IT-säkerhet Internt intrångstest



Relevanta dokument
IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Granskning av IT-säkerhet - svar

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Håbo kommuns förtroendevalda revisorer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Cyber security Intrångsgranskning. Danderyds kommun

Styrning av behörigheter

Granskning av räddningstjänstens ITverksamhet

Granskning av intern kontroll i kommunens huvudboksprocess

Internkontrollplan

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Anläggningsredovisning

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Strategi Program Plan Policy» Riktlinjer Regler

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy för Ånge kommun

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Granskning av intern IT - säkerhet. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

IT- och informationssäkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Väsentlighets- och riskanalys samt internkontrollplan 2019 för kommunstyrelsen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Informationssäkerhetspolicy IT (0:0:0)

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Metod för klassning av IT-system och E-tjänster

Stadsledningskontorets system för intern kontroll

Jämtlands Gymnasieförbund

Informationssäkerhet - en översikt. Louise Yngström, DSV

Policy för personuppgiftsbehandling

Uppföljningsrapport IT-revision 2013

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Förstudie: Övergripande granskning av ITdriften

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Intern kontroll och riskbedömningar. Strömsunds kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

LANDSTINGETS REVISORER Norrbottens läns landsting. Revisionsstrategi. Fastställd

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport "Förstudie av kommunens ITorganisation"

Granskning av förlorad arbetsinkomst avseende politiker

Revisionsrapport mottagninsenheten. mot orosanmälningar

Dnr Rev Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Vem tar ansvar för Sveriges informationssäkerhet?

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Gnesta kommun. GNESTA KOMMUN Revisorerna. Till Kommunfullmäktige i Gnesta kommun Org.nr

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Skolorna visar brister i att hantera personuppgifter

Administrativ säkerhet

Revisionsrapport Rutiner för arkivering. Östersunds Kommun

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Revisionsrapport. Kontantkassor. Gällivare kommun. Februari Hans Forsström, certifierad kommunal revisor

Temagranskning Patientsäkerhet - sammanfattande rapport. Region Västmanland

Granskning av hur väl stödet av ekonomitjänster fungerar

Revisionsrapport. Granskning av delårsrapport. Håkan Olsson Certifierad kommunal revisor Samuel Meytap. Vänersborgs kommun. oktober 2oi7.

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Juridik och informationssäkerhet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kundfordringar en uppföljande granskning

Riskanalys och informationssäkerhet 7,5 hp

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö

Intern kontroll och attester

Informations- och IT-säkerhet i kommunal verksamhet

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Övergripande granskning av IT-driften - förstudie

Intrångstester SIG Security, 28 oktober 2014

Hantering av IT-risker

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Policy för informationssäkerhet

Sjunet standardregelverk för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Riktlinjer för informationssäkerhet

Idrottsnämndens system för internkontroll

Uppföljning avseende granskning av attestrutiner

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING

Informationssäkerhetspolicy

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Plan för internkontroll med väsentlighets- och riskanalys 2017 för

Transkript:

Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015

Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt... 4 Omfattning och mål... 4 Metodik... 4 Avgränsningar... 4 Resultat... 5 Sammanfattande bedömning... 6 2(6)

Inledning Bakgrund Kommunen blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade inom kommunen samt med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den ska finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Enligt säkerhetsexperter inom IT-området är det idag fullt möjligt, och även vanligt, att göra intrång i olika organisationers nätverk. Dessa intrång kan i värsta fall medföra stor skada för såväl kommunen som enskilda individer. Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens interna nätverk genom tekniska tester. För att uppnå granskningens syfte kommer följande kontrollmål att vara styrande för granskningen: Är kommunens nuvarande IT-säkerhet tillräcklig för att minimera risker för obehörigt intrång av intern aktör? Uppfyller kommunen kraven för vad som anses som god praxis gällande teknisk IT-säkerhet? Väsentlighets- och riskanalys Om kommunen inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera ITsäkerheten finns risk för att känslig information, t ex personuppgifter, kan läcka ut till obehöriga. Utöver detta finns det även risk för att det uppstår fel i kritiska processer p g a att information är felaktig eller inte finns tillgänglig. Sammantaget kan detta leda till att kommunens trovärdighet ifrågasätts, såväl som till ekonomiska förluster och förlorat anseende. Genom granskning av säkerhet avseende teknik, identifieras eventuella riskområden där skydd av kommunens information saknas. 3(6)

Resultat Mot bakgrund av tekniska detaljer i rapporten har resultatet sammanfattats i en bilaga. PwC rekommenderar att bilagan sekretessbeläggs med stöd av sekretesslagen 2009:400 kapitel 18 paragraf 8. 5(6)

Sammanfattande bedömning Vår sammanfattande bedömning är att kommunen inte uppnår en tillräcklig IT-säkerhet för att minimera risker för obehörigt intrång av en intern aktör. Resultatet av det interna intrångstestet visar tydligt vad effekterna av de identifierade bristerna i processer kring IT-säkerhet medför. Genom bristande rutiner kring säkerhetskonfiguration, behörighetskontroll och övervakning når kommunens interna nätverk inte upp till en adekvat IT-säkerhetsnivå avseende skydd mot obehörigt intrång. Positivt är att kommunhuset, för de externa konferensrummen, hade en hög nivå av skalskydd vilket minskar möjligheten för en extern angripare att nå kommunens interna IT-system. PwC rekommenderar kommunen att genomföra en riskanalys samt åtgärdsanalys baserat på de i denna rapport angivna iakttagelserna och rekommendationerna. Fokus bör vara att omgående åtgärda de mest kritiska riskerna för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införandet för att säkerställa att effekten av åtgärden uppnås. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller. PwC rekommenderar även kommunen att genomföra ett penetrationstest av sitt externa nätverk. Hotbilden som illustreras i dessa tester är en extern hacker som, utan kunskap om kommunens IT-miljö, kartlägger organisationens närvaro på Internet. Fokus är att bryta sig in i intressanta system exponerade på Internet, med det slutliga målet att försöka ta sig in i kommunens interna nätverk. 6(6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss