sättas i relation till informationens skyddsvärde. Loggar för säkerhetsrelevanta händelser bör följas upp regelbundet och minst registrera: användaridentitet datum och tidpunkt för in- och utloggning lyckade och misslyckade försök till åtkomst 5 Iakttagelse: Avsaknad av tekniska säkerhetskrav för mobil datorutrustning Vi har noterat att det saknas vissa tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning. Bl.a. har det framkommit att hårddiskar och mobiltelefoner är okrypterade. Risk: Vid användning av okrypterad mobil datorutrustning ökar risken för obehörig avlyssning, insyn eller förändring av information. Rekommendation: Vi rekommenderar att Lidingö Stad ser över och identifiera var risken är störst att känslig information röjs eller av misstag offentliggörs. Hårddiskkryptering bör användas för mobil datorutrustning som används i dessa sammanhang. Medel Medel Medel 14 av 15

# Iakttagelse och rekommendation Prioritet 6 Iakttagelse: Bristande utbildning i informationssäkerhet Ingen systematisk utbildning genomförs för anställda eller inhyrd personal avseende informationssäkerhet. Risk: Det finns risk att anställda och inhyrd personal ovetande bryter mot kommunens informationssäkerhetsregler. Rekommendation: Genomför utbildningar kontinuerligt, både för att kunskapen om informationssäkerhet ska vara tillräcklig, men även för att bibehålla säkerhetsmedvetandet och motivationen för att upprätthålla säkerheten. För den personal det berör bör speciell information ges om vad som följer de olika ansvarsrollerna som definieras i informationssäkerhetspolicyn. 7 Iakttagelse: Tester av programutveckling sker i driftmiljö Vi har noterat att tester av vissa system sker direkt i driftmiljö Risk: Vid tester av programförändringar direkt i driftmiljön ökar risken för negativ påverkan på övrig funktionalitet i systemet. Rekommendation: Vi rekommenderar Lidingö Stad att se över sina system och utvärdera risken för att tester i produktionsmiljö skulle kunna ha negativ påverkan på övrig funktionalitet. Om tillräckligt höga risker föreligger bör inga tester utföras i skarp miljö. Medel Låg 15 av 15

Pernilla Borg Pernilla.Borg@se.ey.com 08 520 594 13 Aleksandar Jovanovic Aleksandar.Jovanovic@se.ey.com 040 693 16 49