Mødedato: 15.01.2020, kl. 13:00
Mødested: Rådhuset, stuen, værelse 43/44

B-sag: Revisionsrapport vedr. generelle IT-kontroller 2019

Se alle bilag

Der skal tages stilling til handleplan til håndtering af bemærkninger fra Deloittes revisionsrapport vedr. generelle IT-kontroller i 2019.


Indstilling

Børne- og Ungdomsforvaltningen indstiller til Børne- og Ungdomsudvalget,

  1. at udvalget godkender forvaltningens handleplan, der er udarbejdet for at imødekomme bemærkningerne fra Deloittes revisionsrapport vedr. generelle IT-kontroller i 2019.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2019 har kommunens eksterne revisor Deloitte foretaget revision af de generelle IT-kontroller, som understøtter kommunens regnskabsaflæggelse. Rapporten fremgår af bilag 1.

Deloitte har afgivet bemærkninger til områder, hvor de anbefaler, at kommunen forbedrer sine indsatser.

Deloitte har i alt to bemærkninger, der vedrører Børne- og Ungdomsforvaltningen. Den ene bemærkning vedrører alene Børne- og Ungdomsforvaltningens Pædagogiske IT (PIT), mens den anden vedrører alle forvaltningers styring af Microsoft SharePoint Online. Begge disse bemærkninger er markeret "rød". En rød bemærkning anvendes for risici, der anses for kritiske. En rød bemærkning skal forelægges udvalget med Forvaltningens handleplan.

Derudover har Deloitte to observationer, der vedrører alle forvaltninger, der handler om deres IT-revisionsbemærkninger fra sidste år. Den ene bemærkning handlede om manglende IT-sikkerhed for programmet Kvantum og den anden handlede om manglende IT-beredskabsplaner. Deloitte konstaterer at begge bemærkninger er blevet adresseret af forvaltningerne, hvormed punkterne kan lukkes.

Løsning

Forvaltningerne skal igangsætte handleplaner, der skal løse forholdende på alle de områder, der påpeges i revisionsbemærkningerne. Børne- og Ungdomsforvaltningen har derfor forberedt handleplaner for bemærkningen vedrørende PIT og bemærkningen vedrørende SharePoint. Begge handleplaner fremgår af bilag 2.

Bemærkningen vedrørende PIT
På revisionsområdet for PIT bemærker Deloitte, at der er manglende og utilstrækkelige krav til passwordopsætningen. Deloittes henstilling er, at PIT fremover bliver underlagt det ønskede IT-sikkerhedsniveau som er fastlagt af og gør sig gældende for Københavns Kommune generelt.

PIT har til opgave at administrere, drifte og supportere IT på skoler og på en række institutioner. PIT’s fokus er på undervisningsudstyr på 0-18 årsområdet. Deloitte bemærker, at login-oplysningerne til PIT’s IT-systemer er baseret på UNI-Login oplysninger fra Styrelsen for IT og Læring (STIL). Deloitte konstaterer, at STIL aldrig har implementeret en password-politik på UNI-Login. Eleverne og pædagogiske medarbejdere skal derfor selv stå for at skifte password med jævne mellemrum. Disse manglende krav til passwordopsætningen medfører, at IT-sikkerhedsniveauet ikke imødegår relevante risici, ligesom det ikke efterlever kommunens krav til passwordpolitikker.

Forvaltningen har i forbindelsen med udarbejdelsen af revisionsrapporten gjort Deloitte opmærksom på, at STIL kommer med et nyt system for UNI-Login d. 18. februar 2020, hvor de ikke længere tilbyder password synkronisering. I den forbindelse skal både elever og pædagogiske medarbejdere fremover anvende PIT’s egen database til login og password, der derefter kobles op på de IT-løsninger, der anvendes fra STIL. Dermed er der allerede truffet beslutning om, at PIT fremover skal implementere passwordpolitikker baseret på kommunens krav.

Handleplan for bemærkningen om PIT
Handleplanen tager udgangspunkt i de tiltag, som Børne- og Ungdomsforvaltningens har igangsat i forbindelse med, at STIL d. 18. februar 2020 stopper password synkroniseringsservicen. Handleplanen, der skal imødekomme Deloittes bemærkning, består af 3 spor:

Spor 1: Teknisk implementering – Januar/Februar 2020
PIT foretager de nødvendige tekniske konfigurationer, så de lever op til politikker for password i Københavns Kommune.

Spor 2: Udvikling af værktøj til decentral password-reset – Januar 2020
Pædagogisk IT er i gang med at få udviklet en webservice, hvor kun de medarbejdere, der har fået tildelt rettigheder til at nulstille password, kan fremsøge deres elever og nulstille deres password.

Spor 3: Information og kommunikation – Januar 2020
Børne- og Ungdomsforvaltningen udarbejder de nødvendige vejledninger (PDF og evt. videoguides) og informerer deres brugere i forhold til de kommende ændringer på området.

Bemærkningen vedrørende Microsoft SharePoint
På revisionsområdet for SharePoint bemærker Deloitte, at Københavns Kommune har en utilstrækkelig styring af brugen af SharePoint. Det medfører risiko for manglende IT-sikkerhed og manglende efterlevelse af databeskyttelsesforordningens paragraf 32.

SharePoint er en webbaseret løsning, der kan bruges til vidensdeling og dokumentstyring. Afdelinger, projektgrupper og enkeltpersoner kan lave egne mapper og filer, der kan deles imellem dem. Datatilsynet har i januar 2019 udtalt alvorlig kritik af, at Københavns Kommunes brug af SharePoint ikke lever op til databeskyttelsesforordningen. Københavns Kommunen har siden igangsat et forvaltningsfælles oprydningsprojekt, som har til formål at rydde op i SharePoint.

Deloitte konstaterer, at der på nuværende tidspunkt ikke er gennemført en komplet gennemgang af SharePoint brugere, og hvem der har hvilke rettigheder, ligesom der på nuværende tidspunkt ikke har været en tilstrækkelig oprydning i alle data, filer og mapper, der er oprettet i SharePoint.

Handleplan for bemærkningen om SharePoint
Børne og Ungdomsforvaltningen har igangsat arbejdet med at rydde op i SharePoint og starter med at fjerne adgang til SharePoint for de mest kritiske sites. Sites med meget store medlemsantal behandles først. Sideløbende og som afhjælpende foranstaltning oprettes særskilte sites til ledere i Forvaltningen, hvor evt. beskyttede ledelsesmapper kan flyttes til forud for sletning af rettigheder på samtlige sites.

I december 19 gennemføres en pilottest af oprydningen på Sharepoint i Forvaltningen. Primo januar planlægges den videre oprydning decentralt. Det bliver en meget omfattende opgave for de decentrale ledere. Derfor er Børne- og Ungdomsforvaltningen i lighed med de øvrige forvaltninger bekymret for tidsperspektivet. Forvaltningen kommer til at gennemføre oprydningen på en måde, der sikrer hensynet til kernedriften.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Økonomiudvalget får forventeligt fremlagt revisionsrapport og handleplaner medio januar 2020.

 

 

 

Tobias Børner Stax                              /Sti Andreas Garde 

 

 

Beslutning

Børne- og Ungdomsudvalgets beslutning på mødet den 15. januar 2020:

Indstillingen blev godkendt.

Til top