Space for KPMG report findings and actions from it revision year 2024. Focus IFS and Vivaldi, also some HR/AD things to handle. (from year 2024)
KPMG actions regarding IFS will be covered under IFS cloud journey .
KMPG report to be added and also splitted for actions i PO teams, Infra, Sec
KPMG focus areas 2025, to be confirmed. Tests to be done week xx-xx. - IFS - Vivaldi - Active Directory - (Jira)
KPMG like to receive, to 'understand Ahlsell IT':
KPMG questions
Responsible
Uploaded to KPMG file share (date)
The main document with information about the business ("KPMG_Ahlsell intro Revision" was the name last year.) o This document contained various types of information such as supplier changes etc.
Anders/Maria
Organizational chart.
Anders/Maria
System map.
Anders/Martin
Cyber Self-Assessment (Digital Maturity, AI, and security).
Daniel/Niclas
Information Security Policy.
Daniel/Niclas
IT Policy.
Epics (0)
No epics linked to this initiative.
Daniel/Niclas
Password Policy.
Daniel/Niclas
Contract/service descriptions (SLA for CGI and IFS).
Rikard: CGI Anthony: IFS
Incident management process (if there has been an update).
Rikard/Lars
List of which subsidiaries exist and additional information about what is handled centrally and what is handled separately by each company.
Anders/Maria
Yearly reports IFS SOC1 type2 and CGI ISAE3402
Rikard: CGI Anthony: IFS
All the materials requested to be uploaded to KPMG file share area: Ahlsell IT Revision 2025 > From Ahlsell to KPMG > Understanding of IT.
KPMG report 2024: Guideline for access to KPMG file share:
KPMG recommendations from 202 report
KPMG report ID:
Recommendation
Jira ticket/status
1.
När vi granskar förfarandet för tillägg av behörigheter i IFS10, uppmärksammar vi fortfarande bristen på en formaliserad och dokumenterad rutin. Vi rekommenderar att rutinen för hantering av behörigheter harmoniseras mellan de nordiska länderna och implementeras centralt på ett sätt som möjliggör en pålitlig spårbarhet av samtliga tillägg av behörigheter. Vi rekommenderar att följande information bör finnas med i tickets för att öka spårbarheten: • Person som efterfrågar behörighet • Person som ska tilldelas behörighet • Specifikation kring vilken typ av behörighet som efterfrågas och anledning till varför den ska tilldelas • Godkännande från lämplig person Vidare rekommenderar vi att definierade roller och lämpliga personer bör definieras och dokumenteras separat.
Epic ID?
2.
Under årets granskning har vi noterat att det finns en informell rutin för att inaktivera användare i IFS10 i samband med att anställda slutar på bolaget. Vi har testat kontrollen borttag av behörighet i IFS10 genom att jämföra listan på personal som slutat under räkenskapsåret med listan på aktiva användarkonton. Resultatet från vår granskning visar på att 4 personer fortfarande hade aktiva användarkonton i IFS10 efter avslutad anställning. Vi har kunnat verifiera att 3 av 4 användare har blivit inaktiverade i Active Directory och inte haft åtkomst till IFS10 efter slutdatum. Vi identifierade en användare som inte hade blivit inaktiverad i varken Active Directory eller IFS10 vid slutdatum, för denna användare har vi tagit emot underlag som visar att senaste verifikat i IFS10 registrerades innan slutdatum passerades. Vi noterar att bristen kvarstår
Epic ID?
3.
I årets granskning av kontrollen periodisk genomgång av behörigheter noterades det att det fortsatt saknas en formellt dokumenterad rutin för periodiska behörighetsgenomgångar i IFS10. Observationen från tidigare år kvarstår.
Epic ID?
4.
Vi noterar att bristen kvarstår. Det finns ingen rutin för periodisk granskning av användare med höga behörigheter IFS10.
Epic ID?
5.
Active Directory, lösenordskontroll. Lösenordsriktlinjen uppdaterades och godkändes under år 2024 har ej kommunicerat ut till berörda för realisering än där av 12 tecken enligt tidigare riktlinje (2023). Detta kommer att realiseras under året
Epic ID?
6.
Under årets granskning har vi identifierat 5 användare som inte har inaktiverats i Vivaldi enligt rutin. Åtkomst till Vivaldi är integrerat med Active Directory (Single sign-on) vilket medför att det krävs ett aktivt AD-konto för att få tillgång till Vivaldi. Vi har kunnat verifiera att dessa användare har blivit inaktiverade i Active Directory och således inte haft åtkomst till Vivaldi efter slutdatum. Vi noterar att bristen kvarstår.
Epic ID?
7.
I årets granskning av kontrollen periodisk genomgång noterades det att det fortsatt saknas en formellt dokumenterad rutin för periodiska behörighetsgenomgångar i Vivaldi. Observationen från tidigare år kvarstår.
Epic ID?
Vivaldi Höga behörigheter. Vi har en manuell rutin för genomgång av de användare som har SHELL behörighet en gång i kvartalet då vi tar bort de som slutat eller inte längre behöver den höga behörigheten för sin roll
Epic ID?
9.
Vivaldi Segregering av arbetsuppgifter vid förändringsmigration
I årets granskning har vi identifierat 6 användare som har åtkomst att både utveckla ändringar samt logga in på IMESS-kontot som används för att installera ändringar i produktion. Det finns därför ingen teknisk segregering av arbetsuppgifter i förändringshanteringen. Vi noterar att bristen kvarstår.
Rikard Eriksson
Anders Forss
