Hay una frase que resume el cimiento de toda la gestión de TI, y se repite en seguridad, en cumplimiento y en operación porque es igual de cierta en las tres: no puedes proteger, gestionar ni asegurar lo que no sabes que tienes. El inventario de activos —la lista honesta y completa de lo que posees— es el suelo sobre el que se para cualquier assessment, y es, sorprendentemente, lo que casi ninguna empresa tiene al día.
Por qué casi nadie lo tiene completo
El inventario se degrada solo. Se compra un equipo y no se registra; alguien contrata un servicio en la nube con la tarjeta del área; una licencia se renueva en automático años después de que dejó de usarse; un servidor "temporal" lleva cuatro años en producción. Sin una disciplina de registro, la realidad y el papel divergen mes a mes, hasta que nadie puede responder con certeza a la pregunta más básica: "¿qué tenemos, exactamente?". Y lo que no está en el inventario no se parcha, no se respalda, no se asegura y no se presupuesta —vive en un punto ciego—.
Qué debe capturar un buen inventario
No es solo una lista de equipos. Un inventario útil registra el hardware (servidores, equipos, red), el software y las licencias (qué corre y bajo qué derecho de uso), los servicios en la nube (esas suscripciones dispersas), los datos (dónde vive la información importante) y, para cada cosa crítica, su dueño —quién responde por ella—. Es la misma columna vertebral que sostiene el gobierno de TI y que un auditor pide primero: sin inventario, todo lo demás se construye sobre arena.
El inventario que se mantiene (casi) solo
La razón por la que casi nadie tiene un inventario al día es que hacerlo a mano es una tarea que se pudre en cuanto terminas. La salida no es más disciplina heroica, sino automatización: herramientas de descubrimiento que recorren la red e identifican qué hay conectado, agentes que reportan el software instalado, y —clave— un proceso que ate el inventario a los momentos en que las cosas cambian: que dar de alta un equipo, contratar un servicio o asignar una licencia incluya registrarlo, no como un extra opcional sino como parte del acto. Un inventario que depende de que alguien se acuerde de actualizarlo ya nació desactualizado; uno que se alimenta de la operación se mantiene vivo. La tecnología descubre; el proceso mantiene.
Del inventario al benchmarking
Una vez que sabes qué tienes y en qué estado, aparece la siguiente pregunta, la del benchmarking: ¿está bien, o solo estás acostumbrado a como está? Comparar tu infraestructura contra buenas prácticas —con una autoevaluación de infraestructura empresarial— es lo que convierte "así lo hemos tenido siempre" en "esto está por debajo de lo razonable y conviene atenderlo". El inventario te dice qué tienes; el benchmarking, si es suficiente.
La idea que se queda
El inventario de activos es el cimiento invisible de toda la gestión de TI: no puedes proteger, gestionar ni asegurar lo que no sabes que tienes, y lo que no está inventariado vive en un punto ciego. Un inventario completo —hardware, software, nube, datos y dueños— más un benchmarking honesto es el punto de partida real de cualquier mejora, y de lo primero que ordena un buen diagnóstico. El suelo de todas las autoevaluaciones.