Lo que deben hacer los organismos de seguridad informática depende de la forma en que la organización ejecuta su TI, los requisitos de cumplimiento aplicables y la configuración de los activos.
Un único host tendrá una huella mucho mayor que su propio sistema de archivos: se hará referencia a él en sistemas de monitoreo, sistemas de aprovisionamiento, sistemas de respaldo, acceso remoto, DNS ... al no poder garantizar que el host se elimine de estos cubra para que un cuco asuma la identidad de las máquinas (sin mencionar el impacto operacional de los errores que aparecen en estas, aunque eso no es el ámbito de la información).
Puede haber cuentas configuradas específicamente para acceder al recurso, certificados / otras claves de cifrado, reglas de firewall que deben eliminarse. Puede haber una asignación de licencias de software / hardware asociadas con el dispositivo, o incluso archivos de licencia específicos implementados en el dispositivo que deben recuperarse.
Por lo general, es una buena idea conservar la capacidad de restaurar el servicio por un período corto después de haberlo desactivado, y puede haber un requisito para conservar los datos para fines de auditoría / forense durante más tiempo.
En resumen:
- la configuración de seguridad para el dispositivo debe ser eliminada de la infraestructura
- los activos pueden necesitar ser recuperados
- los datos pueden necesitar preservarse