Cada dispositivo es una responsabilidad hasta que se borre. Sí, ese también.

El pallet

A llega a su muelle a las 09:15 de un miércoles. Cuarenta dispositivos. Portátiles, en su mayoría. Algunas computadoras de escritorio. Un teléfono que no debería estar ahí pero que lo está. El albarán de entrega dice "Equipo informático: fin del arrendamiento". No dice de quién son los datos en las unidades. Nunca lo hace.

Pero ya sabes. Lo sabe porque ha estado haciendo esto el tiempo suficiente para comprender que el Dell Latitude de la empresa de servicios financieros podría contener detalles de la cuenta del cliente. El HP EliteBook del hospital puede contener registros de pacientes. El ThinkPad del bufete de abogados podría contener expedientes que, si se filtraran, serían noticia. El teléfono: el teléfono puede contener cualquier cosa, y los teléfonos son peores que las computadoras portátiles porque la gente los trata como extensiones de su cerebro.

Todos los dispositivos en esa plataforma son una responsabilidad. No es una responsabilidad teórica. Una responsabilidad legal, financiera y que pone fin a tu carrera y que permanece en tu base, luciendo como hardware inofensivo, hasta que alguien conecta una unidad USB y comienza a navegar.

El gradiente de responsabilidad

No todos los pasivos son iguales. Una computadora portátil de una empresa de contabilidad con datos de QuickBooks es un problema. Una computadora portátil de un contratista de defensa con material clasificado es una crisis. Un dispositivo médico con registros de pacientes no cifrados es una infracción de HIPAA a punto de ocurrir. Una computadora portátil ejecutiva con pronósticos financieros a nivel de junta directiva es evidencia de uso de información privilegiada.

Su proceso de admisión debe comprender este gradiente. El operador receptor de los dispositivos de escaneo en el muelle necesita saber (no adivinar, know) qué dispositivos contienen datos y qué nivel de sensibilidad tienen. "Es una computadora portátil" no es una evaluación de riesgos. "Es una computadora portátil de una institución financiera de nivel 1 con cifrado de disco completo que puede o no haber sido habilitado, origen: Londres, clasificación de datos: desconocida" es el comienzo de una evaluación de riesgos.

Marcar los dispositivos que contienen datos en el momento del check-in no es opcional. Es el primer paso de una cadena que termina con un certificado de borrado, y si se omite el primer paso (si un dispositivo ingresa a su almacén sin ser identificado como portador de datos), todos los pasos posteriores se ven comprometidos.

El dispositivo más peligroso de su almacén es aquel que nadie marcó como portador de datos. Porque es a quien nadie sigue.

El reloj empieza en el muelle

Desde el momento en que un dispositivo con datos ingresa a sus instalaciones, se inicia un reloj. No es un reloj metafórico. Un reloj de cumplimiento. El tiempo entre la llegada y la destrucción de datos confirmada es una ventana de exposición: un período durante el cual existen datos confidenciales bajo su custodia sin ser desinfectados.

Cada día que esa ventana permanece abierta aumenta su riesgo. El dispositivo podría ser robado. Podría estar extraviado (ver: En busca de paletas perdidas). Podría procesarse fuera de orden y terminar en salida antes de borrarse. Podría permanecer en cola durante tres semanas porque el equipo de pruebas tiene respaldo y nadie lo clasifica según la sensibilidad de los datos.

El seguimiento del tiempo de borrado por dispositivo (cuánto tiempo permanece cada activo que contiene datos entre la entrada y el borrado confirmado) no es una métrica agradable de tener. Es una medida de riesgo. Un dispositivo que permanezca reposado durante 48 horas es aceptable. Un dispositivo que permanece inactivo durante 21 días es un hallazgo de cumplimiento a la espera de que se produzca. Su sistema debería realizar un seguimiento de esto. Sus SLA deberían reflejarlo. Su panel debería mostrarlo.

El certificado es la salida

La responsabilidad finaliza cuando se genera, verifica y vincula al dispositivo el certificado de borrado. No cuando alguien dice "ha sido borrado". No cuando el software de borrado termine de ejecutarse. Cuando el certificado (por unidad, con números de serie, método de borrado, estado de verificación y marca de tiempo) se adjunta al registro de activos y está disponible para auditoría.

U Hasta que exista ese certificado, el dispositivo es una responsabilidad bajo su cuidado. Una vez que existe ese certificado, el dispositivo es un hardware limpio con un historial documentado. La diferencia entre esos dos estados es la diferencia entre un riesgo y un activo. Y en ITAD, convertir los riesgos en activos es literalmente el trabajo.

Ese palé en su muelle contiene los registros financieros de alguien, el historial médico de alguien, la correspondencia legal de alguien y un teléfono que sabe más sobre su propietario anterior de lo que su propietario anterior se sentiría cómodo. Cada uno de esos dispositivos es una responsabilidad. Cada uno de ellos sigue siendo una responsabilidad hasta que se demuestre lo contrario, por unidad, por certificado, por marca de tiempo. La prueba es el producto. Todo lo demás es sólo logística.