
Guía de Contratos de TI Gestionadas 2026: SLA vs. MSA vs. SOW para PYMES
Escuchar este artículo
Loading...- Por qué un contrato de TI gestionadas importa más que el precio mensual
- MSA vs SLA vs SOW: qué hace realmente cada documento
- Managed Services Agreement (MSA): el reglamento
- Service Level Agreement (SLA): las promesas medibles
- Statement of Work (SOW): el trabajo específico y los entregables
- Cláusulas de contrato de TI gestionadas que determinan si el soporte es bueno o un dolor de cabeza
- Tiempo de respuesta vs tiempo de resolución (y por qué debería importarle)
- Uptime, monitoreo y qué está realmente cubierto
- Política de escalamiento y a quién llama cuando todo está ardiendo
- Exclusiones y fuera de alcance (out of scope): donde viven los cargos sorpresa
- Onboarding y offboarding: el contrato debe decir cómo se hace el proceso
- Propiedad de datos y respaldos: si no tiene backup, no tiene datos
- Cláusula de respuesta a incidentes cibernéticos: quién hace qué cuando todo se complica
- Gestión de proveedores: la impresora, el ISP y el juego de culpas
- Terminación, renovaciones y la trampa de “nosotros somos dueños de tus herramientas”
- Checklist de contrato de TI para PYMES: compare proveedores de TI gestionadas de forma justa
- Checklist de alcance y cobertura
- Checklist de SLA y términos de soporte (uptime, tiempo de respuesta, escalamiento)
- Checklist de seguridad e incidentes
- Checklist de fuera de alcance y precios
- Checklist de propiedad y salida
- Servicios de TI gestionadas en Palm Beach County: lo que las PYMES locales deberían exigir
- ¿Necesita soporte de TI confiable para su empresa?
TL;DR: Un contrato de TI gestionadas suele ser tres documentos que fingen ser uno: el MSA establece las reglas, el SLA define las promesas medibles y el SOW detalla el trabajo real. Si no sabe qué está incluido, qué está excluido y qué ocurre durante una caída del servicio o un incidente de seguridad, no está comprando “tranquilidad” — está comprando facturas sorpresa.
Veo este mismo problema tres veces por semana. Una pequeña empresa firma un acuerdo de servicios gestionados porque el vendedor dijo “los tenemos cubiertos”, y luego, la primera vez que falla Microsoft 365, se roban una laptop o se cae el internet, de repente resulta que está “fuera de alcance” (out of scope). En mis tiempos, al menos uno sabía cuándo lo estaban estafando porque el tipo tenía un beeper y un maletín lleno de disquetes. Ahora todo es “experiencia premium de soporte” (sí, claro) y un contrato más largo que el manual de un microondas.
Por qué un contrato de TI gestionadas importa más que el precio mensual
Esto es lo que realmente pasa cuando se ignora el papeleo: su empresa termina gestionando TI como si fuera un carro viejo y descuidado. No cambia el aceite (parcheo). Ignora el ruido raro (alertas). Y un día el motor se tranca (ransomware), y todos se quedan preguntando: “¿Por qué nuestra empresa de TI no evitó esto?” Mientras tanto, el contrato dice que los respaldos eran opcionales, el soporte fuera de horario se cobra aparte y los incidentes de seguridad son “best effort” (mejor esfuerzo).
Un buen plan de servicios de TI gestionadas debería ser aburrido. Como un buen refrigerador. Silencioso, constante, y solo lo nota cuando deja de funcionar. El contrato es lo que determina si recibe a un técnico con un plan o a una mesa de ayuda leyendo un guion.
MSA vs SLA vs SOW: qué hace realmente cada documento
Traduzcamos esta sopa de letras. Sin “sinergia”. Sin “transformación digital”. Solo lo que hacen los documentos cuando algo sale mal.
Managed Services Agreement (MSA): el reglamento
El managed services agreement (MSA) es el reglamento maestro. Cubre los términos legales y operativos que aplican a todo: condiciones de pago, responsabilidad, confidencialidad, qué cuenta como “su responsabilidad”, cómo funciona la terminación y cómo se manejan las disputas.
Qué no hacer: No firme un MSA que sea mayormente lenguaje de marketing y promesas vagas. Si el MSA nunca define claramente “Services” o “Client Responsibilities”, básicamente está aceptando “buenas vibras”.
Qué buscar en el MSA:
- Definiciones: “Covered devices”, “users”, “sites”, “server”, “network”, “after-hours”, “emergency”. Si no está definido, se discutirá después.
- Plazo y terminación: mes a mes vs anual, cargos por terminación anticipada y qué pasa con contraseñas, documentación y herramientas cuando usted se va.
- Límites de responsabilidad: topes razonables son normales; un lenguaje absurdo tipo “no somos responsables de nada jamás” es una señal de alerta.
- Propiedad de los datos: usted es dueño de sus datos, de su tenant de Microsoft 365, de su dominio y de sus respaldos. Punto.
Service Level Agreement (SLA): las promesas medibles
El service level agreement (SLA) es donde el proveedor deja de hablar y empieza a comprometerse. Define objetivos de disponibilidad (uptime), tiempos de respuesta, objetivos de resolución (si los ofrecen) y disponibilidad del soporte.
En mis tiempos, “tiempo de respuesta” significaba que sonaba el teléfono y un humano contestaba. Ahora puede significar “le enviamos automáticamente un correo con el número de ticket”. Así que lea las definiciones.
Elementos comunes del SLA que afectan su día a día:
- Uptime: qué sistemas están incluidos (¿solo monitoreo o también remediación real?) y qué cuenta como tiempo de inactividad.
- Tiempo de respuesta: qué tan rápido reconocen un ticket para cada nivel de prioridad.
- Política de escalamiento: cuándo un ticket pasa de Tier 1 a Tier 2/3 y cuándo se involucra la gerencia.
- Fuera de horario: qué califica como emergencia, cómo contactarlos y cuánto cuesta.
- Créditos de servicio: si no cumplen los objetivos del SLA, ¿recibe algo además de una disculpa?
Statement of Work (SOW): el trabajo específico y los entregables
El statement of work (SOW) es el documento de “qué vamos a hacer realmente”. Normalmente se usa para proyectos de onboarding, migraciones, reconstrucciones de red, configuraciones de nuevas oficinas y refuerzo de seguridad (security hardening).
Qué no hacer: No acepte un SOW de una página que diga “onboarding y configuración” sin detalles. Eso es como llevar su carro al mecánico y que la factura solo diga “arreglé cosas”.
Qué incluye un SOW sólido:
- Alcance: exactamente qué ubicaciones, usuarios, dispositivos, servidores y servicios en la nube están incluidos.
- Entregables: documentación, entrega de cuentas administrativas, monitoreo instalado, backup configurado, línea base de seguridad aplicada.
- Cronograma y dependencias: qué necesitan de usted (información del ISP, acceso administrativo, contactos de proveedores) y cuándo.
- Criterios de aceptación: cómo ambos acuerdan que el trabajo está terminado.
Cláusulas de contrato de TI gestionadas que determinan si el soporte es bueno o un dolor de cabeza
Esta es la parte que la mayoría se salta, y es la parte que luego le pasa factura. Estas son las cláusulas que realmente cambian cómo se ve su semana cuando algo se rompe.
Tiempo de respuesta vs tiempo de resolución (y por qué debería importarle)
Tiempo de respuesta es qué tan rápido reaccionan. Tiempo de resolución es qué tan rápido se soluciona el problema. Muchos SLA solo prometen tiempos de respuesta. Eso no es automáticamente malo, pero usted debe saber qué está comprando.
Pregunte: “Si se cae el internet, ¿quién llama al ISP?” “Si Microsoft 365 tiene una interrupción, ¿qué hacen además de decirnos que esperemos?” (Sí, a veces esperar es lo correcto, pero igual usted quiere comunicación.) Microsoft publica el estado del servicio y guías de troubleshooting a través de Soporte de Microsoft, y un proveedor competente debe saber dónde buscar y cómo comunicarlo con claridad.
Uptime, monitoreo y qué está realmente cubierto
“99.9% de uptime” suena bien hasta que se da cuenta de que solo están monitoreando un ping del firewall y listo. Monitoreo no es gestión. Es una alarma de humo, no un departamento de bomberos.
En un contrato de TI gestionadas, confirme:
- Qué dispositivos se monitorean (servidores, firewalls, switches, endpoints, respaldos).
- Si las alertas activan remediación automática o solo generan un ticket.
- Si el parcheo está incluido para PCs con Windows 10 y Windows 11, y para apps de terceros (navegadores, lectores PDF, etc.).
Política de escalamiento y a quién llama cuando todo está ardiendo
Cuando su sistema de contabilidad está caído a las 4:45 PM, usted no quiere un bucle de mesa de ayuda. Quiere una ruta de escalamiento.
Busque:
- Definiciones de prioridad (P1, P2, etc.) que coincidan con la realidad de su negocio.
- Tiempos claros de escalamiento (ejemplo: si no hay avance en X minutos, escalar).
- Un punto de contacto asignado para emergencias reales.
Exclusiones y fuera de alcance (out of scope): donde viven los cargos sorpresa
Aquí es donde se esconden las “trampas”. Las exclusiones no son automáticamente malas. Son normales. El problema es cuando son tan amplias que cabe un camión.
Exclusiones comunes para leer dos veces:
- Límites de alta de usuarios nuevos, onboarding y offboarding (¿cuántos por mes están incluidos?).
- Gestión de proveedores (impresoras, aplicaciones críticas del negocio, ISP, VoIP). ¿Quién se encarga de las llamadas y de la responsabilidad?
- Proyectos y “cambios significativos” (migraciones, nueva oficina, rediseño de red).
- Limpieza por incidentes de seguridad (algunos contratos lo tratan como trabajo facturable por separado).
Onboarding y offboarding: el contrato debe decir cómo se hace el proceso
Onboarding no es “instalar el agente y enviar la factura”. Es descubrimiento, documentación y estandarización. El offboarding es donde proveedores poco transparentes se ponen “posesivos” con sus contraseñas.
Su SOW (o un anexo del MSA) debe especificar:
- Proceso de inventario de dispositivos y usuarios.
- Entrega de accesos administrativos (registrador de dominio, DNS, Microsoft 365 global admin, portales de backup).
- Pasos de offboarding: deshabilitar cuentas, retención de datos, recuperación de dispositivos, restablecimiento de MFA.
Si necesita ayuda para mantener Microsoft 365 ordenado, seguro y correctamente bajo propiedad de usted, para eso existe la administración y el soporte de Microsoft 365.
Propiedad de datos y respaldos: si no tiene backup, no tiene datos
Mire, no voy a endulzarlo. Si no tiene un backup, no tiene datos. Solo los está “prestando” hasta el día en que ya no.
En su contrato de TI gestionadas, confirme:
- Qué se respalda (servidores, estaciones de trabajo, datos de Microsoft 365 si aplica).
- Frecuencia de backup y retención.
- Quién prueba las restauraciones y con qué frecuencia.
- Quién paga el tiempo de recuperación si necesita restaurar fuera de horario.
Cláusula de respuesta a incidentes cibernéticos: quién hace qué cuando todo se complica
El ransomware y el compromiso del correo empresarial (business email compromise) no son un “si”, son un “cuándo alguien hace clic en algo tonto” (sí, lo dije). Su contrato necesita una cláusula clara de respuesta a incidentes.
Como mínimo, debe definir:
- Notificación: qué tan rápido se le informa después de detectar actividad sospechosa.
- Autoridad de contención: si el proveedor puede aislar equipos, deshabilitar cuentas, restablecer contraseñas, bloquear tráfico.
- Responsabilidades: quién contacta al seguro cibernético, asesoría legal y clientes afectados (normalmente usted, con orientación).
- Acceso a logs y manejo de evidencia: para no destruir pruebas que podría necesitar después.
- Facturación: si la respuesta a incidentes está incluida, parcialmente incluida o es totalmente facturable.
Si su proveedor le vende “ciber no-sé-qué de próxima generación con IA” pero no puede explicar el plan de incidentes en español claro, salga corriendo. Para protección práctica, empiece por lo básico y escale con servicios de ciberseguridad para empresas.
Para lectura general (sin tono de ventas) sobre amenazas modernas, no me desagradan los recursos de Malwarebytes. Al menos llaman a las estafas por lo que son.
Gestión de proveedores: la impresora, el ISP y el juego de culpas
Las impresoras son la última tecnología maldita en la Tierra. Eran malas en los tiempos de Windows XP y siguen siendo malas ahora. La pregunta es: ¿su proveedor de TI gestiona a los proveedores o solo le dice “llame al proveedor”?
Deje claros los términos de gestión de proveedores:
- Quién contacta al ISP durante caídas del servicio.
- Quién coordina con sus proveedores de software.
- Quién gestiona garantías y RMAs del hardware que el proveedor le vendió.
Terminación, renovaciones y la trampa de “nosotros somos dueños de tus herramientas”
Algunos acuerdos se renuevan automáticamente sin hacer ruido. Otros lo amarran a plazos largos con cargos de salida desagradables. Y algunos proveedores instalan herramientas que hacen doloroso cambiarse.
Asegúrese de que el contrato indique:
- Cómo funcionan las renovaciones y cómo cancelar.
- Qué documentación recibe al salir (diagramas de red, contraseñas, listas de activos).
- Qué tan rápido eliminan sus agentes y devuelven el control administrativo.
Checklist de contrato de TI para PYMES: compare proveedores de TI gestionadas de forma justa
Aquí tiene su checklist de contrato de TI para PYMES. Imprímalo. Llévelo a la llamada de ventas. Observe qué tan rápido cambia la conversación cuando hace preguntas serias.
Checklist de alcance y cobertura
- ¿Cuántos usuarios y dispositivos están incluidos? ¿Qué cuenta como dispositivo?
- ¿Se incluyen servidores, firewalls, switches y Wi‑Fi?
- ¿El parcheo está incluido para sistemas operativos y apps de terceros?
- ¿Está incluida la configuración de nuevos empleados? ¿El offboarding está incluido?
Checklist de SLA y términos de soporte (uptime, tiempo de respuesta, escalamiento)
- Tiempos de respuesta publicados por prioridad, con definiciones.
- ¿Ofrecen objetivos de resolución o solo objetivos de respuesta?
- Política clara de escalamiento y quién es dueño del ticket.
- Términos fuera de horario: qué califica, cómo contactar y precios.
- Expectativas de comunicación durante caídas del servicio (actualizaciones cada X minutos).
Checklist de seguridad e incidentes
- ¿Quién gestiona MFA, políticas de contraseñas y cuentas administrativas?
- ¿Quién monitorea inicios de sesión sospechosos y amenazas en endpoints?
- Cláusula de respuesta a incidentes cibernéticos: contención, notificación y facturación.
- Alcance del backup, retención y frecuencia de pruebas de restauración.
Checklist de fuera de alcance y precios
- Lista de exclusiones y tarifas facturables para proyectos.
- ¿Qué se considera “proyecto” vs soporte normal?
- Términos de adquisición de hardware/software y transparencia del markup.
- Gestión de proveedores: ¿incluida o facturable?
Checklist de propiedad y salida
- Usted es dueño de sus datos, dominios y tenants en la nube (por escrito).
- Acceso a portales administrativos y documentación mientras esté bajo contrato.
- Cronograma y entregables de offboarding (entrega de contraseñas, diagramas, inventarios).
- Términos de terminación y renovación que no lo sorprendan.
Servicios de TI gestionadas en Palm Beach County: lo que las PYMES locales deberían exigir
Si su empresa está creciendo en Palm Beach County, usted no solo está comprando una mesa de ayuda remota. Está comprando respuesta cuando la red de su oficina se cae, cuando abre una nueva sede o cuando un empleado clave se va con una laptop y un resentimiento.
Para expectativas de servicio local en áreas como West Palm Beach, Palm Beach Gardens, Lake Worth, Boynton Beach, Delray Beach y Boca Raton, pregunte a los proveedores:
- ¿Ofrecen soporte en sitio cuando sea necesario y cuál es la expectativa de respuesta?
- ¿Quién es mi punto de contacto y cómo funcionan los escalamientos a nivel local?
- ¿Cómo es el onboarding para un equipo que está escalando rápido?
Si quiere la versión “aburrida pero funciona” de TI empresarial, empiece aquí: servicios de soporte de TI para empresas. Luego sea específico con un MSA claramente redactado, un SLA medible y un SOW detallado.
¿Necesita soporte de TI confiable para su empresa?
Obtenga servicios profesionales de TI gestionadas, soporte de Microsoft 365 y ciberseguridad de los expertos en tecnología empresarial de Palm Beach County.
Obtener ayuda de TI para empresas