Granskning av risken för driftstopp i landstingets informationssystem

Revisionsrapport Granskning av risken för driftstopp i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Magnus Olson-Sjölander Jens Ryning Mars 2014

Innehållsförteckning Sammanfattning 2 1 Inledning 4 1.1 Bakgrund motiv för granskning 4 1.2 Uppdrag och revisionsfråga 5 1.3 Genomförande, avgränsningar och metod 6 1.3.1 Genomförande 6 1.3.2 Avgränsningar 6 1.3.3 Metod 7 1.4 Läsanvisning 7 2 Iakttagelser och bedömningar 8 2.1 Driftstopp inom LUL 8 2.1.1 Iakttagelser och bedömningar 8 2.1.2 Rekommendationer 9 2.2 Uppföljning av driftstopp inom LUL 9 2.2.1 Iakttagelser och bedömningar 9 2.2.2 Rekommendationer 10 2.3 Förändringshantering inom LUL 11 2.3.1 Iakttagelser och bedömningar 11 2.3.2 Rekommendationer 12 2.4 Dokumentation avseende IT-miljön 12 2.4.1 Iakttagelser och bedömningar 12 2.4.2 Rekommendationer 13 2.5 Beredskap vid driftstörningar 13 2.5.1 Iakttagelser och bedömningar 13 2.5.2 Rekommendationer 14 2.6 Intern styrning och kontroll av IT 15 2.6.1 Iakttagelser och bedömningar 15 2.6.2 Rekommendationer 16 3 Besvarande av den övergripande revisionsfrågan 17 Landstinget i Uppsala län 1 av 18

Sammanfattning har av revisorerna i Landstinget i Uppsala län (LUL) fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen har för avsikt att utreda om landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och ITdriftsystem. har gjort följande bedömning av den övergripande revisonsfrågan, Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Landstinget har till stora delar vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. En av de främsta anledningarna till detta är att stora delar av IT-miljön är redundant och att det finns övervakningsverktyg för att snabbt upptäcka eventuella fel eller brister i systemen. Utöver detta finns det inom den centrala IT-funktionen en etablerad förändrings-process implementerad, vilket innebär att förändringar testas innan produktions-sättning och därmed minskas risken för driftstopp. Orsaken till detta menar vi är att det, enligt intervjuade personer, sällan förekommit några driftstopp som påverkat slutanvändare av IT i landstinget de senaste åren. Värt att nämna är dock att det inte finns någon definition av vad ett driftstopp är och att det inte sker någon formell eller systematisk sammanställning av driftstopp inom landstinget. En katastrofplan för IT saknas, vilket, i händelse av en större driftincident, kan få en stor påverkan på tillgängligheten. Vår bedömning är att risken för oplanerade driftstopp inom Uppsala Länstrafik är högre än inom övrig verksamhet. Uppsala Länstrafik är till stor del en egen enhet gällande IT-infrastruktur och har därmed inte haft möjlighet att dra nytta av de processer och rutiner som finns inom landstingets övriga verksamhet. Det saknas bland annat en formell förändringsprocess och inga systematiska uppföljningar eller utvärderingar av driftstopp genomförs. Ett arbete med att migrera system till Landstingets IT-funktion är dock initierat. Avseende intern styrning och kontroll av IT inom landstinget kan det konstateras att styrningen över IT kan förbättras. Det lyfts bland annat fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Vidare är IT-funktionen till stora delar decentraliserad till ett flertal fristående parter där Ledningskontoret ofta saknar mandat att styra i IT-frågor. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur vilket resulterar i utmaningar med att följa upp och analysera supportärenden för att Landstinget i Uppsala län 2 av 18

proaktivt kunna samordna och införa förbättringsåtgärder, vilka kan förbättra ITstödet och IT-leveransen samt i en förlängning förhindra oplanerade driftstopp. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de områden som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 3 av 18

1 Inledning 1.1 Bakgrund motiv för granskning Många organisationer är idag beroende av informationsteknologi (IT) för att bedriva sin verksamhet. Ett oplanerat avbrott kan få allvarliga konsekvenser, både för den enskilde och för samhället. Oplanerade driftstopp i vitala system har skapat problem inom landsting. Liknande problem har förekommit i både offentliga och privata informationssystem. Det finns ett antal kända orsaker till oplanerade driftstopp, exempelvis att det brister i den aktuella applikationens arkitektur och i dokumentationen av arkitekturen och programstrukturen, bristfälligt utformade och otillräckligt testade uppdateringar av applikationens programvara, otillräcklig kapacitet hos de servrar som applikationen nyttjar samt bristfällig eller otillräcklig beredskap för att snabbt kunna återstarta applikationen efter ett hårdvarufel. LUL:s flora av informationssystem består av en heterogen samling av applikationer. Allmänhetens intresse riktas oftast mot de stödsystem som vårdpersonalen använder, i synnerhet journalsystem. Ur ett säkerhetsperspektiv är det emellertid även viktigt att uppmärksamma de administrativa stödsystemen för t ex ekonomi och personalhantering. Precis som andra verksamhetstillgångar är information och data tillgångar som bör skyddas. Informationssäkerhet omfattar förutom de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs, även de åtgärder som vidtas för att säkerställa att informationen är tillgänglig när den behövs. Ett driftstopp kan resultera i att ett system, program eller enskild applikation inte är tillgänglig och fungerar när användaren behöver den. Ett oplanerat driftstopp resulterar oftast även i andra följdproblem internt och externt samt medför ökade finansiella merkostnader för verksamheten. Landstinget i Uppsala län 4 av 18

1.2 Uppdrag och revisionsfråga har av revisorerna i Landstinget i Uppsala län fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen syftar till att analysera hur landstinget säkerställer att dess informationssystem är utformat på ett sådant sätt att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Den övergripande revisionsfrågan som granskningen syftar till att besvara är: Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Inom ramen för den ovanstående revisionsfrågan har sex nedbrutna delfrågor definierats, dessa är: 1. I vilken utsträckning har det förekommit oplanerade driftstopp under de senaste åren? 2. Sker systematisk uppföljning och utvärdering vid planerade och oplanerade driftstopp? 3. Finns det tillfredsställande rutiner inför uppdateringar och en beredskap för att återgå till tidigare version vid en misslyckad uppdatering? 4. Finns det ett tydligt ansvar för dokumentation av arkitektur och programstruktur samt en långsiktig planering som säkerställer att det finns en tillräcklig serverkapacitet? 5. Finns det beredskap inför hårdvarufel och överbelastningsattacker? 6. Finns det en integrerad process för intern styrning och kontroll med mål och årliga riskanalyser? Landstinget i Uppsala län 5 av 18

1.3 Genomförande, avgränsningar och metod 1.3.1 Genomförande Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har för avsikt att säkerställa att landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Granskningen har, i och med de intervjuade personernas olika roller, täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och IT-driftsystem. Följande roller har intervjuats: Informationssäkerhetsansvarig på Ledningskontoret Kvalitetssamordnare MSI Förvaltningsledare samt Objektägare för EPJ IT-direktör i Landstinget i Uppsala län Chef för Teknikstöd IT Förvaltningsledare för Webbkommunikation Chef för Nät och server Förvaltningsledare IT för systemplattformen Domino IT-chef inom Uppsala Länstrafik 1.3.2 Avgränsningar Granskningens omfattning begränsas till de revisionsfrågor som definierats av Landstinget i Uppsala län, se sektion 1.2 Uppdrag och revisionsfråga. Vidare har granskningen endast utgått från (och kan således inte analysera) annan information än vad Landstinget i Uppsala län tillgängliggjort för oss genom intervjuer och tillhandahållen dokumentation. Landstinget i Uppsala län 6 av 18

1.3.3 Metod Under granskningen har delar av :s verktyg IT Management Analysis (ITM) använts. Verktyget bygger på en databas som innehåller jämförbar (så kallad good practice och benchmarking ) samt relevant information för generell ITverksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Även relevanta delar av Riktlinjer för styrning av informationssäkerhet (ISO/IEC 27002:2005) och ramverket COBIT har utgjort en grund i bearbetningen av insamlat material. Nedan följer en mer detaljerad beskrivning av respektive område: Område A IT-strategi B IT-leverans C Teknologi D Personal E System och applikation Beskrivning Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Hur är strategin kopplad till en stabil och säker IT-drift? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans samt ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur mäts stabiliteten i IT-driften och vilka krav ställer verksamheten? Följs trender inom teknologi? Är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Finns tekniska förutsättningar för en stabil IT-drift? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Finns adekvat kompetens avseende IT-drift? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva? Ger de tillräckliga beslutsunderlag och identifierar om ytterligare behov finns? Hur monitoreras applikationer i relation till en stabil IT-drift? 1.4 Läsanvisning Rapporten inleds med iakttagelser från de detaljfrågor som hör till granskningen. Iakttagelserna följs av våra rekommendationer för respektive detaljfråga och relaterade revisionskriterier. Avslutningsvis ges en samlad bild av våra rekommendationer för den övergripande revisionsfrågan. Landstinget i Uppsala län 7 av 18

2 Iakttagelser och bedömningar Nedan ges en nulägesbild av de sex underliggande frågorna till den övergripande revisionsfrågan huruvida landstinget har vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. Respektive nulägesbild följs av vår bedömning av landstingets nuvarande situation inom respektive område. 2.1 Driftstopp inom LUL Avsnittet syftar till att bedöma förekomsten av oplanerade driftstopp inom LUL. 2.1.1 Iakttagelser och bedömningar Det har vid våra intervjuer framkommit att det inom landstinget i princip inte har skett några driftstopp under de senaste åren. Det senaste större driftstoppet inträffade 2011 vid en planerad versionsuppdatering av patientjournalsystemet. Det noterades under granskningen att det byggts upp redundans på många av landstingets system, vilket är en trolig förklaring till att så få driftstopp skett. Verksamhetens krav att upprätthålla drift av det elektroniska patientjournalsystemet (EPJ) utanför kontorstid ligger som grund för den redundanta miljön. Enligt uppgift finns idag system som är redundanta, utan att någon riskbedömning föranletts. Det har även framkommit att det finns system som bör få en högre tillgänglighet, exempelvis intranätet NAVET. Intranätet är uttalat den kommunikationskanal som ska användas vid driftavbrott men enligt uppgift är systemet inte redundant. Detta innebär att det vid driftavbrott finns en risk för att det inte går att nå ut med information till verksamheten. Inom ramen för granskningen skulle en kartläggning av förekomsten av oplanerade driftstopp inom landstinget genomföras. Denna kartläggning har inte varit möjlig att genomföra då det ej sker någon formell eller systematisk sammanställning av planerade eller oplanerade driftstopp inom landstinget. Värt att notera är att denna typ av sammanställning aldrig efterfrågats från verksamheten eller Ledningskontoret (LK). Vi har även noterat att det saknas en definition av vad som är ett driftstopp. Definitionen av ett driftstopp saknas på det strategiska övergripande planet inom LK och inom IT-driftavdelningen (MSI), Bedömningar Vår bedömning är att det inte alltid föreligger något uttalat verksamhetskrav eller genomförda riskanalyser för den systemredundans som finns idag, vilket kan innebära att kostnad inte står i paritet med behov eller att system som bör vara redundant, inte är det. Vidare saknas det en definition av vad ett driftstopp är vilket kan innebära att begreppet inte har samma innebörd för MSI som för de olika verksamheterna inom LUL. I och med att det upplevs att få driftavbrott som påverkat verksamheten har skett, bedömer vi att det finns en stor sannolikhet att framtagna verksamhetsrutiner för oplanerade driftavbrott inte är kända för landstingets medarbetare och därmed blir ineffektiva. Landstinget i Uppsala län 8 av 18

2.1.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, se över i vilken utsträckning den redundans man byggt upp är relevant för alla delar i verksamheten för att utvärdera om kostnaderna för redundansen är berättigade, löpande säkerställa att manuella reservrutiner vid driftavbrott fungerar, inom IT-organisationen och inom landstingets verksamhet. 2.2 Uppföljning av driftstopp inom LUL Avsnittet syftar till att bedöma huruvida uppföljning och utvärdering sker vid planerade och oplanerade driftstopp. 2.2.1 Iakttagelser och bedömningar MSI har en väl utvecklad förändringsprocess som bygger på ramverket Ledningssystem för IT-tjänster (ISO/IEC 20000). Förändringsprocessen är väl implementerad och används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt innan produktionssättning sker i landstingets IT-miljö. Bild 1, process för utvärdering av förändringsärende Det har vid våra intervjuer framkommit att löpande uppföljning och utvärdering av driftstopp inom MSI inte sker på ett systematiskt sätt. Dock är uppföljning och Landstinget i Uppsala län 9 av 18

utvärdering av testade förändringar en del i MSI:s dokumenterade förändringsprocess, vilket minskar risken för driftstopp inom LUL. Vidare har det framkommit att det saknas en definition av vad ett driftstopp är inom Landstinget. Även överenskommelser mellan MSI LK och MSI verksamhet/objekt saknar nyckeltal för att kunna göra relevanta uppföljningar, t ex mätningar av tillgänglighetstider och prestanda. Inom MSI pågår ett arbete med att ta fram ett tydligare tjänsteutbud, via en så kallad tjänstekatalog, vilket vi bedömer som positivt. En bra modell är att i tjänstekatalogen definiera nyckeltal och/eller andra relevanta mätetal för att skapa gynnsammare förutsättning för uppföljning och underlätta utvärdering av arbete som utförts av MSI. Uppsala Länstrafik (UL) är sedan 1 januari 2012 en del av LUL, dock är de till stor del fortfarande en egen enhet gällande IT-infrastruktur. UL saknar en formell förändringsprocess och genomför inga systematiska uppföljningar eller utvärderingar av driftstopp. Viss IT-infrastruktur är migrerad till MSI och denna följer de processer som MSI har implementerat. Det osystematiska arbetssättet rörande brister i formella förändringsprocesser ökar risken för oplanerade driftstopp inom den IT-miljö som fortfarande står under UL:s driftansvar. Det hålls årliga kunddialoger mellan MSI och deras kunder, som bygger på att den årliga leveransen summeras på en övergripande nivå. Dock hålls sällan regelbundna (månatliga) leveransavstämningar mellan MSI och deras kunder, vilket kan förväntas av en modern driftsleverantör. Det noteras dock att inga direkta krav på MSI finns att leverera statistik avseende leveransen, varken från LK eller från verksamheten. Bedömningar Vår bedömning är att en tydligt definierad tjänstekatalog är en förutsättning för en ändamålsenlig leverans av IT. Likaså är en framgångsfaktor för ett bra samarbete att regelbundet genomföra leveransavstämningar mellan en driftorganisation och dess kunder. 2.2.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: regelbundet efterfråga leveransstatistik, exempelvis genom att upprätta mer frekventa och formaliserade avstämningsmöten med MSI för säkerställa att levereransen sker enligt gällande överenskommelse, på ett mer systematiskt sätt följa upp och utvärdera incidenter genom att ställa tydligare krav på MSI, utarbeta en plan för hur en formell förändringsprocess kan implementeras hos UL för att kunna göra systematisk uppföljning eller utvärdering av driftstopp. Landstinget i Uppsala län 10 av 18

2.3 Förändringshantering inom LUL Avsnittet syftar till att bedöma om rutiner samt tekniska förutsättningar finns för att återgå till tidigare version vid en misslyckad uppdatering. 2.3.1 Iakttagelser och bedömningar En förändringsprocess finns implementerad inom MSI som bygger på ramverket ISO/IEC 20000. LK har även under 2013 beslutat att ramverket ska implementeras för alla delar som jobbar med IT-relaterade processer inom landstinget. Förändringsprocessen används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt i landstingets IT-miljö innan produktionssättning sker. Uppföljning och utvärdering av testade förändringar är en del i MSI:s dokumenterade förändringsprocess. Bild 2, förändringsprocess Det framkom under intervjuerna att problem fångas upp redan i testprocessen, vilket innebär att driftsättning av problem sällan förekommer. I de fall det är tekniskt möjligt går det att återgå till tidigare versioner vid en eventuell misslyckad uppdatering. För landstingets patientjournalsystem står dock denna möjlighet i direkt relation till när användare släpps in i systemet efter en uppgradring, då det ej går att återgå till tidigare versioner om patientdata har registrerats i den uppdaterade versionen. Landstinget i Uppsala län 11 av 18

UL:s relativt nya inträde i LUL:s organisation gör att vissa delar av driften ligger kvar i deras gamla miljö och driftas av dotterbolaget Prebus AB. De miljöer som tillkommit sedan inträdet i LUL:s organisation driftas av MSI och innefattas således av MSI:s förändringsprocess. Den långsiktiga strategin inom UL är att migrera all IT-drift till MSI. Bedömningar Vår bedömning är att det, för de system som hanteras av MSI, finns tillfredsställande rutiner för uppdateringar samt möjlighet att återgå till tidigare version vid en misslyckad uppdatering. Vi bedömer att avsaknaden av en formell process för förändringshantering riskerar att påverka driftstabiliteten i UL:s äldre kvarvarande IT-miljö. 2.3.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en strategi och plan för hur och vilka processer som ska implementeras i UL:s verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med LK och MSI för att säkerställa att den går i linje med landstingets långsiktiga planer, fortsätta arbetet med införandet av ramverket ISO/IEC 20000 inom hela organisationen och fortsätta att utveckla och implementera kvarvarande delar av ramverket. 2.4 Dokumentation avseende IT-miljön Avsnittet syftar till att bedöma den övergripande ansvarsfördelningen avseende dokumentation av arkitektur samt hur landstinget säkerställer tillräcklig serverkapacitet. 2.4.1 Iakttagelser och bedömningar Det finns otydligheter gällande ansvaret för hur dokumentation ska ske inom landstinget. Under våra intervjuer framgick det att verksamheten förutsätter att dokumentationsansvaret för den tekniska infrastrukturen helt ligger på MSI. Vid dialogen med MSI framkom att deras kunder förväntas ansvara för dokumentation av system, integrationer och annan verksamhetsnära dokumentation. Vi kan konstatera att det saknas tydliga definitioner för var gränsdragningen för dokumentation går samt hur och när den ska utföras. Enligt uppgift saknar UL adekvat dokumentation avseende sin IT-miljö inom ett flertal områden. Vidare saknas det dokumentationsmallar för att kvalitetssäkra och standardisera dokumentationen inom organisationen. MSI ansvarar för den långsiktiga kapacitetsplaneringen, vilken ska säkerställa att IT-infrastrukturen är på en adekvat nivå utifrån verksamhetens behov, för de Landstinget i Uppsala län 12 av 18

system MSI ansvarar för. Kapacitetsplaneringen utgår från den överenskommelse som tecknats med respektive objekt. För att säkerställa en hög tillgänglighet till systemen har MSI, genom automatiserade verktyg, daglig övervakning på sin ITmiljö för att på så sätt upptäcka fel och brister i både hårdvara, system och applikationer. Supportavtal såväl som utbytesperioder för infrastrukturen inom landstinget hanteras av MSI. Den generella uppfattningen bland de intervjuade personerna från verksamheten är att de inte upplever några kapacitetsproblem, varken vad gäller lagring eller drift, vilket vi bedömer som positivt. Bedömningar Vår övergripande bedömning är att det otydliga dokumentationsansvaret inom LUL generellt samt UL:s brister inom området resulterar i att LUL:s dokumentation kan vara bristfällig. 2.4.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: tydliggöra dokumentationsansvaret mellan MSI och dess kunder, där det anses vara relevant, upprätta dokumentationsmallar för att effektivisera, standardisera och kvalitetssäkra dokumentationen, inom UL genomföra en riskanalys avseende dokumentationsbehovet i sin verksamhet. Riskanalysen bör resultera i en handlingsplan där det framgår vilka system som prioriteras högst och därmed kräver utförlig dokumentation. 2.5 Beredskap vid driftstörningar Avsnittet syftar till att bedöma landstingets beredskap vid hårdvarufel och/eller om överbelastningsattacker skulle inträffa. 2.5.1 Iakttagelser och bedömningar Landstingets IT-driftmiljö, som hanteras av MSI, är till stora delar redundant och ett övervakningsverktyg för att upptäcka oplanerade avbrott eller om andra driftstörningar finns implementerat. Detta bedömer vi fungera tillfredsställande. Under våra intervjuer framkom vidare att det idag saknas både kontinuitets- och katastrofplan för IT inom landstinget. LUL har inte heller genomfört någon prioritering avseende vilka IT-system som är mest kritiska för verksamheten, vilket är en förutsättning för att kunna ta fram en kontinuitetsplan baserad på verksamhetens behov. En förmildrande omständighet i sammanhanget är, som tidigare nämnts, att stora delar av miljön idag är redundant. Som ett alternativ till en IT-kontinuitetsplan nyttjas den landstingsgemensamma funktionen Tjänsteman i beredskap inom landstinget. Denna lösning anses av intervjuade personer hantera situationer som kan ha viss, eller stor, inverkan på IT-driften inom LUL. Gällande återställningsplaner för IT-drift, finns det ingen dokumenterad plan för detta framtagen. För återställning av den centrala IT-infrastrukturen finns ingen Landstinget i Uppsala län 13 av 18

formell plan utan kunskapen finns hos respektive systemansvarig på MSI. Värt att notera är att systemdokumentationen endast finns lagrad elektroniskt. Vid ett eventuellt hårdvaruhaveri skulle detta kunna innebära att dokumentationen avseende systemen ej är tillgänglig och därmed minskar sannolikheten för att kunna återskapa systemmiljön. LUL genomför inga regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Enligt flertalet av de intervjuade framkommer det att landstinget har kontroller på plats för att säkerställa att det finns ett fungerande antivirusskydd och brandväggsskydd, vilket vi bedömer vara positivt. Genom intervjuerna framkommer det att den allmänna uppfattningen från verksamheten är att MSI levererar sina tjänster på en tillfredsställande nivå. Inom UL finns en nystartad beredskapsfunktion som har till uppgift att lösa ITrelaterade problem utanför ordinarie arbetstider. UL har en reaktiv driftsorganisation då UL, för de system de driftar själva, saknar ett övervakningssystem. Detta innebär att inga larm aktiveras vid oplanerade driftavbrott vilket t ex kan resultera i att felsökning tar längre tid än nödvändigt. UL:s externa webbplats driftas av en extern leverantör som därmed sköter övervakning och hanterar eventuella driftstopp. Vi kan konstatera att UL har flertalet brister avseende beredskap för driftstopp. Vid vår intervju framkom det att många av bristerna är relaterade till arv från tidigare bristande IT-styrning. Vid våra intervjuer framgår det att ovanstående brister inom UL är kända och att det finns en plan för hur dessa ska hanteras på ett ändamålsenligt sätt, planen är dock inte formellt dokumenterad och kommunicerad. Bedömningar Vår bedömning är att avsaknaden av en formell kontinuitetsplan för IT samt att det saknas dokumenterade återställningsplaner ökar risken för att allvarliga incidenter i IT-miljön tar längre tid än nödvändigt att återställa. Vidare kan uteblivna regelbundna sårbarhetsanalyser komma att påverka driftstabiliteten på ett negativt sätt då potentiella säkerhetsbrister förbises. 2.5.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en formell kontinuitets- och katastrofplan, baserad på riskanalyser genomförda i verksamheten, för IT inom landstinget, säkerställa att systemdokumentation för den centrala IT-infrastrukturen finns att tillgå, exempelvis på ett USB-minne som förvaras på ett säkert sätt, vid en katastrofsituation. Detta bör ingå som en del i avbrottsplanen för IT, genomföra regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Genom att Landstinget i Uppsala län 14 av 18

regelbundet analysera IT-miljön förbättras driftstabiliteten då potentiella säkerhetsbrister identifieras och därmed enklare kan åtgärdas, säkerställa att en formell plan för hur UL:s IT-miljö ska hanteras i framtiden tas fram. Planen bör baseras på en av verksamheten genomförd riskanalys för sina system. 2.6 Intern styrning och kontroll av IT Avsnittet syftar till att bedöma den övergripande styrningen med fokus på styrande dokument och ansvar inom IT. 2.6.1 Iakttagelser och bedömningar LUL arbetar enligt förvaltningsmodellen PM 31 och förvaltningsplanerna revideras årligen för respektive förvaltningsobjekt. Den centrala IT-organisationens, MSI och LK:s verksamhetsplaner baseras på förvaltningsobjektens förvaltningsplaner. Vidare har det under 2013 genomförts IT-riskanalyser med utgångspunkt från landstingets ramverk för egenkontroll. Syftet med riskanalyserna är att identifiera och sammanställa IT-risker som är landstingsgemensamma och att ta fram en åtgärdsplan för hantering av dessa risker. Informationssäkerhetsanvarig på LK är ansvarig för att sammanställa en landstingsgemensam riskkarta. IT-funktionen är till stora delar decentraliserad till ett flertal fristående parter. Därtill ansvarar verksamheten bland annat för IT-inköp och första- och andralinjesupport för IT-frågor. MSI, som en av de större parterna, arbetar som en egen enhet och tillhör organisatoriskt Akademiska Sjukhuset. Den nuvarande organisationsstrukturen medför att LK inte har mandat att strategiskt styra arbetet hos MSI på ett sätt som är effektivt för landstinget. En historisk uppfattning har varit att LK:s möjlighet att påverka IT, framförallt inom MSI, varit svag. Det lyfts även fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Styrningen över IT och MSI upplevs också kunna förbättras, även om det tas upp att styrningen från LK förbättrats och blivit tydligare de senaste åren. För att hantera frågor på en strategisk nivå finns etablerade mötesforum, både med LK och med MSI. Dock upplevs det som om dessa inte fungerar på ett tillfredsställande sätt. Ett exempel som tas upp är att en styrgrupp för övergripande prioritering och beredning av IT-frågor som berör hela landstinget saknas. Det har under intervjuer med förvaltare, representanter från IT och från de berörda PM 3 -objekten framkommit att en otydlighet upplevs avseende roller och ansvar mellan objekten, LK och MSI. Otydligheten leder till oklarheter kring var beslut om t ex prioriteringar hör hemma. En problembild som togs upp under vissa av intervjuerna var att det inom strukturen för PM 3 saknas en liknande styrgrupp, som 1 PM 3 är en förvaltningsmodell som beskriver hur systemförvaltning ska organiseras för att kunna bedrivas på ett affärsmässigt sätt. Landstinget i Uppsala län 15 av 18

beskrivs ovan, för att skapa en paraplyorganisation som har till uppgift att prioritera strategiskt övergripande frågor för PM 3 -objekten. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur. Supportorganisationen är uppbyggd genom att första- och andralinjens support är förlagda i verksamheten, utan någon direkt gemensam styrning. Tredje linjens support är förlagd till MSI. Det saknas även ett landstingsgemensamt ärendehanteringssystem, vilket resulterar i att samordningen av supportärenden och framförallt uppföljning av dessa, brister. Samtliga dessa faktorer har bidragit till att vi ej kunnat ta del av någon sammanställning av oplanerade driftavbrott. Att inte kunna följa upp och analysera supportärenden inom landstinget minskar möjligheten till att proaktivt kunna samordna och införa förbättringsåtgärder som kan förbättra IT-stödet och IT-leveransen inom LUL. MSI:s leverans styrs dels av sina överenskommelser med respektive kund, dels av förvaltningsplanerna i PM3. Dessa dokument stäms dock inte systematiskt av med varandra, vilket i praktiken innebär att MSI:s leverans, inte samordnas. Bedömningar Avsaknaden av en gemensam målbild för hela IT-funktionen inom LUL och bristande samverkansformer påverkar leveransen till landstingets användare av IT. Vidare bedömer vi att det finns klara förbättringsmöjligheter och tydliga synergieffekter av att se över samverkansformer på övergripande nivå, både mellan IT och LK men även mellan PM 3 -objekten för att förbättra leveransen till landstingets användare av IT. 2.6.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: se över styrmodellen för IT för att därmed kunna uppnå en högre verksamhetsnytta av resurser investerade i IT inom landstinget. Styrmodellen bör inkludera t ex en gemensam målbild och strategi för IT inom hela landstinget, utreda möjligheten att införa ett gemensamt ärendehanteringssystem inom landstinget i syfte att på ett systematiskt och standardiserat sätt samla in ärenden relaterade till incidenter, driftstörningar samt ärenden som på ett eller annat sätt påverkar slutanvändare och/eller infrastruktur i syfte att förbättra slutanvändarupplevelsen inom landstinget, utreda behovet av att öka antalet avstämningsmöten mellan MSI och kund för att säkerställa att leveransöverenskommelser uppfylls samt därigenom förbättra dialogen, säkerställa att framtagna överenskommelser, eller kommande tjänstekatalog, går i linje med de förvaltningsplaner som tagits fram inom ramen för PM 3. Landstinget i Uppsala län 16 av 18

3 Besvarande av den övergripande revisionsfrågan Det är vår uppfattning, efter genomförda intervjuer och genomgång av relevant dokumentation, att de åtgärder som vidtagits inom landstinget anses vara av sådan karaktär att de till stora delar kan ses som ändamålsenliga för att minska risken för oplanerade driftstopp. Detta med anledning av nedanstående faktorer; den redundans på IT-system man byggt upp under årens lopp, det finns en väl implementerad förändringsprocess med en hög nivå av efterlevnad, den beredskap landstinget byggt upp genom rutinen Tjänsteman i beredskap, de övervakningsverktyg, antivirus samt brandväggar som finns på plats, samt att det ej inträffat några oplanerade driftstopp inom landstingets IT-miljö de senaste åren. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar för att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 17 av 18

2014-03-07 Magnus Olson-Sjölander Projektledare Anders Haglund Partner Landstinget i Uppsala län 18 av 18