Gestion del ciclo de vida de activos IT: guia completa para PYMEs

Cada dispositivo que entra en tu empresa tiene una vida util limitada. Desde el momento en que se aprueba la compra hasta el dia en que se retira del servicio, ese dispositivo pasa por una serie de fases que determinan su valor, su coste y su riesgo. Gestionar ese recorrido de forma estructurada es lo que se conoce como gestion del ciclo de vida de activos IT, y es una de las practicas mas rentables que una PYME puede implementar.

Esta guia describe las seis fases del ciclo de vida de un activo IT, que se debe controlar en cada una, por que importa y como empezar sin necesidad de grandes inversiones.

Por que importa la gestion del ciclo de vida

Sin un modelo de ciclo de vida, los dispositivos se compran sin criterio uniforme, se asignan sin registro, se reparan sin seguimiento y se retiran sin borrado de datos. El resultado es un parque tecnologico opaco donde nadie sabe realmente que hay, en que estado esta ni cuanto cuesta mantenerlo.

La gestion del ciclo de vida aporta tres beneficios inmediatos:

• Control de costes: Saber cuando un dispositivo cuesta mas mantenerlo que reemplazarlo.
• Reduccion de riesgos: Garantizar que cada dispositivo tiene sus parches aplicados, su antivirus activo y sus datos borrados al retirarse.
• Cumplimiento normativo: NIS2, DORA y RGPD exigen trazabilidad sobre los activos que procesan datos. Sin ciclo de vida documentado, no hay trazabilidad.

Fase 1: Adquisicion

El ciclo de vida comienza antes de que el dispositivo llegue a la oficina. La fase de adquisicion incluye la solicitud, la aprobacion, la compra y la recepcion del equipo.

Que registrar

• Fecha de solicitud y solicitante
• Justificacion de la compra (nuevo empleado, sustitucion, ampliacion)
• Proveedor, numero de pedido y coste
• Fecha de recepcion y verificacion del equipo
• Numero de serie, modelo y especificaciones
• Garantia: duracion, tipo y proveedor

Mejores practicas

Estandariza los modelos de dispositivos que compras. Tener tres o cuatro modelos de referencia simplifica enormemente el soporte, la gestion de repuestos y la configuracion. Registra cada activo en el sistema en el momento de la recepcion, no despues. Lo que no se registra en el momento, no se registra nunca.

Fase 2: Almacenamiento

No todos los dispositivos se asignan inmediatamente. Algunos entran en stock como reserva, como equipos de sustitucion temporal o como preaprovisionamiento para incorporaciones futuras.

Que registrar

• Ubicacion fisica del almacenamiento
• Estado del dispositivo (nuevo, reacondicionado, pendiente de configuracion)
• Fecha de entrada en almacen
• Configuracion base aplicada (imagen del sistema, software preinstalado)

Mejores practicas

Mantener un stock minimo de dispositivos preconfigurados reduce el tiempo de onboarding de nuevos empleados de dias a horas. Define un umbral minimo de stock y genera alertas cuando el inventario disponible baje de ese nivel. Ademas, establece un tiempo maximo de almacenamiento; un dispositivo que lleva 12 meses en un armario esta perdiendo valor sin generar ninguno.

Fase 3: Asignacion

La asignacion es el momento en que un dispositivo pasa a manos de un empleado. Es la fase mas critica desde el punto de vista de la trazabilidad, porque define quien es responsable del equipo.

Que registrar

• Empleado asignado (nombre, departamento, ubicacion)
• Fecha de asignacion
• Accesorios entregados (cargador, raton, monitor, docking station)
• Condiciones de uso aceptadas (politica de uso aceptable)
• Software adicional instalado tras la asignacion

Mejores practicas

Genera un registro de custodia firmado, ya sea fisico o digital. Este documento es fundamental para auditorias y para resolver disputas sobre el estado del equipo en el momento de la devolucion. Vincula siempre el activo al usuario en el sistema, de forma que cualquier consulta sobre el empleado muestre sus dispositivos y viceversa.

Fase 4: Incidencias y soporte

Durante su vida operativa, el dispositivo generara incidencias: problemas de hardware, fallos de software, solicitudes de cambio de configuracion. La forma en que se registran y resuelven estas incidencias determina la calidad del servicio IT y la salud del parque.

Que registrar

• Cada incidencia asociada al activo: fecha, descripcion, resolucion
• Tiempo de resolucion
• Piezas sustituidas o reparaciones realizadas
• Coste de cada intervencion
• Patron de incidencias (dispositivos que fallan repetidamente)

Mejores practicas

Vincular cada incidencia al activo especifico, no solo al usuario. Esto permite identificar dispositivos problematicos y tomar decisiones de sustitucion basadas en datos reales. Si un portatil ha generado cinco incidencias de hardware en seis meses, probablemente es mas rentable sustituirlo que seguir reparandolo.

Fase 5: Mantenimiento

El mantenimiento preventivo extiende la vida util de los dispositivos y reduce las incidencias no planificadas. Incluye actualizaciones de software, renovacion de garantias, limpieza de hardware y sustitucion de componentes desgastados.

Que registrar

• Programacion de mantenimientos preventivos
• Fecha del ultimo mantenimiento realizado
• Actualizaciones de firmware y sistema operativo aplicadas
• Estado de la garantia (activa, expirada, ampliada)
• Coste acumulado de mantenimiento por activo

Mejores practicas

Define un calendario de mantenimiento basado en la antiguedad y el tipo de dispositivo. Los equipos de mas de tres anos requieren revisiones mas frecuentes. Compara el coste acumulado de mantenimiento con el coste de reemplazo para tomar decisiones informadas sobre cuando retirar un equipo. Como regla general, cuando el mantenimiento anual supera el 40% del coste de un equipo nuevo equivalente, es momento de planificar la sustitucion.

Fase 6: Baja y retirada

La fase final es tan importante como la primera. Un dispositivo mal retirado puede convertirse en una fuente de fugas de datos, un problema medioambiental o un agujero contable.

Que registrar

• Motivo de la baja (obsolescencia, averia irreparable, sustitucion planificada)
• Fecha de baja
• Certificado de borrado seguro de datos
• Destino del equipo (reciclaje certificado, donacion, destruccion)
• Certificado de reciclaje o destruccion (para cumplimiento RAEE)
• Baja contable del activo

Mejores practicas

Nunca retires un equipo sin borrar sus datos de forma segura y certificada. Un portatil donado o reciclado con datos corporativos en el disco duro es una brecha de seguridad. Asegurate de que el proceso de baja incluye la revocacion de todas las licencias de software asociadas para evitar pagar por servicios que ya no se usan.

Gestion del ciclo de vida y cumplimiento normativo

Las normativas europeas de ciberseguridad no piden explicitamente un sistema de gestion del ciclo de vida. Lo que piden es trazabilidad, control de activos y evidencia de gestion. El ciclo de vida estructurado es la forma natural de proporcionar todo eso.

• NIS2: Exige un inventario actualizado de activos criticos y la capacidad de vincular incidentes a activos especificos.
• DORA: Requiere un registro de activos TIC con clasificacion de riesgo y seguimiento de dependencias con terceros.
• RGPD: Obliga a demostrar que los datos personales almacenados en dispositivos se borran adecuadamente al final de su vida util.

Como empezar

No necesitas implementar las seis fases de golpe. La mayoria de las PYMEs pueden empezar con tres acciones inmediatas:

• Registrar todo lo que tienes: Haz un inventario completo de todos los dispositivos activos, con numero de serie, modelo, ubicacion y usuario asignado.
• Definir estados claros: Establece los estados basicos (en stock, asignado, en reparacion, dado de baja) y asigna un estado a cada dispositivo.
• Vincular incidencias a activos: Cada vez que atiendas una incidencia, registrala asociada al dispositivo concreto, no solo al usuario.

Con estas tres acciones, ya tendras mas visibilidad y control que el 80% de las PYMEs. A partir de ahi, puedes ir incorporando el resto de fases de forma progresiva.