El inventario fantasma: 40 portatiles que nadie puede encontrar
Cada empresa tiene un secreto que nadie quiere admitir: hay dispositivos en el inventario que no se sabe donde estan. No es un problema menor. Es un agujero financiero, un riesgo de seguridad y, en muchos casos, una bomba de relojeria esperando a que llegue una auditoria.
Esta es la historia de una empresa mediana europea que, durante una revision anual rutinaria, descubrio que 40 portatiles supuestamente asignados a empleados pertenecian a personas que ya no trabajaban alli. Nadie sabia donde estaban esos dispositivos. Nadie los habia reclamado. Y nadie los habia dado de baja.
El escenario: la auditoria anual que lo destapa todo
La empresa, con unos 300 empleados y un parque tecnologico de 450 dispositivos, llevaba anos gestionando sus activos IT con una combinacion de hojas de calculo, correos electronicos y la memoria colectiva del equipo de soporte. El sistema funcionaba, o eso creian.
Durante la auditoria anual de activos, el responsable de IT decidio cruzar el listado de dispositivos asignados con el directorio activo de empleados. El resultado fue demoledor: 40 portatiles figuraban como asignados a personas que habian dejado la empresa hacia meses o incluso anos. Algunos de esos nombres ni siquiera sonaban a los miembros actuales del equipo.
Se inicio una busqueda. Algunos portatiles aparecieron en cajones de escritorios vacios. Otros estaban en un armario de una sala de reuniones. Ocho no aparecieron en absoluto. Simplemente se habian esfumado, con sus discos duros, sus licencias de software y, potencialmente, con datos corporativos dentro.
Por que se genera un inventario fantasma
El inventario fantasma no aparece de la noche a la manana. Es el resultado de anos de procesos incompletos que se acumulan silenciosamente. Las causas mas habituales son:
- Ausencia de proceso de offboarding IT: Cuando un empleado deja la empresa, recursos humanos gestiona la baja administrativa, pero nadie comunica formalmente a IT que debe recuperar el dispositivo, revocar accesos y actualizar el inventario.
- Falta de reconciliacion periodica: El inventario se actualiza cuando alguien recuerda hacerlo, no como parte de un proceso sistematico. Con el tiempo, la realidad y la hoja de calculo divergen hasta ser irreconocibles.
- Responsabilidad difusa: Nadie es el propietario claro del inventario. IT cree que es responsabilidad de administracion. Administracion cree que es responsabilidad de IT. El resultado es que nadie lo hace.
- Herramientas inadecuadas: Una hoja de calculo no envia alertas cuando un empleado deja la empresa. No marca automaticamente un dispositivo como pendiente de recuperacion. No genera informes de discrepancias. Es un registro pasivo que depende enteramente de la disciplina humana.
- Crecimiento sin estructura: Cuando la empresa tenia 50 empleados, el responsable de IT conocia a todo el mundo y sabia quien tenia cada portatil. Con 300 empleados, esa gestion informal es imposible.
El impacto financiero: mucho mas que 40 portatiles
Pongamos numeros concretos. Un portatil corporativo de gama media cuesta entre 800 y 1.200 euros. Si tomamos un valor medio de 1.000 euros por dispositivo, 40 portatiles fantasma representan 40.000 euros en activos perdidos o no controlados.
Pero el coste real va mucho mas alla del hardware:
- Licencias de software activas: Cada portatil tiene licencias de Microsoft 365, antivirus corporativo y otras herramientas. Si esas licencias siguen activas para usuarios que ya no existen, la empresa esta pagando por servicios que nadie usa. A 30 euros al mes por usuario, 40 licencias innecesarias suponen 14.400 euros anuales.
- Riesgo de seguridad: Un portatil perdido con credenciales almacenadas, acceso VPN configurado y documentos corporativos en el disco duro es una brecha de seguridad esperando a materializarse. El coste medio de una brecha de datos para una PYME europea supera los 100.000 euros.
- Coste de auditoria: Cuando un auditor encuentra este tipo de discrepancias, el proceso de remediacion consume decenas de horas del equipo IT, que deberia estar dedicado a tareas productivas.
Segun datos del sector, el 27% de las empresas pierde mas del 10% de sus activos IT en cualquier momento dado. Para una empresa con un parque de 500 dispositivos, eso significa que 50 dispositivos estan en algun limbo entre asignados y perdidos. Multiplicado por el coste medio de cada equipo, las cifras se disparan rapidamente.
Las consecuencias regulatorias
Con la entrada en vigor de normativas como NIS2, el inventario fantasma deja de ser solo un problema financiero para convertirse en un problema legal. NIS2 exige a las organizaciones mantener un inventario actualizado de activos criticos y demostrar trazabilidad en la gestion de incidentes.
Si un auditor pregunta cuantos dispositivos tiene la empresa y la respuesta es “creemos que unos 450, pero no estamos seguros de 40 de ellos”, la no conformidad esta practicamente garantizada. Y las multas de NIS2 pueden alcanzar los 10 millones de euros o el 2% de la facturacion global.
Como prevenir el inventario fantasma
La solucion no es hacer auditorias mas frecuentes. La solucion es eliminar las condiciones que permiten que el inventario fantasma se genere. Estos son los pilares fundamentales:
Offboarding automatizado
Cuando un empleado deja la empresa, el sistema debe generar automaticamente una tarea de recuperacion de dispositivo, cambiar el estado del activo a “pendiente de devolucion” y alertar al responsable de IT. Sin intervencion manual, sin depender de que alguien se acuerde.
Estado del activo en tiempo real
Cada dispositivo debe tener un estado claro y actualizado: en stock, asignado, en reparacion, pendiente de devolucion, dado de baja. Cualquier transicion entre estados debe quedar registrada con fecha, responsable y motivo.
Reconciliacion automatica
El sistema debe cruzar periodicamente el inventario de activos con el directorio de empleados activos. Si un dispositivo esta asignado a alguien que ya no aparece como empleado activo, se genera una alerta automatica.
Responsabilidad clara y registro de custodia
Cada dispositivo tiene un responsable asignado en todo momento. Cuando cambia de manos, ambas partes confirman la transferencia. El historico de custodia queda registrado y es auditable.
Leccion aprendida
La empresa del caso implemento un sistema de gestion de activos IT y, en las tres primeras semanas, localizo 32 de los 40 portatiles perdidos. Los ocho restantes se dieron de baja formalmente, se revocaron todas sus credenciales asociadas y se actualizaron las licencias de software.
El ahorro inmediato fue significativo, pero el valor real fue otro: la siguiente auditoria se completo en dos horas en lugar de dos semanas. El inventario fantasma habia desaparecido, no porque hubieran encontrado todos los portatiles, sino porque habian eliminado las condiciones que permitian que se generara.
Si tu empresa gestiona mas de 50 dispositivos y no tiene un proceso formal de offboarding IT, la pregunta no es si tiene un inventario fantasma. La pregunta es cuantos dispositivos lo componen.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
La auditoria que salio mal: cuando el auditor abre un Excel
El auditor hace 3 preguntas simples. El IT manager abre un Excel.
"No tengo ningun portatil" -- Que hacer cuando un empleado niega tener un equipo
Un empleado es despedido y dice que nunca tuvo un portatil.
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.