För att kunna återställa förlorad eller felaktigt ändrad information eller systemkonfigurationer behöver organisationen göra säkerhetskopior och ha en förmåga att läsa tillbaka informationen från dessa. Förmågan gäller både enskilda filer såsom att kunna återställa hela informationssystem.
Vid angrepp, eller vid oavsiktliga händelser, kan konfigurationer, mjukvara eller information ändras, raderas eller förstöras. Ett exempel är angrepp där kryptovirus används och som resulterar i att hela eller delar av informations- system krypteras så att de blir otillgängliga. Ett annat exempel kan vara att ett centralt lagringssystem får sitt filsystem korrupt på grund av felaktig hårdvara.
Även själva hanteringen av säkerhetskopior kan medföra risker. Säkerhetskopian är en avbild vid en viss tidpunkt av den information som lagras i ett eller flera informationssystem. Om den hanteras eller lagras på ett bristfälligt sätt, kan informationen komma obehöriga till del, ändras eller förstöras. Säkerhetskopior som är filbaserade och som går att nå via vanliga filsystemanrop är sårbara vid incidenter där kryptovirus förstör data på alla skrivbara filytor.
Beroende på hur säkerhetskopian är gjord, eller lagrad, kan återläsningstiden påverkas eller i vissa fall till och med medföra att återläsning är omöjlig. En uppgradering av funktionen för säkerhetskopiering kan påverka förmågan för återläsning, exempelvis äldre säkerhetskopior.
När exempelvis en angripare förstört informationen med ett kryptovirus så räcker det inte med att läsa tillbaka informationen från en säkerhetskopia. Det fotfäste en angripare har i it-miljön påverkas ofta inte av att enskild information återläses, utan angriparen kan vid senare tillfälle återigen utföra skadlig aktivitet.
Om organisationen upptäcker en angripare i sin it-miljö kan det vara mycket svårt att helt återställa informationssystemen till en tidpunkt där det med säkerhet går att säga att angriparen inte påverkat it-miljön. Säkerställ att det finns säkerhetskopior som går att lita och som kan läsas tillbaka.
Upprätta en dialog med informationsägaren eller motsva- rande för att avgöra hur ofta säkerhetskopior behöver tas och hur länge informationen måste sparas samt vilket skydd säkerhetskopiorna behöver och vilka hanterings- regler som ska gälla.
Om inget annat beslutats, planera för att skapa säkerhetskopior på daglig basis för ny och förändrad information, inklusive systemdokumentation, säker- hetsloggar, konfigurationsinställningar i applikationer och operativsystem. Se även över behovet att skapa säkerhetskopior på själva installationen av applikationer.