Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Relevanta dokument
Bolagsspecifika resultat Sektion 3. Page 1

Granskning av IT intern kontroll

Stockholms Stadshus AB it-revision november 2016

Revision av årsbokslutet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Stockholm Stadshus AB

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Granskning av generella IT-kontroller för PLSsystemet

Revision av den interna kontrollen kring uppbördssystemet REX

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Uppföljningsrapport IT-generella kontroller 2015

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Uppföljningsrapport IT-revision 2013

Revision av årsbokslutet i Stockholms Stadshus AB Magnus Fagerstedt

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Granskning av intern kontroll i kommunens huvudboksprocess

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Granskning av IT-säkerheten inom Lunds kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Stockholms Stadshus AB - koncernen

Region Skåne Granskning av IT-kontroller

Granskning av intern kontroll i lönehanteringen

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av IT-säkerhet

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Uppföljning av tidigare granskningar

Guide för säker behörighetshantering

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Stockholms Stadshus AB. Rapportering av revision per den 31 cecember 2017 Den 19 mars 2018

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Styrning av behörigheter

Granskning av IT-säkerhet

Granskning av applikationenn Basware oktober 2012*

Generella IT-kontroller uppföljning av granskning genomförd 2012

Granskning av IT-säkerhet

Finansinspektionens författningssamling

Internkontrollplan 2015 för moderbolaget Stockholms Stadshus AB

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Granskning av räddningstjänstens ITverksamhet

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Stockholms Stadshus AB Årsbokslut 2015

Stockholms Stadshus AB - koncernen

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Årsbokslut 2017 och årsredovisning för koncernen Stockholms Stadshus AB

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Revisionsrapport Självdeklaration Intern Kontroll

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Granskning av IT- och informationssäkerhet

Tjänstekatalog (Aktuell version, oktober 2014)

Finansinspektionens författningssamling

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet

IT-verksamheten - en uppföljning av tidigare granskning

Slutrevision Stockholms Stadshus AB (inklusive koncernen) Magnus Fagerstedt Mikael Sjölander

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Granskningspromemoria 2011

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Granskning av IT-säkerhet

Årsbokslut 2015 och årsredovisning för koncernen Stockholms Stadshus AB

IT-säkerhet Externt och internt intrångstest

Komrnunstyrelseri Nämnder och styrelser

Intern kontroll och riskbedömningar. Sollefteå kommun

Övergripande granskning av ITverksamheten

Granskning av behörigheter till journalsystemet

Paraplysystemets säkerhet och ändamålsenlighet

Granskning av intern kontroll i löneprocessen

IT- och informationssäkerhet

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Granskning av upphandlingsverksamheten. Sandvikens kommun

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Punkt 15: Riktlinje för internrevision

Förklarande text till revisionsrapport Sid 1 (5)

Bilaga 2 Deltagande förvaltningar, bolag och stiftelser

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport Årsredovisning 2017

Översikt över koncernens utveckling sedan 2004

Transkript:

Stockholms Stadshus AB Granskning av IT-intern kontroll 11 December 2014

Innehåll Innehåll 1. Inledning 1.1 Sammanfattning 2. Introduktion 2.1 Bakgrund syfte 2.2 Omfattning av granskning 2.3 Utvärderingskriterier 3. Bolagsspecifika resultat 3.1 Översikt bolag 3.2 Iakttagelser för respektive bolag 4. Appendix 4.1 Granskningsdetaljer 4.2 Kontaktlista Page 2

Inledning Sektion 1 Page 3

Sammanfattning Sektion 1 Sammanfattning Baserat på 2013-års granskning har Stockholm Stadshus AB uppdragit åt EY att göra en uppföljande genomgång av intern kontroll inom IT för utvalda bolag inom koncernen. Fokus ligger som tidigare på kontrollmiljö i relation till behörigheter och hantering av förändringar i applikationer som stödjer finansiell rapportering. Granskningens omfattning har för varje enskilt bolag prioriterats i relation till föregående års iakttagelser. Sammanfattningsvis kan konstateras en ökad medvetenhet om vikten av en god intern kontroll. Merparten av bolagen har utfört, respektive är i färd med att utföra åtskilliga förbättringsåtgärder i förhållande till de rekommendationer som tidigare förts fram av EY. I de fall åtgärder fortfarande håller på att implementeras är det nu viktigt att uppdaterade rutiner kommuniceras och införs. Stadens nya direktiv om ett gemensamt ekonomisystem innebär också att flera bolag hänvisar till att fortsatt utveckling av processer och kontroller kommer vid implementering av detta. I följande delar av rapporten beskrivs genomförd granskning och resultatet av denna, i översikt och på bolagsnivå. Som mera generella iakttagelser kan noteras: Rutiner kopplat till processen för programförändringar följs inte fullt ut. Brister i rutiner för periodisk genomgång av behörigheter. Möjligheten till strukturerad rutin för återläsningstester. Även om flertalet av iakttagelserna bör hanteras inom rimlig tid, bedöms ingen av observationerna vara av karaktären att de innebär en omedelbar risk för verksamheten inom Stockholms stad. Stockholms Stadshus AB rekommenderas att kommunicera iakttagelser till respektive dotterbolag för utvärdering och åtgärd. Page 4

Introduktion Sektion 2 Page 5

Bakgrund och syfte Sektion 2 Introduktion Stockholms Stadshus AB har beslutat att genomföra en uppföljning av den granskning av IT intern kontroll och informationssäkerhet som utfördes 2013. Granskningen har fokuserat på applikationer inom bolagen som stödjer den finansiella rapporteringen med fokus på programförändringsrutiner, behörighetsrutiner samt utvalda aspekter av informationssäkerhet. Granskningen syftar till att ge en överblick av rådande status inom IT intern kontroll samt att i diskussion med bolagen adressera ansvarsfördelning inom området. Granskningen har genomförts genom intervjuer med områdesansvariga inom de olika bolagen samt genomgång av tillhandahållen dokumentation. Page 6

Omfattning av granskning Sektion 2 Introduktion Storleken på årets granskning bygger på de iakttagelser som gjordes 2013 och prioriteras i relation till hur pass kritiska de ansetts vara för organisationen. Dotterbolagen är uppdelade och prioriterade i tre olika nivåer: Bolag med högre prioritering Uppföljning av rekommendationer. Genomgång av processer programförändringar, behörighetshantering, lösenordsinställningar och/eller backuphantering. Test av ett stickprov. Bolag med lägre prioritering Uppföljning av rekommendationer. Bolag utan behov av uppföljning De bolag som är exkluderade har inte haft några iakttagelser av högre dignitet. Högre prioritering Lägre prioritering Ingen uppföljning Stockholms Hamn AB Stockholm Business Region AB AB Stokab MICASA AB St. Eriks Livförsäkring AB AB Familjebostäder SISAB St. Eriks Försäkring AB Svenska bostäder Stockholms Stadshus AB Stockholm Parkering AB Stockholm Globe Arena Fastigheter AB Stockholm Vatten AB Stockholms Stads Bostads-förmedling AB St. Eriks Markutveckling AB Kulturhuset / Stadsteatern AB AB Stockholms-hem Page 7

Utvärderingskriterier (1/2) Sektion 2 Introduktion Följande områden har varit fokus i granskningen: Programförändringar: Rutiner kring samt dokumentation av programförändringar och relaterade processer. Förväntade områden för kontroller inkluderar beställning, acceptanstest av förändringen och godkännande för produktionssättning. Åtkomst: Säkerställa lämplig antal användare med höga behörigheter och systemkonfiguration med passande lösenordsinställningar. Dessutom har granskningen innefattat behörighetsprocessens övervakning och dokumentation samt att behörigheter är godkända vid både tilldelning och vid regelbunden verifiering av tilldelade behörighetsnivåer. Stockholms stads riktlinjer för informationssäkerhet: Efterlevnad av stadens riktlinjer för informationssäkerhet i respektive bolags arbete med informationssäkerhet, införande av rutiner, informationsklassning, utbildning, säkerhetskopiering samt riskanalys av kritiska system Page 8

Utvärderingskriterier (2/2) Sektion 2 Introduktion Iakttagelser har bedömts med färgkodning utifrån Iakttagelse Åtgärd Iakttagelser där bolaget bör överväga skyndsam åtgärd. Iakttagelser där bolaget bör överväga åtgärd inom rimlig tid. Godtagbar nivå, men där utrymme för åtgärd/förbättringar kan finnas. Page 9

Bolagsspecifika resultat Sektion 3 Page 10

Översikt bolag Sektion 4 Företagsspecifika resultat Bolag Sida Iakttagelser 2013 Iakttagelser 2014 Stockholms Hamn AB 12-13 MICASA AB 14-17 SISAB 18-19 Stockholms Stadshus AB 20-22 Stockholm Vatten AB 23-26 Kulturhuset / Stadsteatern AB 27-29 Stockholm Business Region AB 30 St. Eriks Livförsäkring AB 31 St. Eriks Försäkring AB 32-33 Stockholm Parkering AB 34 Stockholms Stads Bostads-förmedling AB 35-36 AB Stockholms-hem 37 Page 11

Stockholms Hamn AB Sektion 3 Stockholms Hamn AB 2013 Iakttagelser Status 2014 Återläsningstester genomförs inte för servrar hos Volvo IT. Gruppkonton förekommer i Agresso. Bristande spårbarhet gällande leverantörers inloggning i produktionsmiljön. Bristande dokumentation av godkännande för produktionssättning för mindre programförändringar. Avsaknad av rutin för periodisk granskning av tilldelade behörighetsnivåer. Samtliga användare i Agresso som arbetar på ekonomiavdelningen har behörighetsnivån super-user. Några återläsningstester har inte genomförts under året. Stockholms Hamn AB använder sig av Start Stockholm för inloggning när externa leverantörer behöver åtkomst till Agresso. Det förs en manuell logg när leverantören efterfrågar access. Det går också att se i Windowsloggen när en inloggning har skett. Stockholm Hamn AB har tagit fram ett nytt testprotokoll med godkännande för införande i produktionsmiljön. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Stockholm Hamn AB har utfört granskningar av aktiva användare i både Agresso och Port IT. Det är av vikt att denna process för periodisk granskning av tilldelade behörigheter formaliseras. Stockholms Hamn AB har begränsat antalet användare med super-user access. Lösenordsinställningar för användarkonton i Agresso följer inte Stockholms Stads riktlinjer för informationssäkerhet. Bristande dokumentation av processen för tilldelning av behörigheter. Stockholms hamn följer idag Stockholms Stads riktlinjer avseende lösenordskrav. Stockholms Hamn har tagit fram en ny rutin för tilldelning av nya behörigheter, den finns beskriven i Ordning & Reda 3,0. Page 12

Sektion 3 Återläsningstester genomförs inte för servrar hos Volvo IT Stockholms Hamn AB Iakttagelse Stockholms Hamn har servrar både på plats i Hamnen samt hos Volvo IT. För de servrar som finns hos Volvo IT tar Volvo regelbundet backuper. Återläsningstester måste dock beställas av Volvo IT. Under vår granskning noterades att Stockholms Hamn inte har beställt återläsningstester av Volvo IT sedan avtalet upprättades. Risk Avsaknad av regelbundna återläsningstester ökar risken för att kritiska system inte går att återställa vid en incident. Rekommendation I likhet med föregående år rekommenderar vi Stockholm Hamn AB att utifrån ett riskbaserat synsätt, överväga rutiner för att regelbundet säkerställa möjlighet att återläsa data och system, till exempel genom att genomföra återläsningstester, samt dokumentera resultatet av dessa. Page 13

MICASA Sektion 3 Micasa fastigheter AB 2013 Iakttagelser Status 2014 Återläsningstester genomförs inte för servrar hos Volvo IT. Några återläsningstester har inte genomförts under året. Bristande spårbarhet i de periodiska genomgångarna av tilldelade behörigheter. Bristande tydlighet av roller och ansvarsfördelning i behörighetsprocessen. Bristande dokumentation av rutiner för programförändringar. Micasa fastigheter AB har utfört den periodiska genomgången för Visma Control och Visma DCE under året och den finns dokumenterad med ansvarig kontrollägare. För fasad finns instruktion för hur sådana genomgångar ska genomföras och vem som ansvarar för dessa. Någon genomgång har ej utförts 2014. Micasa fastigheter AB har tagit fram nya rutiner med ansvarsfördelning i behörighetsprocessen för Visma Control och Visma DCE samt Fasad. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Micasa Fastigheter AB har utvecklingsstopp i Visma och minimal utveckling av Fasad på grund av att systemen ska ersättas under 2015 respektive 2017. Detta innebär att inga resurser lagts på att utveckla nya rutiner för programförändringar till de befintliga systemen. Page 14

Sektion 3 Återläsningstester genomförs inte för servrar hos Volvo IT Micasa fastigheter AB Iakttagelse Volvo IT tar regelbundet backuper enligt avtalet mellan Volvo IT och Stockholms Stad. Volvo IT genomför dock inte återläsningstester. Återläsningstester måste beställas av Micasa Fastigheter AB. Vid vår granskning noterade vi att Micasa Fastigheter AB inte beställer återläsningstester från Volvo IT och att återläsningstester därför inte genomförs regelbundet Risk Avsaknad av regelbundna återläsningstester ökar risken för att kritiska system inte går att återställa vid en incident. Rekommendation I likhet med föregående år rekommenderar vi Micasa fastigheter AB att utifrån ett riskbaserat synsätt, överväga rutiner för att regelbundet säkerställa möjlighet att återläsa data och system, till exempel genom att genomföra återläsningstester, samt dokumentera resultatet av dessa. Page 15

Sektion 3 Micasa fastigheter AB Periodiska genomgångar av tilldelade behörigheter i Fasad Iakttagelse För Fasad finns en nyligen framtagen instruktion för hur periodiska genomgångar av tilldelade behörigheter ska genomföras och vem som ansvarar för dessa. Någon genomgång har ej utförts 2014. Risk Avsaknaden av periodisk genomgång av användare ökar risken för att personer som inte längre arbetar kvar eller har fått ändrade arbetsuppgifter har kvar gamla eller felaktiga behörigheter i systemen. Rekommendation Micasa Fastigheter AB bör förankra den nya rutinen i verksamheten och säkerhetsställa att periodisk genomgång genomförs. Page 16

Sektion 3 Micasa fastigheter AB Bristande dokumentation av rutiner för programförändringar Iakttagelse Micasa Fastigheter AB har utvecklingsstopp i Visma och minimal utveckling av Fasad på grund av att systemen ska ersättas under 2015 respektive 2017. Detta innebär att inga resurser lagts på att utveckla nya rutiner för programförändringar till de befintliga systemen. Risk Bristande dokumentation av rutiner kan leda till att det inte finns ett gemensamt arbetssätt för exempelvis testförfarande eller produktionssättning och därmed kan viktiga kontroller utebli eller kringgås. Rekommendation Eftersom utvekling av Fasad fortfarande är aktuell bör Micasa fastigheter AB säkerställa en rutin för god internkontroll med god ansvarsfördelning och spårbarhet av kontroller inom processen. Denna rutin bör baseras på Stockholms Stads centrala riktlinjer. Page 17

SISAB Sektion 3 SISAB 2013 Iakttagelser Status 2014 Bristande spårbarhet av återläsningstester. Bristande dokumentation av rutiner för programförändringar. Bristande spårbarhet av godkännande för produktionssättning vid mindre programförändringar. SISAB har utfört ett återläsningstest och dokumenterat resultatet. SISAB har tagit fram och dokumenterat en ny rutin för förändringshanteringen som bygger på stadens F-guide och som gäller för samtliga programförändringar. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Systemleverantören Unit4 har konstant access till produktionsmiljön. Bristande spårbarhet i de periodiska genomgångarna av behörigheter. Bristande dokumentation av rutiner för periodisk granskning av behörighetsnivåer. Efter förhandlingar med Volvo-IT angående tid på leverans av behörigheter har SISAB nu gått över till att begränsa Unit4 s access till produktionsmiljön. SISAB har tagit fram en årsplan där de systemansvariga planerar in när de periodiska genomgångarna ska utföras. Dock fanns inga exempel på utförda behörighetsgenomgångar i samband med vår granskning. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Page 18

Periodiska genomgångar av tilldelade behörigheter Sektion 3 SISAB Iakttagelse Inom SISAB finns en nyligen framtagen instruktion för hur periodiska genomgångar av tilldelade behörigheter ska genomföras och vem som ansvarar för dessa. Någon genomgång har ej utförts 2014. Risk Avsaknaden av periodisk genomgång av användare ökar risken för att personer som inte längre arbetar kvar eller har fått ändrade arbetsuppgifter har kvar gamla eller felaktiga behörigheter i systemen. Rekommendation SISAB bör förankra den nya rutinen i verksamheten och säkerhetsställa att periodisk genomgång genomförs. Page 19

Stockholms Stadshus AB Sektion 3 Stockholm Stadshus AB 2013 Iakttagelser Status 2014 Bristande rutiner och spårbarhet för återläsningstester. Svag beställningsprocess för nya behörigheter. Tieto genomför med jämna mellanrum återläsningstester för Cognos. Dock finns det ej några dokumenterade resultat. Stockholms Stadshus AB har en ny rutin för tilldelning av behörigheter i Cognos. Gruppkonton förekommer i Cognos. Stockholm stadshus har vidtagit åtgärder under året för att ersätta gruppkonton I Cognos med individuella konton. Det finns dock några konton med delad access. Page 20

Sektion 3 Stockholm Stadshus AB Bristande rutiner och spårbarhet för återläsningstester Iakttagelse Tieto genomför med jämna mellanrum återläsningstester för Cognos. Vid vår granskning noterade vi att det inte finns några dokumenterade resultat av dessa återläsningstester. Risk Avsaknad av regelbundna återläsningstester ökar risken för att kritiska system inte går att återställa vid en incident. Rekommendation Stockholm stadshus AB bör fortsätt arbetet med att regelbundet utföra återläsningstester utifrån ett riskbaserat synsätt för att säkerställa möjlighet att återläsa data och system, samt dokumentera resultatet av dessa. Page 21

Gruppkonton förekommer i Cognos Sektion 3 Stockholms Stadshus stadshus AB AB Iakttagelse Stockholm stadshus har vidtagit åtgärder under året för att ersätta gruppkonton I Cognos med individuella konton. Det finns dock några konton med delad access. Exempel på detta är ett administratörskonto som används av Tieto Risk Användning av gruppkonton ökar risken för obehörig åtkomst till system och information. Gruppkonton innebär att spårbarheten minskar då det inte går att följa vem som har varit inne i systemet eller att koppla utförda aktiviteter till individer vid exempelvis felsökning. Ett administratörskonto ger vanligtvis obegränsad access till applikationen och medför därför en särskild risk. Rekommendation Vi rekomederar Stockholms stadshus AB att utvärdera behovet av och möjligheten till att särskilt monitorera användandet av administratörskontot I Cognos. Page 22

Stockholm Vatten AB Sektion 3 Stockholm Vatten AB 2013 Iakttagelser Status 2014 Återläsningstester genomförs inte för servrar hos Volvo IT. Bristande spårbarhet i genomgångar av höga behörigheter i Agresso. Avsaknad av delaktighet från systemägare vid den periodiska genomgången av behörigheter i Agresso. Avsaknad av rutin för periodisk granskning av tilldelade behörighetsnivåer i Lettera. Några återläsningstester har inte genomförts under året. Stockholm Vatten AB har tagit fram en ny kvartalsvis rutin för att granska de användare som slutat. Rutinen innebär att systemägaren tillika administrativ chef signerar dokumentet och står som yttersta ansvarig. Vi har dock noterat att priviligierade användare samt användare som bytt arbetsuppgifter inte omfattas av denna granskning. Stockholms Vatten AB har tagit fram en ny kvartalsvis rutin och den utförs av systemadministratören. Gruppkonton förekommer i Agresso. Iakttagelsen kvarstår. Page 23

Sektion 3 Återläsningstester genomförs inte för servrar hos Volvo IT Stockholm Vatten AB Iakttagelse Volvo IT tar regelbundet backuper enligt avtalet mellan Volvo IT och Stockholms Stad. Volvo IT genomför dock inte återläsningstester. Återläsningstester måste beställas av Stockholm Vatten AB. Vid vår granskning noterade vi att Stockholm Vatten AB inte beställer återläsningstester från Volvo IT och att återläsningstester därför inte genomförs regelbundet Risk Avsaknad av regelbundna återläsningstester ökar risken för att kritiska system inte går att återställa vid en incident. Rekommendation I likhet med föregående år rekommenderar vi Stockholm Vatten AB att utifrån ett riskbaserat synsätt, överväga rutiner för att regelbundet säkerställa möjlighet att återläsa data och system, till exempel genom att genomföra återläsningstester, samt dokumentera resultatet av dessa. Page 24

Rutin för genomgångar av behörigheter i Agresso Sektion 3 Stockholm Vatten SISAB Stockholm Vatten AB Iakttagelse Stockholms vatten AB har tagit fram en kvartalsvis rutin för att periodiskt granska att användare som slutat på bolaget inte har fortsatt behörighet i Agresso. Genomgången omfattar inte användare med hög behörighet. Genomgången omfattar inte heller användare som bytt roll och/eller erhållit ändrade behörigheter i Agresso. Risk En process för periodisk granskning som inte omfattar även användare med privilegierade accesser och fall där förändringar har skett inom befintliga accesser täcker inte fullt risken för felaktigt tilldelade behörigheter. Rekommendation Stockholm Vatten AB bör införa en rutin för att periodiskt granska samtliga behörigheter i Agresso. Denna rutin bör baseras på Stockholms Stads centrala riktlinjer. Utvärdring bör ske huruvida genomgång skall omfatta även individer med tittabehörighet (Self-Service). Page 25

Gruppkonton förekommer i Agresso Sektion 3 Stockholm Vatten AB Iakttagelse Utveckling och implementering av programförändringar i produktionsmiljön för Agresso genomförs av leverantören Agresso. När leverantören ska genomföra en produktionssättning skickas en SMS-kod ut för att ge access till stadens Citrix-inloggning. Vid mindre supportärenden används fortfarande gruppkontot. Risk Användning av gruppkonton innebär att spårbarheten minskar då det inte går att följa vem som har varit inne i systemet eller att koppla utförda aktiviteter till individen. Rekommendation Stockholm Vatten AB bör eftersträva att enbart personliga konton används för åtkomst till samtliga applikationer, databaser och servrar. I de undantagsfall detta inte är möjligt bör en rutin tas fram för att monitorera externa användares aktiviteter i systemet. För Agresso bör Stockholm Vatten AB överväga att använda sig av Start Stockholms rutin med SMS för alla ärenden som kräver programförändringar, även mindre ärenden. Page 26

Kulturhuset Stadsteatern AB Sektion 4 Kulturhuset Stadsteatern AB 2013 Iakttagelser Status 2014 Programförändringar testas inte i testmiljö innan produktionssättning. Bristande dokumentation av godkännande för mindre programförändringar i Klara. Bristande ansvarsfördelning och personberoende för programförändringar i Klara. Lösenord för användarkonton i Visma, Agda och Klara följer inte Stockholms Stads riktlinjer för informationssäkerhet. Rutiner för programförändringar och behörighetshantering är inaktuella och uppdateras inte regelbundet. Kulturhuset Stadsteatern AB har tagit fram en process och checklista för hantering av programförändringar. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Se ovan. Kulturhuset Stadsteatern AB har tagit beslut om att alla ändringar ska gå igenom samma process. Kulturhuset Stadsteatern AB har initierat ett projekt Klara 2.0 för att bygga bort brister i ansvarsfördelningen och personberoendet. Det är av vikt att detta projekt fullföljs enligt angiven tidsplan för att avhjälpa problematiken med personberoende och lämplig ansvarsfördelning. Kulturhuset Stadsteatern har uppdaterat lösenordsinställningarna för Visma, Agda och Klara med högre komplexitet och följer numera de riktlinjer som definierats inom Stockholm stad. Se dock nedan angående lösenord för biljettkassesystemet. Kulturhuset Stadsteatern AB har tagit fram en ny instruktion för förändringshantering av driftsmiljö och applikationssystemen (se ovan) samt hantering av behörigheter. Nya Iakttagelser 2014 Lösenord för användarkonton i biljettkasse systemet följer inte Stockholms Stads ritlinjer för informations säkerhet. Avsaknad av rutin för periodisk genomgång av användare. Page 27

Sektion 4 Kulturhuset Stadsteatern AB Lösenord för användarkonton i biljettkasse systemet följer inte Stockholms Stads riktlinjer för informations säkerhet Iakttagelse Under vår granskning 2014 noterades att Kulturhuset Stadteatern AB har knutit Agda, Visma och Klara till Volvo-IT och deras singel-sign-on-lösning. Dock har de inte genomfört denna förändring för samtliga användare vid kontrolltillfället och vi noterade att biljettkassemoduler i Klara endast har lägre inloggningskrav. Kulturhuset Stadsteatern AB har planerat för åtgärder i och med projektet Klara 2.0 för att kunna möta Stockholm Stads riktlinjer för informationssäkerhet. Risk Svaga krav på lösenord ökar risken för obehörig åtkomst till biljettkasse systemet. Rekommendation I projektplanen Klara 2.0 har Kulturhuset Stadsteatern AB planer på förhöjda lösenordskrav. Denna projektplan bör fullföljas för att kunna säkerställa att användarkonton i samtliga applikationer följer Stockholms Stads riktlinjer för informationssäkerhet. Page 28

Sektion 4 Kulturhuset Stadsteatern AB Avsaknad av rutin för periodisk genomgång av användare Iakttagelse Under vår granskning noterades att det inte finns en rutin för periodisk genomgång av användare. I dagsläget görs en genomgång av användare sporadiskt men det finns ingen formell ägare till denna kontroll. En kontroll genomförs också mot listor från Volvo-IT avseende användare som varit inaktiva under längre tid. Risk Avsaknad av en rutin kan leda till att det inte finns ett gemensamt arbetssätt för kontrollen och därmed kan viktiga steg utebli eller kringgås. Detta leder till ökad risk för att personer med felaktig behörighet förblir oupptäckta. Rekommendation Kulturhuset Stadsteatern AB bör säkerställa en rutin för periodisk genomgång av användare. Denna rutin bör dokumenteras samt regelbundet granskas och uppdateras vid behov. Denna rutin bör baseras på Stockholms Stads centrala riktlinjer. Page 29

Stockholm Business Region AB Sektion 4 Stockholm Business Region AB 2013 Iakttagelser Status 2014 Avsaknad av dokumenterade rutiner för tilldelning av nya behörigheter. Avsaknad av formaliserad rutin för periodisk granskning av tilldelade behörighetsnivåer i Visma. Stockholm Business region har utformat och dokumenterat nya rutiner för Visma Control 5,5, samt CRM systemen LIME och Aladdin. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Stockholm Business region har utformat en ny periodisk rutin där kontrollen utförs av den administrativa chefen. Avsaknad av dokumenterad rutin för programförändringsprocessen. Stockholm Business Region AB har beslutat att implementera Stockholms stads process för programförändringar (F-guide). Stockholm Business Region bör fortsätta arbetet med att implementera rutiner enligt stadens F-guide vid programförändringar, men de bör också utforma rutinen så att den passar verksamheten samt regelbundet granska och uppdatera rutinen vid behov. Page 30

S:t Erik Livförsäkring AB Sektion 4 S:t Erik Livförsäkring AB 2013 Iakttagelser Status 2014 Avsaknad av regelbundna återläsningstester S:t Erik Livförsäkring AB har utfört ett återläsningstest under 2014 utan anmärkning. Page 31

S:t Erik Försäkring AB Sektion 4 S:t Erik Försäkring AB 2013 Iakttagelser Status 2014 Avsaknad av regelbundna återläsningstester Iakttagelsen kvarstår. Page 32

Avsaknad av regelbundna återläsningstester Sektion 4 S:t Erik Försäkring AB Iakttagelse S:t Erik Försäkring AB tar regelbundet backuper av sina system. Vid vår granskning noterade vi att inga regelbundna återläsningstester genomförs på dessa, dessutom dokumenteras inte resultatet. Risk Avsaknad av regelbundna återläsningstester ökar risken för att kritiska system inte går att återställa vid en incident. Rekommendation I likhet med föregående år rekommenderar vi S:t Erik Försäkring AB att utifrån ett riskbaserat synsätt, överväga rutiner för att regelbundet säkerställa möjlighet att återläsa data och system, till exempel genom att genomföra återläsningstester, samt dokumentera resultatet av dessa. Page 33

Stockholm Parkering Sektion 4 Stockholm Parkering 2013 Iakttagelser Status 2014 Bristande dokumentation av rutiner för periodisk granskning av behörighetsnivåer. Stockholm parkering har utsett ansvarig för att utföra granskningen två gånger om året vilket är beskrivet i behörighetsdokumentet. Det är av vikt att den uppdaterade rutinen kommuniceras och införs. Page 34

Stockholms Stads Bostadsförmedling AB Sektion 4 Stockholms Stads Bostadsförmedling AB 2013 Iakttagelser Status 2014 Återläsningstester genomförs inte för servrar hos Volvo IT. Viktiga kontroller i programförändringsprocessen sker informellt och dokumenteras inte. Avsaknad av rutin för periodisk granskning av tilldelade behörighetsnivåer i Raindance. Lösenordsinställningar för användarkonton i Raindance följer inte Stockholms Stads riktlinjer för informationssäkerhet. Avsaknad av dokumenterad rutin för tilldelning av nya behörigheter. Stockholms Stads Bostadsförmedling AB har utfört ett återläsningstest av en server hos Volvo IT. Stockholms Stads Bostadsförmedling AB har dokumenterat samtliga kontroller i programförändringsprocessen. Vår genomgång visar att förändringsprocessen för både större releaser och enskilda mindre ändringar dokumenterats utförligt. Stockholm Stads Bostadsförmedling AB har tagit fram en ny rutin där ekonomichefen ansvarar för att utföra och dokumentera den periodiska granskningen av behörighetsnivåer i Raindance. Stockholms Stads Bostadsförmedling AB har granskat sina lösenordskrav och följer idag Stockholms Stads riktlinjer. Stockholms Stads Bostadsförmedling har tagit fram en ny rutin för hantering av behörigheter i samband med nyanställning och avslut med en detaljerad beskrivning för respektive system. Rutinen infattar dock inte fall där befintlig person byter roll inom företaget. Page 35

Sektion 4 Stockholms Stads Bostadsförmedling SISAB Avsaknad av spårbarhet när befintlig personal byter roll Iakttagelse Vid tilldelning av nya behörigheter krävs ett godkännande av ansvarig chef samt att en behörighetsadministratör effektuerar beställningen. I rutinen saknas dock riktlinjer för vad som gäller när personal byter roller inom bolaget som kräver förändrade behörigheter. Risk Bristande dokumentation av ändrade behörigheter ökar risken för obehörig åtkomst till applikationerna samt minskar spårbarheten. Rekommendation Stockholms Stads Bostadsförmedling AB bör komplettera sin befintliga process för tilldelning av borttag av behörigheter att även inkludera rutiner för förändring av behörigheter för befintliga anställda. Dessa rutiner bör bygga på Stockholms Stads centrala riktlinjer. Page 36

AB Stockholmshem Sektion 4 AB Stockholmshem 2013 Iakttagelser Status 2014 Återläsningstester genomförs inte för servrar hos Volvo IT. Bristande spårbarhet i de periodiska genomgångarna samt avsaknad av delaktighet från systemägare Avsaknad av rutin för regelbunden granskning av programförändringsprocessen AB Stockholmshem har utfört ett återläsningstest under 2014 utan anmärkning. AB Stockholmshem har en årlig process för genomgång av samtliga konton vilken utförs, dokumenteras och signeras av ekonomichefen. AB Stockholmshem har tagit fram en ny rutin där ITchefen och systemägaren årligen verifierar att processen för programförändringar är funktionell. Page 37

Granskningsdetaljer Sektion 4 Page 38

Utvärderingskriterier i detalj Sektion 4 Granskningsdetaljer Följande kontrollmål och områden är fokus i granskningen: Programförändringar: 1: Att programförändringar är godkända för utveckling 2: Att programförändringar är testade 3: Att programförändringar är godkända för införande i produktionsmiljön 4: Att programförändringar övervakas 5: Att det existerar ändamålsenlig ansvarsfördelning inom programförändringsprocessen Åtkomst: 1: Att systemkonfiguration är lämplig 2: Att lösenordsinställningar är lämpliga 3: Att höga behörigheter är begränsat till lämpligt antal användare 4: Att behörigheter till resurser som applikationen använder (databaser, operativsystem) är begränsat till lämpligt antal användare 5: Att behörigheter är godkända vid både: a. Upplägg av nya behörigheter b. Regelbunden granskning av behörigheter 6: Att fysisk säkerhet är begränsat till lämpligt antal individer 7: Att behörighetsprocessen övervakas 8: Att det existerar ändamålsenlig ansvarsfördelning inom behörighetsprocessen Stockholms stads riktlinjer för informationssäkerhet Under vårt möte kommer vi även diskutera roller och ansvar kopplade till kontrollmålen ovan. Vi vill vidare mera allmänt avseende stadens riktlinjer för informationssäkerhet, täcka frågor kopplade till organisation för arbetet med informationssäkerhet, implementering av rutiner, informationsklassning samt riskanalys av de kritiska systemen. Page 39

Omfattade bolag och kontaktpersoner Sektion 4 Appendix Bolag Stockholms Hamn AB MICASA AB SISAB Stockholms Stadshus AB Stockholm Vatten AB Kulturhuset / Stadsteatern AB Stockholm Business Region AB St. Eriks Livförsäkring AB St. Eriks Försäkring AB Stockholm Parkering AB Stockholms Stads Bostads-förmedling AB AB Stockholms-hem Kontaktperson Björn Hellerström, IT Anette Silfver Danielsson & Kristian Arenander, IT Joakim Ekman, IT Sara Feinberg Lars Storm, IT Åke Wetterblad, IT & Malin Dahlberg, EA Lena Häggdahl, EA + IT Jan Willgård Jan Willgård Ronny Hedman, IT & Boris Amsköld, EA David Mancilla, IT Allan Hansson, IT Page 40

Tack! Page 41

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss