Space for KPMG report findings and actions from it revision year 2025. Focus IFS and Vivaldi, also some HR/AD things to handle. (from year 2024 and 2025)
KPMG actions regarding IFS will be covered under IFS cloud journey .
KMPG report to be added and also splitted for actions i PO teams, Infra, Sec
KPMG focus areas 2026, to be confirmed. Tests to be done week xx-xx. - IFS - Vivaldi - Active Directory - (Jira)
KPMG like to receive, to 'understand Ahlsell IT':
KPMG questions
Responsible
Uploaded to KPMG file share (date)
The main document with information about the business ("KPMG_Ahlsell intro Revision" was the name last year.) o This document contained various types of information such as supplier changes etc.
Organizational chart.
System map.
Cyber Self-Assessment (Digital Maturity, AI, and security).
Daniel/Niclas
Information Security Policy.
Daniel/Niclas
IT Policy.
Daniel/Niclas
Epics (0)
No epics linked to this initiative.
Password Policy.
Daniel/Niclas
Contract/service descriptions (SLA for CGI and IFS).
Rikard: CGI Anthony: IFS
Incident management process (if there has been an update).
Rikard/Lars
List of which subsidiaries exist and additional information about what is handled centrally and what is handled separately by each company.
Anders/Maria
Yearly reports IFS SOC1 type2 and CGI ISAE3402
Rikard: CGI Anthony: IFS
All the materials requested to be uploaded to KPMG file share area: Ahlsell IT Revision 2025 > From Ahlsell to KPMG > Understanding of IT.
KPMG report 2024: Guideline for access to KPMG file share:
KPMG recommendations from 202 report
KPMG report ID:
Recommendation
Jira ticket/status
1.
NÀr vi granskar förfarandet för tillÀgg av behörigheter i IFS10, uppmÀrksammar vi fortfarande bristen pÄ en formaliserad och dokumenterad rutin. Vi rekommenderar att rutinen för hantering av behörigheter harmoniseras mellan de nordiska lÀnderna och implementeras centralt pÄ ett sÀtt som möjliggör en pÄlitlig spÄrbarhet av samtliga tillÀgg av behörigheter. Vi rekommenderar att följande information bör finnas med i tickets för att öka spÄrbarheten: ⹠Person som efterfrÄgar behörighet ⹠Person som ska tilldelas behörighet ⹠Specifikation kring vilken typ av behörighet som efterfrÄgas och anledning till varför den ska tilldelas ⹠GodkÀnnande frÄn lÀmplig person Vidare rekommenderar vi att definierade roller och lÀmpliga personer bör definieras och dokumenteras separat.
Epic ID?
2.
Under Ärets granskning har vi noterat att det finns en informell rutin för att inaktivera anvÀndare i IFS10 i samband med att anstÀllda slutar pÄ bolaget. Vi har testat kontrollen borttag av behörighet i IFS10 genom att jÀmföra listan pÄ personal som slutat under rÀkenskapsÄret med listan pÄ aktiva anvÀndarkonton. Resultatet frÄn vÄr granskning visar pÄ att 4 personer fortfarande hade aktiva anvÀndarkonton i IFS10 efter avslutad anstÀllning. Vi har kunnat verifiera att 3 av 4 anvÀndare har blivit inaktiverade i Active Directory och inte haft Ätkomst till IFS10 efter slutdatum. Vi identifierade en anvÀndare som inte hade blivit inaktiverad i varken Active Directory eller IFS10 vid slutdatum, för denna anvÀndare har vi tagit emot underlag som visar att senaste verifikat i IFS10 registrerades innan slutdatum passerades. Vi noterar att bristen kvarstÄr
Epic ID?
3.
I Ärets granskning av kontrollen periodisk genomgÄng av behörigheter noterades det att det fortsatt saknas en formellt dokumenterad rutin för periodiska behörighetsgenomgÄngar i IFS10. Observationen frÄn tidigare Är kvarstÄr.
Epic ID?
4.
Vi noterar att bristen kvarstÄr. Det finns ingen rutin för periodisk granskning av anvÀndare med höga behörigheter IFS10.
Epic ID?
5.
Active Directory, lösenordskontroll. Lösenordsriktlinjen uppdaterades och godkÀndes under Är 2024 har ej kommunicerat ut till berörda för realisering Àn dÀr av 12 tecken enligt tidigare riktlinje (2023). Detta kommer att realiseras under Äret
Epic ID?
6.
Under Ärets granskning har vi identifierat 5 anvÀndare som inte har inaktiverats i Vivaldi enligt rutin. à tkomst till Vivaldi Àr integrerat med Active Directory (Single sign-on) vilket medför att det krÀvs ett aktivt AD-konto för att fÄ tillgÄng till Vivaldi. Vi har kunnat verifiera att dessa anvÀndare har blivit inaktiverade i Active Directory och sÄledes inte haft Ätkomst till Vivaldi efter slutdatum. Vi noterar att bristen kvarstÄr.
Epic ID?
7.
I Ärets granskning av kontrollen periodisk genomgÄng noterades det att det fortsatt saknas en formellt dokumenterad rutin för periodiska behörighetsgenomgÄngar i Vivaldi. Observationen frÄn tidigare Är kvarstÄr.
Epic ID?
Vivaldi Höga behörigheter. Vi har en manuell rutin för genomgÄng av de anvÀndare som har SHELL behörighet en gÄng i kvartalet dÄ vi tar bort de som slutat eller inte lÀngre behöver den höga behörigheten för sin roll
Epic ID?
9.
Vivaldi Segregering av arbetsuppgifter vid förÀndringsmigration
I Ärets granskning har vi identifierat 6 anvÀndare som har Ätkomst att bÄde utveckla Àndringar samt logga in pÄ IMESS-kontot som anvÀnds för att installera Àndringar i produktion. Det finns dÀrför ingen teknisk segregering av arbetsuppgifter i förÀndringshanteringen. Vi noterar att bristen kvarstÄr.
Rikard Eriksson
Anders Forss
