8.5efterarbete

Om man inte kan avgöra vad som är ändrats på systemet eller hur man har gått tillväga för att ta sig in på systemet måste en ominstalltion av OS ske. En aktuell systemförteckning som beskriver hårdvaran och konfiguration m.m. underlättar återställandet av systemet. Efter att ominstallation har gjorts återläses säkra data från backup. Har man ingen backup får man manuellt återläsa 'säkra' data från det korrumperade systemet.

Efter ominstallation måste systemet uppdateras med de senaste säkerhetspatcharna. Anti-virus program installeras och uppdateras med senaste virus signaturer. Brandvägg aktiveras och ställas in. Alla användare på systemet måste byta lösenord. Incidenten rapporteras till CERT organisation och man får avgöra om incidenten skall polisanmälas. Alla drabbade informeras så att ryktesspridning minskar.

Utifrån incidenten tas en plan fram som beskriver systemen och verksamheten. En systemförteckning med koppling till hårdvara och vem som är systemägare och aktuell dokumentation över systemen. En flödesbeskrivning hur incidenter hanteras från upptäckt till åtgärd, rutiner för information till ledning och användare. Prioriterings ordning utifrån skyddsvärde, riktighet och tillgänglighet. Skapa rutiner för att akut ta ner och återställa ett system vid en incident. Ha kompetenskrav på personal som skall hantera systemen och krav att säkerhetsregler följs. Införskaffa verktyg (program) som kan användas för att undersöka och rädda korrumperade system. Se till att personalen tränar sig på att använda verktygen.