Parece que ya estás al tanto de la primera parte de esta pregunta. Para la mayoría de los propósitos, se debe incluir cualquier almacenamiento no volátil que pueda contener los datos que considera confidenciales (unidades de estado sólido, unidades de disco duro, EPROMS, llaves USB, etc.) pero la memoria volátil no. Estos dispositivos de almacenamiento pueden estar en impresoras, máquinas de fax, enrutadores, conmutadores, cualquier plataforma informática.
Un requisito previo clave es comprender lo que considera sensible, por ejemplo, la configuración de un enrutador debe estar protegida para evitar el debilitamiento de la seguridad de la red, o los dispositivos que almacenan datos personales o de cuentas pueden estar bajo DPA en el Reino Unido, o GLB o HIPAA en los Estados Unidos. Una regla general es considerar la política de clasificación de datos de la organización como una guía y destruir el almacenamiento de datos que se encuentra bajo los requisitos de protección de datos.
La pregunta interna / externa podría reducirse a qué tan sensibles son los datos. Hace poco me senté en una excelente presentación sobre la destrucción de datos en el ejército, donde no era una opción la subcontratación completa, y la destrucción completa era un requisito, por lo que se aprobó el uso de molinos que podían llevar los discos duros a polvo. Para muchas organizaciones que utilizan cifrado de disco duro, un proveedor que realice múltiples sobrescripciones en la medida en que la recuperación sea inviable puede ser suficiente. Esto dependerá tanto del nivel de sensibilidad como del tipo de agente que pueda estar intentando recuperar los datos. Si un atacante tiene un microscopio de exploración de electrones, es posible que pueda recuperar datos útiles de un disco duro que se ha roto en pedazos, pero eso es probable que suceda si se sabe que los datos tienen un valor extremadamente alto.
De cualquier manera, el informe auditable de la destrucción es esencial, por lo que puede probar que recibió todos los dispositivos y los destruyó, junto con el mecanismo de destrucción y los detalles finales de eliminación.