SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 11 - Data Recovery

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 11: Data Recovery.

Formålet med denne kontrol er at etablere og vedligeholde data recovery praksis, som er tilstrækkelig til at genskabe enterprise assets til en præ incident og betroet tilstand.

Tilgængelighed af data kan i mange tilfælde være lige så kritisk som fortrolighed og integritet. Når data ikke er tilgængelige eller ikke længere kan betros, kan det påvirke virksomhedens evne til at opretholde sin drift. Derfor kræver denne kontrol en dokumenteret og struktureret tilgang til planlægning, backup, test og gendannelse.

Hvad omfatter Data Recovery?

Data recovery handler om at kunne genskabe både data og systemer til en kendt og betroet tilstand efter en hændelse.

Ændringer kan opstå som følge af

• Malware • Ransomware • Destruktiv malware • Konfigurationsændringer • Utilsigtede fejl • Naturhændelser

Angribere kan ændre konfigurationer, oprette konti, installere software eller slette logs. Derfor er det vigtigt at have opdaterede backups eller spejlinger, så enterprise assets kan bringes tilbage til en betroet tilstand.

Data Recovery Lifecycle

Data recovery følger en livscyklus med fire trin

• Plan • Backup • Test • Recover

Plan – Udarbejdelse af en dokumenteret proces

Der skal etableres en dokumenteret data recovery proces.

Processen skal

• Være godkendt • Gennemgås mindst årligt eller ved væsentlige ændringer • Identificere ansvarlige personer • Identificere hvilke data og enterprise assets der skal backuppes

IT skal anvende data inventory til at identificere relevante data.

Data owners skal konsulteres for at forstå datas følsomhed.

Hvis virksomheden anvender cloud service providers, skal det analyseres, om disse effektivt backupper virksomhedens data, og om disse data skal indgå i data recovery planen.

Planlægningen skal også tage højde for

• Recovery objectives • Prioritering af kritiske systemer og data • Geografisk placering af backups • Nødvendige sikkerhedskontroller for at beskytte backup data

Der skal være en plan for netværksisolerede og offsite backups for at beskytte mod ransomware og fysiske hændelser som brand eller naturkatastrofer.

Backup – Udførelse af sikker backup

IT skal udføre backups i henhold til den dokumenterede proces.

Automatiserede værktøjer skal anvendes.

Automatiserede backups skal udføres ugentligt eller oftere afhængigt af datas følsomhed.

En backup er en kopi af data, men en komplet system image backup foretrækkes, da den inkluderer hele systemet og kan gendannes hurtigere efter en hændelse.

Backups kan være

• Complete • Incremental • Differential

Retention af backup data skal følge virksomhedens data retention schedule.

Access controls skal beskytte backups mod uautoriseret adgang eller ændring.

Recovery data skal beskyttes med tilsvarende kontroller som de originale data.

IT skal opretholde offsite backups, og disse må ikke være direkte tilgængelige fra netværket.

Test – Verifikation af backup

Backups skal testes for at sikre, at de kan gendannes.

IT skal udvikle testprocedurer for at sikre, at

• Backups faktisk eksisterer • Data kan gendannes • Gendannelse kan ske inden for fastsatte tidsrammer

Alle involverede parter skal forstå de prioriterede recovery objectives.

Utestede backups kan vise sig ikke at kunne gendannes i en krisesituation.

Recover – Gendannelse efter hændelse

Under en hændelse skal data recovery planen aktiveres.

Gendannelse skal ske i prioriteret rækkefølge.

Incident response teamet skal inddrages i processen.

Incident response planen skal aktiveres.

Kommunikationslinjer mellem recovery ansvarlige og ledelse skal være etableret.

Gendannelsesteamet skal udvise forsigtighed ved brug af data, der kan være påvirket af en angriber, da data kan være ændret eller kompromitteret.

Efter en hændelse skal data recovery planen forbedres løbende.

Ransomware og isolerede backups

Ransomware kan kryptere data og kræve betaling for adgang.

Locker ransomware eller destruktiv malware kan permanent blokere eller ødelægge data.

En af de mest effektive metoder til at håndtere ransomware er at have backups taget før hændelsen.

Backups skal opbevares offline eller netværksisoleret for at forhindre, at ransomware også krypterer backup data.

Afslutning

CIS Control 11 kræver en dokumenteret og vedligeholdt data recovery proces, der omfatter planlægning, automatiserede backups, beskyttelse af recovery data, test af gendannelse og prioriteret genopretning ved hændelser.

Formålet er at sikre, at enterprise assets kan bringes tilbage til en præ incident og betroet tilstand, så virksomheden kan fortsætte sin drift.

Tak fordi du lyttede med.