Brister i universitetets hantering av IT-incidenter

Internrevisionen kritiserar Stockholms universitets hantering av IT-incidenter. På en rad observationsområden bedömer man risknivån vara “hög”, bland annat saknas den kritiska positionen som informationssäkerhetsansvarig på universitetet.

Företaget PwC har på uppdrag av Stockholms universitets internrevision granskat universitetets hantering av IT-incidenter och hittat flera riskområden. Observationsområdena personal, organisation, styrdokument, rutiner, arbetssätt, systemstöd och andra tekniska hjälpmedel har graderats till risknivå “hög”.

En av de brister som uppmärksammas i internrevisionsrapporten är den vakanta positionen som informationssäkerhetsansvarig, och universitetet uppmanas skyndsamt tillsätta den kritiska rollen. Rapporten visar också att ansvaret för IT-frågor är decentraliserat, vilket försvårar IT-avdelningens möjligheten att ha en överblick av IT-miljön.

Utöver att tillsätta en informationssäkerhetsansvarig råder rapporten universitetet att inventera andra centrala roller som har bäring på incidenthanteringen, tydliggöra ansvarsfördelningen mellan IT-avdelningen och IT-ansvariga på respektive institution, uppdatera styrdokument, göra en översyn av klassificeringssystemet av IT-incidenter, formalisera utvärderingsarbetet och främja enhetlig hantering av IT-incidenter.

I rektors yttrande över rapporten skriver man att internrevisionsrapportens slutsatser är befogade. Arbetet med de förslag på åtgärder som ges i rapporten är antingen påbörjade eller ska nu påbörjas.