KMMUNLEDNINGSKNTRET Handläggare Ditz Catrin Nilssn Maria Datum 2015-02-03 Diarienummer KSN-2014-1679 Kmmunstyrelsen Kmmunrevisinen: granskning av generella IT-kntrller 2014 Förslag till beslut Kmmunstyrelsen föreslås besluta att avge yttrande till kmmunrevisinen enligt bilaga 1 Ärendet Kmmunrevisinen har överlämnat revisinsrapprt Uppföljningsrapprt IT-generella kntrller 2014 bilaga 2. PwC har på kmmunrevisinens uppdrag gjrt en uppföljande granskning av generella ITkntrller. Granskningen fkuserar på säkerheten i applikatiner, perativsystem ch databaser samt mfattar Agress, Herma, Prcapita, Siebel, Extens ch Teknik ch Service. Av ttalt 20 brister sm nterades under 2013 års granskning kvarstår 10 stycken sm ej åtgärdade ch för resterande 10 brister har aktiviteter påbörjats. För majriteten av bservatinerna där aktiviteter påbörjats, utförs kntrllen i dagsläget, men de dkumenteras bristfälligt eller inte alls, varför PwC inte kan verifiera att kntrllen utförs ändamålsenligt. Kmmunrevisinen knstaterar att vissa åtgärder vidtagits/planeras för att skapa grundläggande IT-säkerhet ch förvaltningsstruktur för kritiska applikatiner, men ser särskilt allvarligt på att tidigare påpekade säkerhetsbrister kvarstår i kmmunens datasystem. Föredragning I yttrandet framhålls att samtliga säkerhetsbrister är pririterade ch åtgärder är vidtagna eller planerade att genmföras under 2015. Kmmunledningskntret driver det arbetet. Pstadress: Uppsala kmmun, kmmunledningskntret, 753 75 Uppsala Telefn: 018-727 00 00 (växel) E-pst: kmmunledningskntret@uppsala.se www.uppsala.se
IT i Uppsala kmmun idag har förutsättningar sm IT-styrning, gemensamma mål, en stark vilja att bygga tillsammans samt resurser till pririterade åtgärder. Detta är förutsättningar sm möjliggör att bserverade brister kmmer att hanteras under 2015 enligt framtagen åtgärdshantering. Kmmunledningskntret Jachim Danielssn Stadsdirektör Christffer Nilssn Chef för kmmunledningskntret
Bilaga 1 KMMUNSTYRELSEN Handläggare Datum Diarienummer Catrin Ditz 2015-01-20 KSN-2014-1679 Maria Nilssn Kmmunrevisinen Svar på uppföljningsrapprt IT-generella kntrller 2014, Uppsala kmmun PwC har på kmmunrevisinens uppdrag gjrt en uppföljande granskning av generella ITkntrller 2013. Av ttalt 20 brister sm nterades under 2013 års granskning kvarstår 10 stycken sm ej åtgärdade ch för resterande 10 brister har aktiviteter påbörjats. Kmmunrevisinen har knstaterat att vissa åtgärder vidtagits/planerats för att skapa grundläggande IT-säkerhet ch förvaltningsstruktur för kritiska applikatiner, men ser särskilt allvarligt på att tidigare påpekade säkerhetsbrister kvarstår i kmmunens datasystem. Planerade åtgärder för att hantera identifierade säkerhetsbrister är pririterade ch kmmer alla att hanteras under 2015. Planerade ch vidtagna åtgärder presenteras nedan. Planerade ch vidtagna åtgärder IT inm Uppsala har påbörjat en mfattande förändringsresa från en decentraliserad ITstyrning till en IT-styrning sm drivs utifrån ett kmmungemensamt helhetsperspektiv med medbrgar- ch verksamhetsnytta i fkus. En IT-strategisk stab har etablerats på kmmunledningskntret. Kmpetenser ch bemanning mfattar både ledning ch styrning, beställarkmpetens ch stöd till kmmunens verksamheter. Staben har ett aktivt samarbete med kmmunens förvaltningar, IT-prduktin i egen regi samt externa leverantörer. Stabens uppdrag är att ta fram en ny långsiktig inriktning för kmmunens IT samt, efter beslut, leda arbetet att verkställa denna. Åtgärdshantering för identifierade brister Åtgärder beskrivs nedan utifrån rapprtens fem mråden: 1. IT-styrning 2. Prgramutveckling ch förändring 3. Åtkmstkntrll 4. Infrastruktur Pstadress: Uppsala kmmun, utbildningsnämnden, 753 75 Uppsala Besöksadress: Statinsgatan 12 Telefn: 018-727 00 00 (växel) E-pst: utbildningsnamnden@uppsala.se www.uppsala.se
2 (4) Rller ch ansvar vid åtgärdande av identifierade brister: bjektägaren är ansvarig för att brist åtgärdas bjektledare/funktinsansvarig drift genmför åtgärd eller är sammanhållande IT-krdinatr ansvarar för att status rapprteras till IT-stab. IT-krdinatr stöttar/leder bjektledare enligt behv IT strateg följer upp ch sammanställer åtgärdsstatus för samtliga brister Status för arbetet rapprteras löpande i samarbetsfrum för ändamålet. Aktiviteter skrivs in ch resurssätts i förvaltningsplan för respektive system. bservatin, nuläge ch åtgärder för mrådet IT-styrning bservatin samt nuläge är att katastrfplan inte är implementerad för följande system: Prcapita IF, aktiviteten är påbörjad Herma, Siebel ch Extens, aktiviteten är ej påbörjad Hantering av åtgärder bjektledaren tar med stöd av IT-krdinatr fram katastrfplan eller slutför katastrfplan. IT-krdinatr/bjektledare får stöd av Funktinsansvarig drift. Funktinsansvarig drift säkrar att katastrfplaner tas fram på likartat sätt ch att insatser för ett system kan återanvändas. När rutinen är framtagen för respektive system ur ett verksamhetsperspektiv tar Funktinsansvarig drift frågan vidare med enheten för drift av servrar. Driften kmpletterar de tekniska delarna. bjektledaren kmpletterar respektive förvaltningsplan med test av katastrfplan. bservatin, nuläge ch åtgärder för mrådet Prgramutveckling ch förändring bservatin samt nuläge är bristande dkumentatin avseende förändringar i applikatiner för följande system: Agress, aktivitet är påbörjad genm att förvaltningsmdell pm3 har implementerats. Enligt erhållen infrmatin finns rutinerna på plats med det är inte fastställt att de efterslevs fullt ut i verksamheten Prcapita IF, aktivitet är påbörjad genm att en prcess för ändringshantering är införd. Dck dkumenteras inte förändringarna på det sätt så att det går att följa ärendet från ändringsbegäran till driftsättning.
3 (4) Hantering av åtgärder bjektledare för Agress ch Prcapita IF säkrar med stöd av IT-krdinatr att befintliga rutiner för ändringshantering efterlevs. bservatin, nuläge ch åtgärder för mrådet Åtkmstkntrll bservatin samt nuläge är att: Peridisk genmgång av användare hade vid granskningstillfället inte utförts för Agress, Herma, Prcapita IF, Uppsala kmmun har under året genmfört peridisk genmgång av användare. Dck har PwC inte kunnat verifiera att kntrllen utförts, därför kvarstår bservatinen. Siebel, Uppsala kmmun har under året genmfört peridisk genmgång, dck är inte genmgången frmaliserad. Extens, Uppsala kmmun har inlett arbetet med att registrera alla externa användare ch ny rutin för peridisk genmgång är under etablering. Teknik ch Service, rutinen är implementerad sedan tidigare, uppföljning av genmförd granskning i maj genmfördes ej fullt ut på grund av mpriritering av resurser Lösenrdsinställningar i applikatiner ch perativsystem uppfyller ej gd praxis för: Herma, Extens ch Teknik ch Service, Lösenrdsinställningar för dessa system följde Uppsala kmmuns riktlinjer, dck uppfyller inte riktlinjerna vid tidpunkt för granskning gd praxis. Under december 2014 ändrades riktlinjerna så att de nu överensstämmer med gd praxis. Hantering av åtgärder bjektledare för Agress, Herma ch Prcapita IF med stöd av IT-krdinatr dkumenterar tillvägagångssätt för peridisk granskning på sådant sätt att det kan verifieras av berende part att kntrllen utförs. bjektledare för Siebel, Extens ch Teknik ch Service med stöd av IT-krdinatr etablerar befintlig kmmungemensam prcess för peridisk genmgång av användare. Tillämpning av den nya lösenrdsplicyn vilken uppfyller gd praxis pågår. Arbetet leds av bjektledare vad gäller Siebel ch Extens ch funktinsansvarig drift för Teknik ch Service.
4 (4) För att minimera påverkan för kmmunens användare sker detta under en längre tid, med slutdatum juli 2015. bjektledare/funktinsansvarig drift ansvarar för att lösenrdsplicyn dkumenteras i systemdkumentatin för berört system. bservatin, nuläge ch åtgärder för mrådet Infrastruktur bservatin samt nuläge är att inga frmella återläsningstester av backup har genmförts för: Agress, Uppsala kmmun har påbörjat arbete med att upprätta frmella återläsningstester av backup. I dagsläget utförs dck inga frmella återläsningstester. Herma, Rutiner finns på plats, men det har inte skett några frmella återläsningstester under verksamhetsåret. Prcapita IFS, Siebel ch Extens, aktivitet ej påbörjad Hantering av åtgärder Funktinsansvarig drift tar med stöd av medarbetare på enheten för drift av servrar fram en rutin. Rutinen förankras med IT-krdinatr ch bjektledare för berört system. Rutin etableras. bjektledaren kmpletterar respektive förvaltningsplan gällande frmella återläsningstester av backup. Verifiering av kntrller Samtliga åtgärder dkumenteras på sådant sätt att berende part kan verifiera att kntrllen utförs ändamålsenligt. Kmmunstyrelsen Marlene Burwick rdförande Astrid Anker Sekreterare
Bilaga 2 lujf+r^sala "KMMUN Kmmunrevisinen KRN 2014/74 Exp 2014-12-11 UPPSALA KMMUNSTYRELSE ink. 201*1-12- 2 2 AWtil. i 2014-12-18 Kmmunstyrelsen Styrelsen för teimik ch service Kmmunledningskntret Nämnder ch styrelser, t k Gransliing av generella IT-kntrller 2014 PwC har på vårt uppdrag gjrt en uppföljande granskning av generella IT-kntrller inm ramen för vår granskning av nämndernas ansvar för den interna kntrllen. Gransliingen sm avrapprteras i denna rapprt har fkuserat på säkerheten i applikatiner, perativsystem ch databaser. Granskningen mfattar Agress, Herma, Prcapita, Siebel, Extens ch Teimik & Service. Av ttalt 20 brister sm nterades under 2013 års granslming kvarstår 10 stycken sm ej åtgärdade ch för resterande 10 brister har aktiviteter påbörjats. Brister sm inte har åtgärdats är följande: Katastrfplan är inte implementerad för Herma, Siebel eller Extens Inga frmella återläsningstester av hackuper har genmförts för Herma, Prcapita, Siebel eller Extens Lösenrdsinställningar uppfyller inte gd praxis - Herma eller Teimik & Service Peridisk genmgång av användare har inte utförts för Siebel Vi kan knstatera att vissa åtgärder vidtagits/planeras för att skapa grundläggande IT-säkerhet ch förvaltningsstruktur för kritiska applikatiner, men vi ser särskilt allvarligt på att tidigare påpekade säkerhetsbrister kvarstår i kmmunens datasystem. Vi översänder rapprten för yttrade över vilka åtgärder sm planeras vidtas för att kmma tillrätta med prblemen. Vi önskar svar senast den 27 februari 2015. FÖR KMMUNENS REVISRER Lars-lf Lindell/' rdförande
pwc Revisinsrapprt Uppföljningsrapprt IT-generella kntrller 2014 Uppsala kmmun Anders Gustafsn GustafGambe ktber 2014 1 av 13
JL pwc Innehållsförteckning Inledning 3 Granskningens mfattning 3 Sammanfattning 5 Resultat ch status på bservatiner 6 Appendix i - Intervjuade persner 2 av 13
pwc Inledning I samband med den finansiella revisinen 2014 har PwC genmfört en uppföljning av de bservatiner sm identifierades i samband med 2013 års granskning avseende IT-generella kntrller för verksamhetskritiska applikatiner inm Uppsala kmmun. Kmmunstyrelsen har uppsiktsplikt över att den interna kntrllen inm kmmunen byggs upp ch rganiseras på ett tillfredsställande sätt. Nämnderna har det fulla ansvaret för den interna kntrllen inm sina verksamhetsmråden ch applikatiner. Intern kntrll är en prcess sm påverkas av nämnderna, kmmunstyrelsen ch tjänstemannarganisatinen, vilken utfrmas för att ge en rimlig försäkran m att kmmunens mål uppnås inm följande mråden: Ändamålsenlig ch effektiv verksamhet Tillförlitlig eknmisk ch verksamhetsmässig rapprtering Efterlevnad av tillämpliga lagar ch förrdningar Syftet med uppföljningen är att identifiera vilka förändringar sm Uppsala kmmun har genmfört gällande den interna kntrllen under 2014 ch hur detta har påverkat föregående års bservatiner. Rapprten presenterar det aggregerade resultatet av respektive applikatin med en status för varje bservatin, vilka kmmunledningen bör beakta i sitt arbete med att utveckla ch förbättra förvaltningen ch den interna kntrllen för Uppsala kmmuns IT-miljö. Vi vill tacka den persnal på Uppsala kmmun sm hjälpt ss att genmföra granskningen, för deras bemötande ch gda samarbetsvilja. 3 av 13
pwc Granskningens mfattning Under föregående år granslcning nterades avvikelser inm följande mråden: mråde IT-styrning Prgramutveckling ch förändring bservatin Katastrfplan är inte implementerad för samtliga applikatiner Bristande dkumentatin avseende förändringar i applikatiner Åtkmstkntrll Peridisk genmgång av användare har vid granskningstillfället inte utförts Infrastruktur Lösenrdsinställningar i applikatiner ch perativsystem uppfyller ej gd praxis Inga frmella återläsningstester av backup har genmförts Vid applikatinsgranskningar ch granskning av prcesser för Teknik & Service nterades ttalt 20 bservatiner enligt nedan fördelning vid föregående års granslcning: Applikatin Antal bservatiner Agress 3 Herma 4 Prcapita Individ- ch Familjemsrg (IF) 4 Siebel 3 Extens 4 Teknik & Seivice 2 Ttalt antal bservatiner 20 PwC har under ktber 2014 följt upp van bservatiner med relevant persnal på Uppsala kmmun (se Appendix 1- Intervjuade persner). 4 av 13
L Sammanfattning Genm intervju ch genmgång av dkumentatin kan PwC knstatera att Uppsala kmmun har påbörjat aktiviteter under verksamhetsåret för att åtgärda bservatinerna. Av ttalt 20 bservatiner från föregående år kvarstår 10 (50%) stycken sm ej åtgärdade ch för resterande 10 (50%) har aktiviteter påbörjats. För majriteten av bservatinerna där aktiviteter påbörjats, utförs kntrllen i dagsläget, men de dkumenteras bristfälligt eller inte alls, varför PwC inte kan verifiera att kntrllerna utförs ändamålsenligt. Se tabell nedan för illustratin av resultatet. 25 Åtgärdade 20 Pågående aktivitet 10 Ej åtgärdade bservatiner Resultat Resultat 2013 Updatering 2014 Utifrån den uppföljning sm är gjrd har det framkmmit att Uppsala kmmun har genmfört samt håller på att genmföra förbättringar inm ett antal mråden men att det frtfarande finns utrymme för förbättring gällande den interna kntrllen kpplat till IT. Förbättringar har skett under året trts att mycket resurser har lagts på det upphandlingsprjekt av telefn ch IT sm pågår, samt att det skett persnalförändringar inm rganisatinen under verksamhetsåret. Till exempel har ny CI ch IT-säkerhetschef anställts, ch det pågår arbete med att ta fram en styrmdell för IT-plicys med tydliga rller ch ansvar. Det pågår även infrmatinsklassning sm förväntas vara klar till årsskiftet. För mer detaljer gällande status på respektive bservatin från föregående år, se avsnitt "Resultat ch status på bservatiner" nedan. 5 av 13
pwc Resultat ch status på bservatiner bservatiner från föregående år har granskats genm intervju samt i förekmmande fall via genmgång av dkumentatin. Baserat på detta resultat har respektive bservatin graderats med en status. bservera att denna gradering inte är jämförbar med föregående års rapprt. bservatinerna har graderats enligt följande mdell: Öl Q Öl bservatinen har inte åtgärdats sedan föregående års granskning vilket medför att relaterad risk ch rekmmendatin kvarstår. Aktiviteter ch åtgärder finns planerade eller är under genmförande, dck kvarstår risken då åtgärderna ännu inte är på plats. Åtgärder ch aktiviteter för att begränsa risken har implementerats ch underlag har granskats vilket säkerställer perativ effektivitet i kntrllen. Nedan återfinnas resultatet av den uppföljningsgranskning sm genmförts per bservatin. Applikatin Ref bservatin Status Agress 1. Bristande dkumentatin avseende förändringar i applikatiner. Uppsala kmmun har implementerat förvaltningsmdellen PM3 där rutiner för förändringshantering ingår. Enligt erhållen infrmatin finns rutinerna på plats men det är inte fastställt att de efterlevs fullt ut i verksamheten. ö Slutsats: bservatinen kvarstår då rutinerna i dagsläget inte efterlevs fullt ut i verksamheten. 2. Peridisk genmgång av användare har vid [ granskningstillfället inte utförts. Uppsala kmmun har under året genmfört peridisk genmgång av användare i Agress. Dck har PwC inte kunnat verifiera att kntrllen utförts, då underliggande dkumentatin ej erhållits. Slutsats: bservatinen kvarstår då PwC inte kunnat granska underliggande dkumentatin. 6 av 13
Applikatin Ref bservatin Status 3. Inga frmella återläsningstester av backup har genmförts. Uppsala kmmun har påbörjat arbete med att upprätta frmella återläsningstester av backup. Dck är arbetet pågående ch i dagsläget utförs inga frmella återläsningstester. Slutsats: bservatinen kvarstår då frmellt återläsningstest ännu ej har genmförts under verksamhetsåret. Herma Katastrfplan är inte implementerad för samtliga applikatiner. Uppsala kmmun har inte påbörjat någt arbete med att ta fram en katastrfplan för applikatinen Herma under verksamhetsåret. Slutsats: bservatinen kvarstår då katastrfplan ännu ej är frmellt implementerad. 2. Peridisk genmgång av användare har vid granskningstillfället inte utförts. Uppsala kmmun har under året genmfört peridisk genmgång av användare i Herma. Dck har PwC inte kunnat verifiera att kntrllen utförts, då underliggande dkumentatin ej erhållits. Slutsats: bservatinen kvarstår då PwC inte kunnat granska underliggande dkumentatin. 7 av 13
pwc Applikatin Ref bservatin Status Lösenrdsinställningar i applikatiner ch perativsystem uppfyller ej gd praxis. Lösenrdsinställningarna i Herma följer Uppsala kmmuns riktlinjer för lösenrd. Dck uppfyller inte dessa gd praxis, då endast ett 6 tecken långt lösenrd kan användas. Slutsats: bservatinen kvarstår då Uppsala kmmuns lösenrdsplicy inte uppfyller gd praxis. 4. Inga frmella återläsningstester av backup har genmförts. Rutiner finns på plats men det har inte skett några frmella återläsningstester under verksamhetsåret. Slutsats: bservatinen kvarstår då frmellt återläsningstest ännu ej har genmförts under verksamhetsåret. Prcapita IF Katastrfplan är inte implementerad för samtliga applikatiner. Uppsala kmmun har påbörjat arbete med att ta fram en katastrfplan för applikatinen Prcapita IF. Dck är arbetet pågående ch i dagsläget finns ingen katastrfplan implementerad. Slutsats: bservatinen kvarstår då katastrfplan ännu ej är frmellt implementerad. 8 av 13
pwc Applikatin Ref bservatin Status Bristande dkumentatin avseende förändringar i applikatiner. Samtliga förändringar i Prcapita IF hanteras av en utvecklingsgrupp ch styrgrupp, där varje ärende hanteras. Dck dkumenteras inte förändringarna på det sätt så att det går att följa ärendet från ändringsbegäran till driftsättning. Dck är planen att ta fram en gemensam prcess för förändringshantering ch hur de ska dkumenteras för samtliga system. Slutsats: bservatinen kvarstår, då förändringarna inte dkumenteras så att spårbarhet i hela förändringsprcessen är möjlig. 3. Peridisk genmgång av användare har vid granskningstillfället inte utförts. Uppsala kmmun har under året genmfört peridisk genmgång av användare i Prcapita IF. Dck har PwC inte kunnat verifiera att kntrllen utförts, då underliggande dkumentatin ej erhållits. Slutsats: bservatinen kvarstår då PwC inte kunnat granska underliggande dkumentatin. Inga frmella återläsningstester av backup har genmförts. Uppsala kmmun har inte påbörjat någt arbete med att impiementera rutiner för frmella återläsningstester under verksamhetsåret. Slutsats: bservatinen kvarstår då rutinen för frmellt återläsningstest ännu ej är frmellt implementerad. 9 av 13
pwc Applikatin Ref bservatin Status Siebel 1. Katastrfplan är inte implementerad för samtliga applikatiner. Uppsala kmmun har inte påbörjat någt arbete med att ta fram en katastrfplan för applikatinen Siebel under verksamhetsåret. P bl Slutsats: bservatinen kvarstår då katastrfplan ännu ej är frmellt implementerad. Peridisk genmgång av användare har vid granskningstillfället inte utförts. Uppsala kmmun har under året genmfört peridisk genmgång av användare i Siebel, dck är inte genmgången frmaliserad. k IQ Slutsats: bservatinen kvarstår då det inte genmförts någn frmell peridisk genmgång under verksamhetsåret. 3. Inga frmella återläsningstester av backup har genmförts. Uppsala kmmun har inte påbörjat någt arbete med att impiementera rutiner för frmella återläsningstester under verksamhetsåret. Slutsats: bservatinen kvarstår då rutinen för frmellt återläsningstest ännu ej är frmellt implementerad. 10 av 13
JL pwc Applikatin Ref bservatin Status Extens 1. Katastrfplan är inte implementerad för samtliga applikatiner. Uppsala kmmun har inte påbörjat någt arbete med att ta fram en katastrfplan för applikatinen Extens under verksamhetsåret. Ö Lj Slutsats: bservatinen kvarstår då katastrfplan ännu ej är frmellt implementerad. 2. Peridisk genmgång av användare har vid granskningstillfället inte utförts. [ ^ Uppsala kmmun har inlett arbete med att registrera alla externa användare ch ny rutin för peridisk genmgång av användare kmmer att implementeras inm två månader. Slutsats: bservatinen kvarstår då peridisk genmgång av samtliga användare i applikatinen ej genmförts under verksamhetsåret. 3. Inga frmella återläsningstester av backup har genmförts. Uppsala kmmun har inte påbörjat någt arbete med att impiementera rutiner för frmella återläsningstester under verksamhetsåret. Slutsats: bservatinen kvarstår då rutinen för frmellt återläsningstest ännu ej är frmellt implementerad. 11 av 13
pwc Applikatin Ref bservatin Status 4. Lösenrdsinställningar i applikatiner ch perativsystem uppfyller ej gd praxis. Uppsala kmmun har genmfört en riskanalys ch arbete pågår för att övergå till e-legitimatin vid inlggning i systemet. Arbetet är inplanerat till våren 2015. Slutsats: bservatinen kvarstår då nuvarande lösenrdsinställningar ej uppfyller gd praxis. Teiiik & Service Peridisk genmgång av användare har vid granskningstillfället inte utförts. Rutinen är implementerad sedan tidigare ch uppföljning av genmförd granskning i maj genmfördes ej fullt ut på grund av mpriritering av resurser. Slutsats: bservatinen kvarstår då uppföljning av genmförd granskning ej avslutats under verksamhetsåret. Lösenrdsinställningar i applikatiner ch perativsystem uppfyller ej gd praxis. Lösenrdsinställningarna på perativsystemsnivå följer Uppsala kmmuns riktlinjer för lösenrd. Dck uppfyller inte dessa gd praxis, då endast ett 6 tecken långt lösenrd kan användas. Slutsats: bservatinen kvarstår då Uppsala kmmuns övergripande lösenrdsplicy inte uppfyller gd praxis. _ q 12 av 13
pwc Appendix i Intervjuade persner I samband med revisinen har intervju genmförts med nyckelpersner inm Uppsala kmmun i syfte att skapa förståelse för vilka förändringar sm genmförts sedan föregående års revisin. Följande persner intervjuades: Catrin Ditz - CI Anders Kylesten - Säkerhetschef Maria Nilssn - IT-strateg 13 av 13