08.7. Bilaga 6. Granskning av förbundets IT-verksamhet

Brandkåren Attunda Revisionen

Revisionsskrivelse 2019-01-11

Förbundsdirektionen

Granskning av förbundets IT-verksamhet

På vårt uppdrag har PwC genomfort en granskning av ovanstående område.

Granskningsresultatet framgår av bifogad revisionsrapport.

Efter genomförd granskning bedömer vi att ledningen i huvudsak har säkerställt en god IT-miljö. Däremot bedömer vi att ledningen inte säkerställt att IT- organisationen arbetar systematiskt med IT-säkerheten.

Det finns en ambition om att skapa en väl fungerande IT-organisation, dock krävs ett antal åtgärder för att arbetet ska optimeras. Mot bakgrund av för granskningen gjorda iakttagelser uppmanar vi förbundet att beakta de rekommendationer som framgår av bifogad rapport i sitt fortsatta arbete.

Vi önskar en skriftlig redovisning av vilka åtgärder som förbundsdirektionen kommer att vidta med anledning av genomförd granskning och lämnade rekom- mendationer. Svaret förutses kunna behandlas i samband med vår slutrevision för 2018, dvs i mars 2019.

För förbundets revisorer

Brandkåren Attunda

Granskning av

räddningstjänstens IT- verksamhet

December 2018

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Innehåll

2 Bakgrund och syfte 5 3 Kontrollmål 6 4 Metod och fokus 7 5 Revisionell bedömning 8 6 Detaljerad analys 9 7 Avslutning 17 8 Bilaga 1 18

Brandkåren Attunda

PwC ²

1 Sammanfattning

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Sammanfattning

Revisorerna har i sin riskanalys för 2018 bedömt att det finns en risk att Brandkåren Attunda inte har säkerställt att den tekniska IT- säkerheten är tillfredsställande och att IT-funktionen inte arbetar optimalt. Rapporten avser att belysa följande övergripande revisionsfråga:

> Har ledningen for Brandkåren Attunda säkerställt att man har en god IT-miljö och att IT-organisationen arbetar systematiskt med IT-säkerheten?

Efter genomförd granskning bedömer vi att ledningen i huvudsak har säkerställt en god IT-miljö. Däremot bedömer vi att ledningen inte säkerställt att IT-organisationen arbetar systematiskt med IT-säkerheten. Det finns en ambition om att skapa en väl fungerande IT- organisation, dock krävs ett antal åtgärder för att arbetet ska optimeras.

De främsta observationerna (och rekommendationerna):

• IT-styrdokumenten är korta och koncisa. Man behöver dock säkerställa att nödvändiga styrdokument är tillgängliga off-line samt att teknisk dokumentation finns på plats i större utsträckning.

• Det bör finnas en formell ägare av behörighetshanteringen för att säkerställa att processer avseende behörigheter efterlevs.

Nyttjande av konton med särskilda rättigheter bör ses över.

• Ett mer strukturerat IT-säkerhctsarbete ökar förståelsen för vilka säkerhetsåtgärder som behöver vidtas och när.

• En skriftlig plan för hur och när ldient, server, brandväggar, routrar ska uppdateras bör tas fram för att minimera risken för säkerhetsproblem.

• Dagens förändringsarbete omfattar främst underhållsplaner som beskriver vilka system som ska uppdateras och när. Förändring och utveckling inom IT går dock snabbt och det är viktigt att upprätta strukturerade planer för hur förändringsarbetet ska bedrivas internt.

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1 1 Sammanfattning "

Sammanfattande bedömning

Kontrollmål Bedömning Bedömning

i Finns det en väl optimerad och fungerande IT-organisation? Det finns en fungerande IT-organisation, dock kan denna inte anses som väl optimerad då det finns brister i arbetssätt.

2 Finns de styrande IT-dokument som organisationen behöver och revideras dessa kontinuerligt?

Ett gediget arbete har gjorts för att få de styrande dokumenten på plats, dock återstår det en del arbete med den tekniska

dokumentationen.

3 Finns det en god behörighetshantering? Det saknas ägare av behörighetsprocessen och det finns brister i hur

IT-organisationen hanterar konton med speciella rättigheter.

•

4 Bedriver IT-organisationen ett aktivt IT-säkerhetsarbete för att minska risken för intrång?

I dagsläget bedrivs inget strukturerat och aktivt IT-säkerhetsarbete.

•

5 Arbetar IT-organisationen kontinuerligt och strukturerat med att hålla all teknisk hårdvara uppdaterad?

Det behöver bli ett mer strukturerat arbetssätt, framförallt när det gäller t.ex. brandvägg, switchar, trådlösa routrar, backupsystem och Vmware-lösningar.

Brandkåren Attunda PwC

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1 2 Bakgrund och syfte

Bakgrund och syfte

Inledning

Revisorerna har i sin riskanalys för 2018 bedömt att det finns en risk att Brandkåren Attunda inte har säkerställt att den tekniska IT- säkerheten är tillfredsställande och att IT-funktionen inte arbetar optimalt.

Resultatet av granskningen presenteras i denna rapport.

Bakgrund

Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, s.k. cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden.

Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller

informationsinfrastruktur.

övergripande revisionsfrägor

Rapporten avser att belysa följande övergripande revisionsfråga:

> Har ledningen för Brandkåren Attunda säkerställt att man har en god IT-miljö och att IT-organisationen arbetar systematiskt med IT-säkerheten?

För att besvara de övergripande revisionsfrågorna, har fem kontrollmål definierats, se nästa sida.

3 Kontrollmål

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Kontrollmål

Kontrollmål

1. IT-organisation

Finns det en väl optimerad och fungerande IT-organisation?

2. Styrdokument

Finns de styrande IT-dokument som organisationen behöver och revideras dessa kontinuerligt?

3. Behörighetshantering

Finns en god behörighetshantering?

4. IT-säkerhet

Bedriver IT-organisationen ett aktivt IT-säkerhetsarbete för att minska risken för intrång?

5. Hårdvara

Arbetar IT-organisationen kontinuerligt och strukturerat med att hålla all teknisk hårdvara uppdaterad?

Brandkåren Attunda

PwC ₆

4 Metod och fokus

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Metod och fokus

Granskningen har genomförts enligt ITM-metoden. ITM-metoden bygger på fem områden som tillsammans representerar och sammanfattar IT-verksamheten inom en organisation. Metoden tar även hänsyn till så kallad "good practice" inom IT generellt och jämför erhållet resultat med hur IT hanteras hos andra organisationer.

Resultatet bygger på intervjuer med identifierade nyckelpersoner i regionen, (se interyjulista, bilaga i ) samt inläsning och genomgång av tillgänglig dokumentation och styrande dokument.

G r a d a v f o k u s

IB 2

Informationssäkerhet

• Finns det en tydlig målbild och ansvarsfördelning för arbetet med informationssäkerhet? Hur arbetar man med att klassificera och kategorisera data samt känslig information? Är kravställningen mot IT-drift och IT-säkerhet tydlig?

( 3

Teknisk säkerhet

• Hur arbetar organisationen med att utveckla och hålla sig å jour med den tekniska säkerheten? Hur säkerställer man säkerheten hos interna och externa system? Sker det löpande uppdatering av tekniska komponenter? Sårbarhetsskannas I systemen regelbundet? Finns detsystem som kan detektera intrång?

@ )

Drift

Hur ser den dagliga driften ut? Hur ser processer, rutiner, dokumentation samt loggföring ut för driftorganisationen?

Är driftorganisationen ordentligt rustad för att klara ett systemhaveri?

Organisation och personal

Hur ser rollfördelningen ut inom organisationen? Finns det en tydlig ansvarsfördelning? Är bemanningen i

driftorganisationen samt service-desk tillräcklig och har de rätt kompetens? Är organisationen strukturerad och uppbyggd för att inte hamna i beroende till nyckelpersoner?

Utveckling och framtid

• Hur arbetar organisationen med förändringsarbete, utveckling och målsättningar? Finns det planer och strategier för att leda organisationen framåt? Finns tydliga mål och visioner från ledningen uppsatta och dokumenterade?

— I

1 (1 d 6 O

Stort fokus Litet fokus

3

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning I Detaljerad analys I Avslutning I Bilaga 1 5 Revisionell bedömning

Revisionell bedömning

Ö v e r g r i p a n d e r e v i s i o n s f r å g a

> Har ledningen för Brandkåren Attunda säkerställt att man har en god IT-miljö och att IT-organisationen arbetar systematiskt med IT-säkerheten?

B e d ö m n i n g

Efter genomförd granskning bedömer vi att ledningen i huvudsak har säkerställt en god IT-miljö. Däremot bedömer vi att ledningen inte säkerställt att IT-organisationen arbetar systematiskt med IT-säkerheten. Det finns en ambition om att skapa en väl fungerande IT-organisation, dock krävs ett antal åtgärder för att arbetet ska optimeras.

• Det finns ingen formaliserad plan för kompetensutveckling. En plan är viktig för att säkerställa att verksamhetens IT-behov på sikt kan tillgodoses, både ur ett drift- och IT-säkerhets perspektiv.

• IT-styrdokumenten är korta och koncisa. Man behöver dock säkerställa att nödvändiga styrdokument samt teknisk dokumentation finns tillgängliga off-line för att kunna nyttjas i händelse av ett haveri.

• Det bör finnas en formell ägare av behörighetshanteringen för att säkerställa att processer, regler och rutiner avseende behörigheter efterlevs.

• Ett mer strukturerat IT-säkerhetsarbete, med en uttalad IT-säkerhetsansvarig, ökar förståelsen för vilka säkerhetsåtgärder som behöver vidtas och när, samt sköta omvärldsbevakningen.

• All information behandlas som lika skyddsvärd. Genom en system/informationsklassificering finns möjligheten att värdera informationen så att tillräcklig nivå på säkerhets- och driftåtgärder och kan införas.

Brandkåren Attunda

PwC 8

6 Detaljerad analys

Innehåll | Sammanfattning Bakgrund och syfte | Kontrol.må. | Metod | Revisionen bedömning \ Detaljerad ana.ys 1 Avslutning | Bilaga 1

Detaljerad analys

Observationer och b e d ö m n i n g

6 Detaljerad analys

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Kontrollmål i -

Finns det en väl optimerad och fungerande IT-organisation?

Observationer

• I dagsläget arbetar tre personer inom IT-enheten, varav en teknisk chef, en IT-administratör samt en IT-samordnare. De är

positionerade på olika kontor men har daglig kontakt.

• Det finns brister i IT-säkerhetsarbetet, både i kompetens och struktur. I de fall det krävs mer specialiserad kunskap anlitas underkonsulter (avseende t.ex. uppdatering av den virtuella miljön). Utrymme ges för kompetensutveckling, men det finns ingen plan för vilka utbildningar som ska genomgås och när.

• För att uppfånga verksamhetens IT-behov, finns en formaliserad organisationsstruktur bestående av systemförvaltare och

systemägare. Systemägarna är de som formellt ska kravställa mot IT. Minst en gång per år ska systemägare, systemförvaltare och teknisk chef sammanträda för att utvärdera verksamhetens IT- behov.

• IT-administratören och IT-samordnaren besöker samtliga kontor c gång i veckan för att uppfånga verksamhetens IT-behov.

• Kraven på IT dokumenteras i brandförsvarsförbundets IT-strategi som utvärderas på årlig basis.

B e d ö m n i n g

• Det är endast två personer som är delaktiga i det dagliga IT- arbetet. Det gör att IT-enheten är mycket personberoende och bemanningssvårigheter kan uppstå vid t.ex. sjukdom,

uppsägning eller semester. Detta gör att vikten av dokumentation blir än viktigare.

• Det finns ingen formaliserad plan för kompetensutveckling.

En plan är viktig för att säkerställa att verksamhetens IT- behov kan tillgodoses. Vidare möjliggör det ett mer proaktivt arbete, där problem kan lösas snabbt och effektivt. Behovet av underkonsulter minskar även då problem kan lösas internt.

• IT -organisationen uppfyller sin funktion sett till

verksamhetens IT-behov. Organisationen är dock inte optimal med tanke på att det inte bedrivs något aktivt IT-

säkerhetsarbete eller strukturerad behörighetshantering.

Brandkåren Attunda

PwC ₁₀

6 Detaljerad analys

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Kontrollmål 2 -

Finns de styrande IT-dokument som organisationen behöver och revideras dessa kontinuerligt?

Observationer

• I dagsläget är IT-styrdokumenten uppdelade på fyra nivåer; i) Strategi 2) Policy 3) Riktlinjer 4) Instruktioner.

• Dokumenten versionhanteras och har en ägare. Ägarens namn är inte utskrivet på dokumenten.

• En årlig automatisk påminnelse skickas ut till ansvarig dokumentägare i syfte att säkerställa löpande revidering.

• Samtliga styrdokument är godkända av ledningen.

• Styrdokumenten förvaras digitalt i Canea.

• Det finns brister i den tekniska dokumentationen.

• Nödvändig teknisk dokumentation är inte tillgänglig off-line i händelse av haveri.

B edömning

• Samtliga styrdokument innehåller den mängd information som är nödvändig för verksamheten. Avsnitten är korta och koncisa där innehållet är lätt att förstå.

• Ägare, versionsnummer och datum bör finnas utskrivet i t.ex.

sidhuvudet på respektive styrdokument.

• Ett gediget arbete har gjorts för att få styrdokumenten på plats. Det visar att det finns en ambition om att skapa struktur kring IT-enhetens verksamhet.

• IT-enheten ges en god möjlighet till regelbunden uppdatering av styrdokumenten i samband med den automatiska

påminnelse som skickas ut. Dock finns styrdokument som är daterade till 2015 (se IT-säkerhetspolicy) vilket tyder på att processen inte till fullo uppfyller sitt syfte.

• Teknisk dokumentation finns men behöver utökas i

omfattning och bör vara utformad så att en extern ersättare kan använda dokumentationen för att kunna tex återställa systemen efter en incident. Det är också viktigt att den finns tillgänglig off-line i händelse av haveri eller incident för att underlätta snabb återställning.

6 Detaljerad analys

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Kontrollmål 3 -

F i n n s en god b e h ö r i g h e t s h a n t e r i n g ?

Observationer

• I dagsläget finns ingen uttalad ägare av hela

behörighetshanteringen. Tidigare har ansvaret varit fördelat på de medarbetare som arbetar med administration.

• Upplägg och borttag av behörigheter hanteras genom en intern Service Desk. Vid upplägg initierar HR processen och IT registrerar grundbehörighet (t.ex. inloggning till

användarkonto). I de fall särskild behörighet ska registreras, initieras detta av systemförvaltare där IT slutför processen i AD-integrerade system. Är systemen inte AD-integrerade sä styr systemförvaltaren rättigheterna själv.

• Upplägg av behörighet anses fungera väl medan borttagning inte följer någon tydlig process. Ingen uppföljning sker för att utvärdera om de medarbetare som avslutat sina tjänster också fått sina konton raderade. Vidare görs ingen regelbunden översyn av organisationens konton. IT begär dock, på eget initiativ, en lista cirka en gång i halvåret över vilka medarbetare som avslutat sina tjänster för att stämma av med antalet aktiva konton.

• Behörighetshanteringen är inte dokumenterad med regler och rutiner.

• Administratörskonton är fortfarande inte personliga utan används av flera personer.

• Det finns ingen policy som reglerar hur domänadmin och konton med speciella rättigheter ska användas.

• Lösenordspolicyn omfattas av 8 tecken. Det finns inget krav pä innehåll (avseende versaler, gemener och specialtecken).

Lösenordet byts var 90:e dag.

• Organisationen håller sig in le uppdaterade med aktuella lösenordsrekommendationer.

• Det finns inget system för att hålla ordning på lösenorden till systemkonton, domänadmin och konton med speciella rättigheter.

Brandkåren Attunda

PwC ₁₂

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

6 Detaljerad analys .

Kontrollmål 3 -

Finns en god behörighetshantering?

Bedömning

• Det bör rinnas en formell ägare av behörighetshanteringen för att säkerställa att processer, regler och rutiner avseende behörigheter efterlevs. Vidare kan en uttalad ägare öka

möjligheten för regelbunden granskning av konton i allmänhet, och avslutade konton i synnerhet. Även om IT-enheten, på eget initiativ, gör granskningar följer inte detta någon strukturerad process och därav säkerställs inte regelbunden uppföljning.

• Även om IT kan anses ha en bra förståelse för vilka personer som arbetar inom verksamheten (och därav förståelse för vilka som avslutat sina tjänster) är det inte tillräckligt för att

säkerställa att antalet medarbetare som slutat motsvarar antalet avslutade konton.

• Dokumenterade rutiner för tilldelning, granskning och avslut av behörigheter är nödvändigt för att säkerställa att rätt

personer har tillgång till rätt information, vilket minskar risken för obehörig åtkomst.

• All personal som arbetar i IT-systemen bör ha två typer av användarkonton, ett som används i samband med att dagliga ärenden uträttas och ett som används i samband med att arbete utförs i systemen. Kontona ska vara personliga.

• Lösenordspolicyn bör förstärkas. Krav på minst en versal, gemener och specialtecken bör införas. Ett lösenord bestående av 12-15 tecken är säkrare än ett lösenord bestående av enbart 8 tecken. Det är också viktigt att man inte har obegränsat med inloggningsförsök utan att kontot blir låst vid för stort antal felaktiga inloggningar samt att man måste byta lösenord vid första inloggning efter att man erhållit nytt lösenord från IT.

• Det är viktigt att organisationen håller sig uppdaterad om förändrade säkerhetsnormer för t.ex. lösenord.

• Organisationen bör säkerställa att förvaringen av lösenord till systemkonton, domänadmin och konton med speciella

rättigheter sker på ett säkert vis.

Innehåll | Sammanfattning Bakgrund och syfte I Kontrollmål I Metod I Revisionell bedömning I Detaljerad analys I Avslutninq I Bilaqa 1 6 Detaljerad analys \ ;

I

Kontrollmål 4 -

Bedriver IT-organisationen ett aktivt IT-säkerhetsarbete f ö r att minska risken f ö r intrång?

Observationer

• I dagsläget bedrivs inget aktivt IT-säkerhetsarbete. Det finns ingen medarbetare som innehar ansvaret för upplägg och planering i syfte att skydda organisationens information, hårdvara och mjukvara. IT-säkerhetsarbetet är reaktivt och initieras när behov uppstår.

• IT-enheten gör en bedömning av vilka säkerhetsåtgärder som ska vidtas (t.ex. när backup eller uppdatering ska göras). Åtgärderna baseras inte på systemförvaltarnas eller systemägarnas krav.

• System och informationsklassning görs inte. All information, oberoende av dess innehåll, skyddas på samma sätt.

• Det finns inget formellt upplägg för hur IT-enheten arbetar med omvärldsbevakning och sårbarhetsanalyser. Omvärldsbevakning görs då intresse eller behov uppstår. Sårbarheter upptäcks endast med hjälp av virusskydd.

• Datahallen kyls av ett kylsystem samt har redundant

elförsörjning. SMS skickas till IT-administratör när temperaturen ^{S O}m finns. Sårbarheter omfattar allt som gör ett IT-system överstiger gränsvärdet. känsligt för angrepp och kan därför inte enbart upptäckas

med hjälp av virusskydd. Utan en grundlig förståelse av dessa faktorer blir det svårt att bedriva ett förebyggande IT-säkerhetsarbete.

B e dömni ng

• Ett mer strukturerat IT-säkerhetsarbete ökar förståelsen för vilka säkerhetsåtgärder som behöver vidtas och när. För att strukturera detta arbete bör en person inom IT-enheten fa ett formellt IT-säkerhetsansvar. En viktig del av arbetet med IT-säkerhet handlar om att förstå vilka hot som eventuellt finns mot organisationen och vidta lämpliga skyddsåtgärder. Även om hotbilden mot Brandkåren Attunda (avseende t.ex. hot från främmande makt) inte anses som särskilt allvarlig, behövs ändå ett strukturerat upplägg för att arbeta mer förebyggande.

• I dagsläget behandlas all information som lika skyddsvärd.

Genom en system/informationsklassificering finns

möjligheten att värdera informationen så att tillräcklig nivå på såväl säkerhetsåtgärder som driftmiljö kan införas.

• Ett proaktivt IT-säkerhetsarbete är beroende av en god förståelse av verksamheten, omvärlden och de sårbarheter

Brandkåren Attunda

PwC 14

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1 6 Detaljerad analys

Kontrollmål 5 -

Arbetar IT-organisationen kontinuerligt och strukturerat ined att hålla all teknisk hårdvara uppdaterad?

Observationer

• I dagsläget har majoriteten av verksamhetens datorer

operativsystemet Windows 7. Tanken är att fasa ut nuvarande version och uppdatera till Windows 10. Det finns ingen formaliserad tidsplan för detta. Alla nya bärbara datorer som utdelas har Windows 10 och alla datorer förväntas vara utbytta inom cirka 2 år.

• Majoriteten av verksamhetens servrar är uppdaterade till Windows Server 2016, tre servrar är kvar på Windows Server 2008. Anledningen till att tre servrar ligger kvar på 2008 är för att applikationerna inte stödjer 2016. IT-enheten planerar att uppdatera samtliga servrar till 2016 så fort lösning finns tillgänglig.

• Uppdatering/patchning avseende brandväggar, switchar och trådlösa routrar görs oregelbundet. Server- och

klientuppdatering görs löpande.

• Den virtuella Vmware-lösningen, är av version 6.5 och ligger således 2 versioner efter.

• Backupsystemet uppdateras oregelbundet.

Bedömning

• En skriftlig plan för när operativsystemet (klient, server och databaser) ska uppdateras bör tas fram för att säkerställa att verksamheten inte har för gamla operativsystem.

• Det bör tas fram en rutin och en tidplan för när t.ex.

brandvägg, switchar, trådlösa routrar, backupsystem och Vmware-lösningar ska uppdateras. Detta för att minimera risken för att någon del inte uppdateras i tid.

• Det är positivt att IT-organisationen har uppdaterat majoriteten av serveroperativsystemen till Windows Server 2016 (förutom tre som i dag ej går att uppdatera).

6 Detaljerad analys

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Övrigt

• Förändring och utveckling inom IT-området går snabbt. IT-enheten bör arbeta mer proaktivt för att hålla sig uppdaterad om t.ex. nya system, säkerhetsuppdateringar och övrig teknik.

• Det finns en ambition och vilja att driva arbetet inom IT-enheten framåt. Dock hämmas ambitionen då ledningen inte upplevs ge tillräcklig respons.

• Det är positivt att Attunda har genomfört ett informationssäkerhetsarbete. Ett nästa steg i

informationssäkerhetsarbetet är att klassa verksamhetens information och system för att kunna ligga till grund för dom säkerhetskrav som ställs på IT-miljön.

Brandkåren Attunda

PwC ₁₆

7 Avslutning

Avslutning

2019-01-11

Richard Vahul Uppdragsledare

Innehåll | Sammanfattning BaKgrund och syfte | Kontrotlmå! | Metod | Revis,onell bedömning | P e ^ e r a d anatys | AvsMning | B«aga 1

Niklas Ljung Projektledare

8 Bilaga 1

Bilaga i

Innehåll | Sammanfattning Bakgrund och syfte | Kontrollmål | Metod | Revisionell bedömning | Detaljerad analys | Avslutning | Bilaga 1

Intervjulista

Roll Verksamhet

Teknisk chef

IT-tekniker IT

Brandkåren Attunda

PwC ₁₈

pwc