Sammanträdesdatum Arbetsutskott (1) 168 Dnr KS/2017:241. Granskning av IT-säkerhet Mjölby 1.0

Relevanta dokument
Cyber security Intrångsgranskning. Danderyds kommun

Granskning av intern IT - säkerhet. Juni 2017

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Håbo kommuns förtroendevalda revisorer

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Granskning av räddningstjänstens ITverksamhet

Granskning av IT-säkerhet - svar

Sollefteå kommun. Kontroll, insyn och tillsyn av externa utförare - Övergripande granskning. Anneth Nyqvist Certifierad kommunal revisor

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Vilhelmina kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Producentansvar ut ett redovisningsperspektiv När ska en skuld kopplad till WEEE-direktivet redovisas?

Öppna data Nytta och utmaningar för verksamheten

Koll på kostnaderna OPS och livscykeltänk

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Offertförslag Vårdreformen i Finland (SOTE) konsekvenser för Ålands kommuner

IT-säkerhet Externt och internt intrångstest

Skapa handlingsfrihet och värde inför en kommande exit

Öppna data Offentlighetsprincipen för det 21:a århundradet

Sundsvalls kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

E-förvaltning under lupp Offentlig sektors högsta chefers syn på e-förvaltning

Energiskattefrågor vid vindkraftsproduktion 22 mars 2012

Sammanträdesdatum Arbetsutskott (1) 171 KS/2018:228. Medborgarförslag affärsverksamhet i Gallerian - svar

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Sammanträdesdatum Arbetsutskott (1) 34 Dnr KS/2017:128

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Kunskapsdagen 2018 Civilrätt för dig som företagare och privatperson

Sammanträdesdatum Arbetsutskott (1) 172 KS/2018:174. Medborgarförslag bowlinghall i Gallerian - svar

Sammanträdesdatum Arbetsutskott (1) 138 Dnr KS/2018:202. Riktlinjer för Mjölby kommuns webbplatser och sociala medier

Ombildning av enskild näringsverksamhet till AB

Svar på medborgarförslag

Sammanträdesdatum Arbetsutskott (2) 92 Dnr KS/2018:20

Reglemente för internkontroll

Sammanträdesdatum Arbetsutskott (1) 100 Dnr KS/2018:137. Program för privata utförare

Sammanträdesdatum Arbetsutskott (2) 89 Dnr KS/2018:139. Borgensramar för Bostadsbolaget

Risker för korruption och oegentligheter vid stora investeringar

Ombildning av enskild näringsverksamhet till AB

Skattefrågor m.m. vid vindkraftsproduktion 31 mars 2015

Framtida skattesystem för biodrivmedel?

Mjölby Kommun PROTOKOLLSUTDRAG 94 KS/2017:267, KS/2019:72. Nämndernas eposthantering svar på revisionens uppföljande granskningsrapport

Sammanträdesdatum Arbetsutskott (2) 13 KS/2016:373. Bredband landsbygd vid Bockarp. Flytt av ÖP utförs av Utsikt Bredband AB.

Godkännande av överenskommelse om samverkan mellan Region Östergötland och kommunerna.

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

IT-säkerhet Externt och internt intrångstest

Sammanträdesdatum Arbetsutskott (1) 17 Dnr KS/2017:262. Arbetsutskottets föreslår kommunstyrelsen att föreslå kommunfullmäktige

Yttrande till kommunstyrelsen rörande motion om integrerad beroendemottagning i västra länsdelen från Moderaterna

Sammanträdesdatum Arbetsutskott (2) 53 Dnr KS/2018:55. Motion om strategi för öppna data - svar

Mjölby Kommun PROTOKOLLSUTDRAG 122 TEKN/2015:292. Justering avfallstaxa. Bakgrund

Medborgarförslag gällande att göra om telefonkiosken i Skänninge till en bokkiosk

Sammanträdesdatum Arbetsutskott (2) 17 KS/2017:20. Viby byalag - ansökan om återinvestering av belysning stolpar

Samverkansavtal mellan Mjölby kommun och Region Östergötland gällande hälsokommunikatörer

Mjölby Kommun PROTOKOLLSUTDRAG 111 KS/2017:145. Telefon och e-postpolicy

Sammanträdesdatum Arbetsutskott (3) 19 KS/2013:654. Tolkning av arvodesregler - revidering

Sammanträdesdatum Arbetsutskott (1) 162 KS/2016:271. Kommunstyrelsens arbetsutskott beslutar. att informationen noteras till protokollet.

Sammanträdesdatum Arbetsutskott (1) 120 KS/2017:230. Förslag angående lokalisering av nytt äldreboende i Mjölby

Sammanträdesdatum Arbetsutskott (1) 8 KS/2013:695. Prissättning av småhustomter inom Östra Olofstorp etapp 2.


Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Mjölby Kommun PROTOKOLLSUTDRAG. 114 Dnr KS/2018:213. Bolagsordning för Gallerian

Mjölby Kommun PROTOKOLLSUTDRAG. 78 Dnr KS/2018:122. Wifi 4 EU - surfpunkter i Mjölby kommun

Sammanträdesdatum Arbetsutskott (1) 21 KS/2013:161 Sociala investeringsfonden - delrapport

Förslag till riktlinjer för telefoni, mobila enheter och e- post i Mjölby kommun

Sammanträdesdatum Arbetsutskott (1) 38 Dnr KS/2018:60. Beslutsunderlag - Missiv PM RUS Underlag RUS-processen

Sammanträdesdatum Arbetsutskott (1) 166 Dnr KS/2018:311. Beslutsunderlag Riskbedömning samt föreslagna kontrollmoment

Sammanträdesdatum Arbetsutskott (2) 174 Dnr KS/2018:82

Familje- och friskvårdscentral i Måndalen - svar på medborgarförslag

Sammanträdesdatum Arbetsutskott (1) 122 Dnr KS/2017:27

Mjölby Kommun PROTOKOLLSUTDRAG. 115 Dnr KS/2018:213. Ägardirektiv för Gallerian

Mjölby Kommun PROTOKOLLSUTDRAG 1 KS/2016:350. Kunskapstrailer

Turistväg förlängning Väderstad-Mantorp - svar på medborgarförslag

Redovisning av partistöd för 2016

Sammanträdesdatum Arbetsutskott (2) 90 Dnr KS/2014:552. Beslutsunderlag Missiv daterad Tjänsteskrivelse daterad

Mjölby Kommun PROTOKOLLSUTDRAG. 158 Dnr KS/2018:221. Förvärv av fastigheten Näcken 7 i Mjölby kommun (Norrgården)

Sammanträdesdatum Arbetsutskott (2) 154 Dnr KS/2018:263. KS integrationsråd 14 em

Mjölby Kommun PROTOKOLLSUTDRAG. 125 Dnr KS/2017:316. Svar på medborgarförslag angående samordning av hedersrelaterat våld

Sammanträdesdatum Arbetsutskott (1) 193 Dnr KS/2017:103. Arbetsutskottets föreslår kommunstyrelsen att föreslå kommunfullmäktige

Sammanträdesdatum Arbetsutskott (1) 153 Dnr KS/2018:273. Arbetsutskottets förslag till kommunstyrelsen

Sammanträdesdatum Arbetsutskott (1) 88 KS/2015:261. Arbetsutskottet föreslår kommunstyrelsen föreslås besluta

Sammanträdesdatum Arbetsutskott (5) 77 Dnr KS/2017:323. Justering av målvärden kommunstyrelsens åtaganden 2018

Sammanträdesdatum Arbetsutskott (2) 3 KS/2016:76. Finansiering av godsmagasinet i Mjölby

Sammanträdesdatum Arbetsutskott (1) 173 KS/2018:274. Redovisning av ej verkställda beslut 2018

Svar på medborgarförslag angående byggande av växthus vid Lundbybadet


IT-säkerhet Internt intrångstest

Yrkeshögskoleutbildning för undersköterskor - svar på motion

Chef i Mjölby kommun KS/2016:172. Dokumentansvarig: Personalchef

Utvärdering av Caught by Umeå Kulturhuvudstadsåret mars 2014

Mjölby Kommun PROTOKOLLSUTDRAG 30 KS/2014:537. Redovisning internkontroll 2015, kommungemensam


Sammanträdesdatum Arbetsutskott (1) 176 Dnr KS/2017:298. Konstpolicy i Mjölby kommun

Översyn av IT-verksamheten

Sammanträdesdatum Arbetsutskott (2) 93 DnrKS/2017:243

Sammanträdesdatum Arbetsutskott (1) 160 Dnr KS/2017:261. Beslut om åtagande KSF förvaltning 2018

Flytt av turistbyrå i Skänninge

Riktlinje för styrdokument i Mjölby kommun Riktlinje

Sammanträdesdatum Arbetsutskott (1) 183 Dnr KS/2017:181

Mjölby Kommun PROTOKOLLSUTDRAG. Information från Johan Forsgren

Bilaga 3 Säkerhet Dnr: /

Transkript:

Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2017-11-06 1 (1) Sida 168 Dnr KS/2017:241 Granskning av IT-säkerhet Mjölby 1.0 Bakgrund har genomfört en s.k. penetrationstest på IT avdelningen i Mjölby kommun. Resultatet har sammanställts i en rapport som IT m.fl. tagit del av. Sammanfattning Skrivelsen är väl kategoriserad och påpekar styckevis de brister som man funnit. Vår summering är att vi fortsatt har ett bra och fungerande IT skydd i Mjölby kommun. IT har tagit till sig av informationen och påbörjat insatser för att täppa igen de säkerhetshål som påpekat. Det kan tilläggas att de delar vi fann som snabblösta, oavsett dignitet, redan är lösta. Vi har nu skapat en detaljerad aktivitetsplan och som tar hänsyn till rapporten där vi ser goda möjligheter att under första halvan av år 2018 vara klara med samtliga åtgärder för att naturalisera olika brister. Planen innefattar också att IT under den närmaste månaden verka för att ta fram de kostnader som är nödvändiga och även ombesörja att dessa inkluderas i kommande års budget, alltså kostnader som inte ryms i årets budget och då kopplat till rapportens utfall. Beslutsunderlag Missiv 2017-10-26 Följebrev IT-granskning Mjölby 2017 Granskningsrapport av IT-säkerhet Mjölby Arbetsutskottet förslår kommunstyrelsen föreslå kommunfullmäktige besluta Kommunfullmäktige ställer sig bakom IT-avdelningens åtgärdplan för förbättrad IT-säkerhet. Beslutet skickas till: Kommunfullmäktige PWC Akten Justerandes sign Utdragsbestyrkande

Missiv 1(2) Kommunstyrelsens förvaltning Datum Diarienummer 2017-10-26 KS/2017:241 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Revisionsgranskning av intern IT-säkerhet Bakgrund har genomfört en s.k. penetrationstest på IT avdelningen i Mjölby kommun. Resultatet har sammanställts i en rapport som IT m.fl. tagit del av. Sammanfattning Skrivelsen är väl kategoriserad och påpekar styckevis de brister som man funnit. Vår summering är att vi fortsatt har ett bra och fungerande IT skydd i Mjölby kommun. IT har tagit till sig av informationen och påbörjat insatser för att täppa igen de säkerhetshål som påpekat. Det kan tilläggas att de delar vi fann som snabblösta, oavsett dignitet, redan är lösta. Vi har nu skapat en detaljerad aktivitetsplan och som tar hänsyn till rapporten där vi ser goda möjligheter att under första halvan av år 2018 vara klara med samtliga åtgärder för att naturalisera olika brister. Planen innefattar också att IT under den närmaste månaden verka för att ta fram de kostnader som är nödvändiga och även ombesörja att dessa inkluderas i kommande års budget, alltså kostnader som inte ryms i årets budget och då kopplat till rapportens utfall. Beslutsunderlag Missiv 2017-10-26 Följebrev IT-granskning Mjölby 2017 Granskningsrapport av IT-säkerhet Mjölby Kommunstyrelsens förvaltnings förslag till beslut Kommunfullmäktige ställer sig bakom IT-avdelningens åtgärdplan för förbättrad IT-säkerhet. Beslutet skickas till: Kommunfullmäktige Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11-13 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se

Missiv 2(2) Datum Diarienummer 2017-10-26 KS/2017:241 PWC Akten Kommunstyrelsens förvaltning Dag Segrell Kommunchef Postadress Besöksadress Telefon Internetadress Ba Mjölby kommun Burensköldsvägen 11-13 0142-850 00 www.mjolby.se 79 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se

Mjölby kommun Granskning av intern ITsäkerhet Juni 2017

1. Bakgrund och syfte 2

Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsett sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot Internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den interna tekniska IT-säkerheten är tillfredsställande och har därför gett ett uppdrag att granska området. 3

2. Syfte och revisionsfråga 4

Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Mjölby kommuns nuvarande tekniska IT-säkerhet är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till en acceptabel nivå? Kontrollfrågor Hur upptäcks en eventuell attack och hanteras icke önskvärda incidenter på ett ändamålsenligt sätt? Hur är säkerheten avseende intrång av extern och intern aktör? Finns det styrande dokument, såsom policy och riktlinjer för IT-säkerhet? Är befintlig dokumentation uppdaterad och reviderad? 5

3. Granskningsmetod 6

Intern och extern penetrationstest En teknisk säkerhetsgranskning är ett sätt att testa IT-säkerheten genom att utföra realistiska attacker mot verkliga system. För att uppnå hög kvalitet och effektivitet i arbetet, arbetar med scenarion för olika typer av realistiska tester. Ett scenario innehåller hot, tillvägagångssätt och mål. Scenario 1 Intern teknisk säkerhetsgranskning En person utan behörighet till Mjölby kommuns IT-system får fysisk tillgång till det interna nätverket. Personen kartlägger nätverket och attackerar viktiga interna system. Målet är att få tillgång till och kunna ändra information, alternativt att störa systemens tillgänglighet. Scenario 2 Externa tester via Internet En extern hacker, utan djupare kunskaper om Mjölby kommun, kartlägger organisationens närvaro på Internet. Målet är att bryta sig in i intressanta system exponerade mot Internet. 7

Genomförande Omfattning Testerna genomförs utan förkunskap om hur miljön ser ut (så kallad black box testning). Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Mjölby kommuns nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna som identifierades under informationsinsamlingen var reella sårbarheter. 8

Dokumentgranskning Genom att begära tillgång till IT-relaterade styrdokument får en bild av vad som finns. genomför en övergripande genomgång av tillgänglig dokumentation för att få en uppfattning om dokumentationen är uppdaterad och löpande revideras enligt god praxis. 9

4. Resultat av penetrationstesten 10

Intern och extern penetrationstest Intrångsförsök genomfördes och sårbarheter identifierades under båda den interna och den externa penetrationstesten. Vid test av den externt exponerade delen av IT-miljön identifierades webbapplikationer med svag autentisering. En av dessa visade sig använda Active Directory (AD) för inloggning. Den svaga autentiseringen i kombination med den externa exponeringen samt att det saknas utelåsningsmekanismer möjliggjorde att kunde genomföra en lösenordsattack och på så sätt gissa till sig användarnamn och lösenord för flera konton. Vid test av den interna miljön saknas det skydd för begränsning av nätverksåtkomst. Bristfällig nätverkssegmentering gjorde att utan svårigheter kunde nå kommunens olika IT-resurser. Trots att en stor mängd loggar bör ha genererats i övervakningsverktyg, vilket bör ha orsakat larm om att en intern attack pågick, såg inga tecken på respons från IT-avdelningen. 11

Intern och extern penetrationstest (forts.) Resultatet av penetrationstesten resulterade i ett antal sårbarheter: Hög risk - 19 st., varav en fanns i 10 system Medel risk - 2 st., varav en fanns i 4 system Låg risk - 2 st. Information - 2 st. Se bilaga 1 för närmare förklaring och riskgradering. 12

Intern och extern penetrationstest (forts.) Exempel på sårbarheter: Nätverksåtkomst. Personal från kunde enkelt koppla in utrustning på nätverket utan att någon skyddsmekanism identifierades. Utrustningen fick IP-adress och kunde nå interna resurser obehindrat. Lokal Admin. Personal från kunde enkelt bli lokal administratör på en klient-pc då denna saknade hårddiskkryptering. Genom att starta upp datorn på alternativt media och ändå ha full access till hårddisken kunde man skapa en egen lokal administratör Wannacry. Genom att angripa servern x.x.x.x kunde få fjärråtkomst som localsystem med en MeterPreter-session, varpå man kunde skapa ett lokalt administratörskonto och logga på maskinen med Remote Desktop. Antivirus. Efter att fått fjärråtkomst med en MeterPreter-session kunde ladda mimikatz-moduler för att läsa ut lösenord från befintligt påloggade administratörer. 13

Intern och extern penetrationstest (forts.) Återanvändning av lösenord. Genom att extrahera den lokala administratörens lösenordshash kunde genomföra en pass-the-hash-inloggning mot andra servrar som hade samma lokala administratörslösenord. Lösenordsgissning. kunde gissa sig till lösenordet till 60 konton på ett fåtal försök genom att göra testpåloggningar mot Exchange Web Service. Denna typ av lösenordsgissning är även exponerad till Internet, vilket möjliggör för en angripare att genomföra attacken från Internet. Vmware. Under kartläggningen identifierades vsphere-servern, och med hjälp av de behörigheter anskaffat sig i tidigare intrångsförsök kunde man ansluta till denna. Detaljerat resultat och rekommendationer om penetrationstesten finns i den sekretessbelagda rapporten som har överlämnas direkt till IT-avdelningen. 14

Intern och extern penetrationstest (forts.) Det finns ett antal åtgärder som kan genomföras för att höja den totala säkerheten till en högre nivå. Med tanke på de påträffade sårbarheterna ser det ut att finnas ett stort behov av att identifiera och hantera kommunens resurser så att man kan få en överblick av miljön och identifiera sårbarheter. rekommenderar att man ser över rutiner för patchning av servrar och klienter så att det till stor del sker automatiskt samt ger rapporter med jämna intervaller så att man kan identifiera avvikelser. Detta omfattar även att hantera 3:e parts produkter så att även dessa får säkerhetsuppdateringar. En god rutin är att man internt med jämna mellanrum genomför en sårbarhetsanalys på sina resurser. Då ej påträffade någon reaktion från IT-säkerhetsavdelningen tyder det på att det saknas förmåga att identifiera och reagera på attacker såväl internt som externt. rekommenderar därför att man ser över hur man hanterar loggar. rekommenderar att man samlar loggar centralt där de enkelt kan analyseras, från detta kan även automatiskt larm konfigureras när loggarna avviker från de normala. 15

Intern och extern penetrationstest (forts.) Utökad segmentering av nätverk, möjligheten att kommunicera mellan dem, skulle förhindra en angripare från att enkelt nå kritiska resurser. Angreppskomplexiteten som skulle krävas för att utföra intrången i denna rapport skulle öka avsevärt samtidigt som det skulle bli svårare att undvika detektering. Exempelvis bör inte användarnas klientdatorer kunna nå vilka servrar som helst. Endast de nödvändigaste portarna och resurserna bör vara tillgängliga till serversegment. Det finns till exempel sällan en god anledning till att ge användare möjligheten att ansluta till Domänkontrollanten (DC) med Remote Desktop (RDP) port TCP 3389, eller att direkt ansluta till databasservrar (SQL) på port TCP 1433. rekommenderar att man implementerar lösningar för att detektera avvikande användarbeteende. Detta för att kunna identifiera när ett användarkonto används i ett skadligt syfte. Exempel på tillfällen då en sådan mekanism skulle kunna varna administratörer kan vara då användare loggar in från okända IP-adresser vid avvikande tider eller när de ansluter till andra resurser än vanligt. Det finns även möjlighet att identifiera när en pass-the-hash-attack utförs vilket idag är en vanligt förekommande attack vid angrepp mot liknande miljöer. 16

5. Resultat av dokumentgranskningen 17

Resultat av dokumentgranskningen I samband med granskningen av dokumentationen har haft samtal med berörda parter i IT-organisationen och det har framkommit att: Mjölby kommuns IT-organisation har haft flera tunga år och har mycket att få ordning på. IT-organisationens nuläge är en ny CIO som tillsammans med sina 2 närmaste chefer (drift och support) agerar för att komma till ett önskat läge med en tydlighet och adekvat struktur för en optimal IT-avdelning. En personalpolitik som utvecklar medarbetare och verksamheten. Första steget har varit att tydliggöra roller och utmaningar samt krav. Nästa fas (nuläge) är att implementera ett ramverk för att leverera IT-tjänster (en variant av ITIL) där det blir mer naturligt och ett större behov i att skapa nödvändig dokumentation, processer, topologiska kartor osv. 18

Resultat av dokumentgranskningen (forts.) Efter granskningen av den dokumentation som har fått ta del av är :s bedömning att Mjölby kommuns IT-relaterade dokument håller en tillräckligt hög nivå. Dock saknas mycket dokumentation som behöver skapas för att dokumentationen ska vara den trygghet som en verksamhet behöver. Arbetet med att ta fram saknad dokumentation samt hålla den befintliga dokumentationen uppdaterad och reviderad ska inte nedprioriteras. Det är dock viktigt att man genomför detta arbete på ett strukturerat sätt och följer någon typ att standard t ex ITIL. IT-utvecklingen går i dag fort framåt och system och tjänster ändras ständigt. Det är därför viktigt att dokumentationen löpande revideras. :s rekommendation är att man reviderar dokumentationen var tolfte månad. 19

Resultat av dokumentgranskningen (forts.) Revideras dokumentationen regelbundet går det oftast relativt fort, eftersom det då inte rör sig om särskilt omfattande förändringar. rekommenderar också att man inför versionshistorik på dokumentationen för att kunna följa när och av vem dokumenten reviderades. :s bedömning är att IT-organisationen är på rätt väg och att man bör ge dem tid att komma till rätta på ett strukturerat sätt. Dock är :s rekommendation att man gör en återkommande kontroll över dokumentationsläget om ett år. Se bilaga 2 för förslag till genomgång av informationshantering och uppdatering av dokumentation. 20

6. Bilaga 1 21

Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring. 22

7. Bilaga 2 23

Förslag till genomgång av informationshantering och uppdatering av dokumentation 2. Skapa övergripande standard för organisationens informationshantering Standarden beskriver vad olika dokumenttyper ska innehålla, exempelvis: Versionshantering Dokumentansvar Revisonscykel 3. Processbeskrivning för hur dokumentation ska skapas, underhållas och avvecklas Inom respektive ansvarsområde upprättas de rutiner som är nödvändiga för att leva upp till organisationens krav. Exempelvis hur kvalitetsgranskning skall utföras eller hur fastställande av dokument av olika typer utförs. 4. Säkerställ en god struktur Struktur för dokumentation och information måste vara lättöverskådlig och lätt att hitta i även som nyanställd. 5. Inventering av befintlig information Skapa en lista på vilken dokumentation som saknas samt vem som är ansvarig för att ta fram informationen. Gör en prioritering! 1. Identifiera ägaransvar för samtlig information Klargöra vem, dvs, vilken roll som är ansvarig för vilken dokumentation. Exempelvis IT-chef, tekniker och informationssäkerhetsansvarig. 11. Projektavslut Avsluta projekt och överlämning till linjen. 1 2 3 4 12 11 11 10. Fastställande Fastställ den information som kräver detta. 10 9 5 8 6 7 9. Granskningsförfarande Granskning och second opinion på producerad och reviderad dokumentation. 6. Tidplan Sätta en tidplan utifrån prioritering, när dokumentationen bör vara uppdaterad och reviderad. 7. Påbörja uppdatering/ revidering Påbörja det faktiska arbetet med att uppdatera informationen 8. Klassning av dokument Fastställ informationsklass, besluta om revisionscykelns intervall och ev. granskningsförfarande, etc. 24

8. Kontaktuppgifter 25

Kontaktuppgifter Niklas Ljung Projektledare niklas.ljung@pwc.com 0701 96 03 69 Ronald Binnerstedt Penetrationstestare ronald.binnerstedt@pwc.com 0766 37 61 20 2010. All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or IL in any way.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss