ITAM y CMDB: guía de gestión de activos de TI

ITAM (IT Asset Management) es la disciplina que gestiona el ciclo de vida financiero, contractual y físico de los activos de tecnología; el CMDB (Configuration Management Database) es la base de datos que registra los elementos de configuración y sus relaciones para soportar los servicios de TI. Son cosas distintas, se complementan — y ambas fracasan por la misma causa: una base que nadie reconcilia contra el mundo físico.

Esta guía está dirigida a gerentes de TI, responsables de ITSM, CIOs y contralores de empresas mexicanas que operan — o están por implementar — plataformas como ServiceNow, GLPI, Freshservice o módulos de activos de su ERP. Explicamos qué es ITAM, qué es el CMDB bajo ITIL 4, en qué se diferencian, por qué el CMDB miente cuando no hay inventario físico, cómo se ejecuta la conciliación y qué retorno esperar.

1. Qué es ITAM: hardware, software y ciclo de vida

La gestión de activos de TI (ITAM) integra tres prácticas:

• HAM (Hardware Asset Management): el control del parque físico — laptops, desktops, servidores, equipo de red, periféricos, móviles — desde la compra hasta la baja, con ubicación, estado y responsable por equipo.
• SAM (Software Asset Management): el control de licencias — lo contratado vs lo instalado vs lo realmente usado — que evita tanto multas por sub-licenciamiento en auditorías de fabricante como gasto desperdiciado en licencias sin uso.
• Gestión del ciclo de vida: las decisiones económicas sobre cada etapa — planeación, adquisición, uso, mantenimiento, renovación y disposición final — que detallamos en la guía de ciclo de vida de activos de TI en México.

ITAM responde preguntas financieras y contractuales: qué tenemos, dónde está, quién lo usa, cuánto cuesta, cuándo conviene renovarlo, qué contratos lo cubren. Por eso el dueño natural de ITAM suele estar entre TI y finanzas — y por eso los datos de ITAM alimentan también al activo fijo contable bajo la NIF C-6.

2. Qué es el CMDB bajo ITIL 4

El CMDB registra elementos de configuración (CIs): los componentes que deben gestionarse para entregar servicios de TI — servidores, aplicaciones, bases de datos, equipos de red, certificados — y, sobre todo, las relaciones entre ellos: qué aplicación corre en qué servidor, qué servicio depende de qué base de datos, qué usuarios se afectan si un switch falla.

En ITIL 4, la práctica de Service Configuration Management mantiene el CMDB, y la práctica de IT Asset Management gestiona el valor y el ciclo de vida de los activos. La diferencia de propósito es clara: el CMDB existe para soportar la operación de servicios (gestión de incidentes, cambios, análisis de impacto); ITAM existe para gobernar el valor de los activos. Un mismo equipo físico es, a la vez, un activo (visión ITAM: costo, contrato, depreciación, responsable) y un CI (visión CMDB: relaciones, servicios que soporta).

3. ITAM vs CMDB: diferencias y complemento

• Propósito: ITAM gobierna costo, contratos y ciclo de vida; el CMDB soporta la entrega de servicios y el análisis de impacto de cambios e incidentes.
• Alcance: ITAM cubre todo lo que tiene valor — incluso lo que está en bodega, apagado o asignado a un usuario remoto. El CMDB cubre lo que participa en servicios — incluso elementos lógicos sin valor contable (una VLAN, un certificado).
• Ciclo de vida: el registro ITAM nace en la compra y muere en la baja documentada; el CI nace cuando el componente entra a un servicio y se retira cuando deja de participar.
• Datos críticos: ITAM exige número de serie, etiqueta, ubicación, responsable, CFDI, contrato, fecha de compra; el CMDB exige relaciones, dependencias y estado operativo.

El complemento ideal: cada activo físico relevante del ITAM amarrado a su CI en el CMDB por un identificador único — la etiqueta. Cuando esa amarra no existe, las dos bases divergen en silencio.

4. Por qué el CMDB miente sin inventario físico

El CMDB se alimenta, en la mayoría de las implementaciones, de herramientas de discovery: agentes y escaneos de red que detectan lo que está encendido, conectado y dentro del dominio. Es una fuente excelente — continua, automática — y estructuralmente incompleta:

• Lo apagado no existe: la laptop en el cajón, el servidor de respaldo apagado en el rack, el lote de equipos nuevos en bodega.
• Lo que no tiene agente no existe: equipos BYOD, shadow IT, dispositivos fuera del dominio corporativo.
• Lo que no tiene IP no existe: monitores, docks, periféricos, equipos IoT sin gestión.
• Lo retirado sigue vivo: el equipo dañado, robado o donado que nadie dio de baja sigue como CI activo — el activo fantasma.

El resultado es medible: en los primeros inventarios estructurados que CPCON ejecuta, entre 5% y 15% de los registros no se localizan físicamente, y aparecen sobrantes — equipos reales sin registro — en proporciones similares. Un CMDB construido solo con discovery hereda esas dos colas: CIs fantasma que distorsionan el análisis de impacto, y equipos invisibles que quedan fuera de parches, antivirus y políticas de seguridad. Para el auditor — de ISO 27001, de SOC 2 o el financiero — esa base no es evidencia: es precisamente el hallazgo, como explicamos en el análisis del control A.5.9 de ISO 27001.

5. La conciliación: físico × lógico × CMDB × contable

La práctica que sanea el CMDB — y que distingue un programa ITAM maduro — es la conciliación periódica de cuatro fuentes:

• Levantamiento físico: verificación presencial pieza por pieza, con etiquetado único (código de barras, QR o RFID UHF para lectura masiva), fotografía, ubicación, estado y responsable. Es el ancla de verdad del proceso — el servicio de inventario de activos de TI de CPCON ejecuta exactamente esta etapa.
• Export del discovery: la foto lógica del parque — qué responde en red, con qué configuración.
• CMDB/ITSM: los CIs registrados y sus relaciones.
• Auxiliar contable: las partidas de activo fijo, con CFDI, valor y depreciación.

El cruce línea por línea clasifica cada divergencia: faltantes (registrado sin existencia física), sobrantes (existe sin registro), duplicados, reclasificaciones y CIs huérfanos. Cada hallazgo recibe tratamiento — baja documentada, alta, corrección — y el CMDB se recarga con cada CI amarrado a un activo etiquetado y a un registro contable. Una sola fuente de verdad, auditable, en lugar de tres versiones que no cuadran.

6. El retorno: qué dice Gartner y dónde aparece el ahorro

Gartner estima que un programa estructurado de gestión de activos de TI reduce el costo por activo hasta 30% en el primer año, y sostiene ahorros de 5% a 10% anuales en los siguientes. Las fuentes del ahorro son concretas:

• Licencias: recolectar licencias sin uso y evitar compras duplicadas — además de llegar preparado a las auditorías de fabricante (Microsoft, Oracle, SAP).
• Redespliegue antes de compra: equipos en bodega o subutilizados que sustituyen compras nuevas.
• Seguros y soporte: primas y contratos de mantenimiento calculados sobre el parque real, no sobre fantasmas.
• Refresh basado en datos: renovar por estado y uso real, no por calendario uniforme.
• Menos pérdida: resguardos firmados y trazabilidad reducen la fuga de equipos en bajas de personal y mudanzas.

7. Quick start: 90 días para una base confiable

Un arranque pragmático en tres meses: (1) días 1-30 — definir alcance y dueños, recolectar las fuentes (CMDB, discovery, AD/MDM, contable) y ejecutar el levantamiento físico con etiquetado en los sitios principales; (2) días 31-60 — conciliar las cuatro fuentes, clasificar divergencias y tratar faltantes/sobrantes con actas; (3) días 61-90 — recargar el CMDB saneado, firmar resguardos por usuario, instalar el proceso de altas/bajas/transferencias y calendarizar el inventario rotativo. A partir de ahí, la base se mantiene con verificaciones cíclicas — no con re-levantamientos heroicos cada tres años.