El portátil con dos SSD y cero certificados

Aquí hay una conversación divertida para tener con su equipo de cumplimiento un lunes a las 9 a.m.:

"¿Cuántos certificados de borrado generamos por dispositivo?"

"Uno por dispositivo. Obviamente."

"¿Y cuántos dispositivos de almacenamiento tiene un Dell Latitude 5430?"

"Uno. Es una computadora portátil. Tiene una unidad."

"Consulte la hoja de especificaciones."

"...Dos. Tiene dos ranuras NVMe. Y nuestra configuración utiliza ambas."

"Entonces, ¿cuántos certificados de borrado deberíamos tener para 340 de ellos?"

Silencio. El tipo de silencio que cuesta dinero.

La falacia por dispositivo

La mayoría de los sistemas ITAD rastrean el borrado a nivel de dispositivo. "Laptop RV-003412: borrado". Un dispositivo, un estado, una casilla de verificación. Simple. Limpio. Peligrosamente incompleto.

A El Dell Latitude moderno puede tener dos SSD NVMe. Un HP EliteBook 850 a veces tiene una unidad NVMe más una unidad SATA. Un servidor Dell PowerEdge puede tener doce unidades. ¿Una matriz de almacenamiento? Ni siquiera preguntes.

Cuando su sistema dice "dispositivo borrado", lo que significa es: algo fue borrado. Probablemente el impulso principal. Posiblemente ambos. Tal vez. Tu esperas. El sistema no lo sabe porque rastrea los dispositivos, no los medios de almacenamiento.

Su auditor de ADISA, sin embargo, realiza un seguimiento de los medios de almacenamiento. Porque ADISA entiende que los datos no viven en los portátiles. Los datos viven en unidades. Y una computadora portátil con dos unidades que solo tiene un certificado de borrado tiene un espacio. Una brecha que, para un auditor de cumplimiento, parece un pasivo. Porque es uno.

El seguimiento de borrado por dispositivo es como controlar la asistencia contando escritorios en lugar de personas. El número podría coincidir. Pero probablemente no sea así. Y cuando no es así, nadie puede decirte quién falta.

Certificados

680, no 340

Hagamos cuentas en un escenario real. Una empresa de arrendamiento devuelve 340 Dell Latitude 5430. Cada uno tiene dos unidades NVMe. Son 680 dispositivos de almacenamiento individuales que deben borrarse, verificarse y certificarse de forma independiente.

Su sistema genera 340 certificados. Uno por computadora portátil. El auditor pide 680. Puedes producir 340. ¿Dónde están los otros 340?

"Tenemos un proceso."

"¿Está documentado?"

"...Tenemos una hoja de cálculo."

La hoja de cálculo, inevitablemente, tiene 280 entradas en lugar de 340 porque alguien olvidó registrar los últimos dos días de trabajo. El auditor escribe un hallazgo. El hallazgo se convierte en un elemento de acción. El elemento de acción se convierte en un proyecto. El proyecto se convierte en una línea presupuestaria. Todo porque el sistema contaba portátiles en lugar de unidades.

Empeora con el hardware moderno

La computadora portátil con dos SSD es solo el comienzo. El hardware moderno se está volviendo más complejo, no menos.

Los módulos de memoria Intel Optane se ubican junto a las unidades NVMe y almacenan datos en caché de forma independiente. Algunas computadoras portátiles empresariales tienen almacenamiento eMMC para el sistema operativo más NVMe para los datos del usuario. Las estaciones de trabajo pueden tener tres o cuatro unidades en varias configuraciones. Y los servidores: los servidores son un universo completamente diferente, con controladores RAID que abstraen las unidades físicas en volúmenes lógicos que pueden corresponder o no a los medios reales que deben desinfectarse.

La actualización de 2025 a NIST 800-88 aborda explícitamente esta complejidad. IEEE 2883-2022 va más allá y proporciona orientación de desinfección específica para SSD, unidades NVMe y almacenamiento integrado. Ambos estándares enfatizan la verificación por medio. No por dispositivo. Por medio.

Si su sistema no puede realizar un seguimiento con ese nivel de granularidad, no es que su sistema sea antiguo. Es que su sistema fue construido para un mundo donde las computadoras portátiles tenían un disco duro y los servidores tenían dos. Ese mundo terminó hace unos cinco años. Los estándares de cumplimiento se han puesto al día. ¿Tiene su sistema?

La cadena de certificados

A el registro de borrado adecuado para esa Dell Latitude 5430 debería verse así:

Dispositivo: Dell Latitude 5430 — RV-000003412
Dispositivo de almacenamiento A: WD SN740 512 GB — SN: WD-2026-44821
Método de borrado: NIST 800-88 Purge
Finalizado: 2026-03-03 a las 14:22:07 CET
Verificado: Pass
Certificado: BLC-2026-44821

Dispositivo de almacenamiento B: WD SN740 256 GB — SN: WD-2026-44822
Método de borrado: NIST 800-88 Purge
Finalizado: 2026-03-03 a las 14:24:31 CET
Verificado: Pass
Certificado: BLC-2026-44822

Dos unidades. Dos eventos de borrado. Dos verificaciones. Dos certificados. Vinculado a un dispositivo. Vinculado a un pedido entrante. Vinculado a un cliente. Esa es la cadena. Y cada vínculo importa, porque el auditor extraerá cualquier vínculo y esperará que el resto siga.

La computadora portátil con dos SSD no es una carcasa perimetral. Es la nueva normalidad. Y la brecha entre el seguimiento por dispositivo y el seguimiento por unidad no es un riesgo de cumplimiento teórico. Es práctico, del tipo que aparece durante las auditorías, genera hallazgos y cuesta dinero.

Su auditor puede contar. La pregunta es si su sistema puede contar de la misma manera.