
Acuerdos de Nivel de Servicio (SLA) para MSP: Qué Exigir Antes de Firmar
Escuchar este artículo
Loading...- Por qué un SLA de servicios de TI administrados no es “soporte”: es asignación de riesgo
- MSP service level agreement checklist: defina primero los límites del servicio
- 1) Activos y usuarios cubiertos (la cláusula de inventario)
- 2) Qué está incluido vs. excluido (y qué significa “proyecto”)
- Métricas de SLA de mesa de ayuda: tiempo de respuesta vs. tiempo de resolución (no permita que los mezclen)
- Defina prioridades de tickets y temporizadores
- Mida la mesa de servicio como un sistema, no como una “sensación”
- Tiempos de respuesta a incidentes según ITIL y la matriz de escalamiento (elimine puntos únicos de falla)
- Qué debe incluir su matriz de escalamiento
- Cobertura de soporte fuera de horario y tiempo de respuesta en sitio (declare la realidad)
- Cobertura fuera de horario: defina disponibilidad y el modelo de costos
- Tiempo de respuesta en sitio: defina cuándo lo remoto no es suficiente
- SLA de uptime y disponibilidad: defina qué se mide (y qué no)
- Requisitos clave para una cláusula de disponibilidad
- Definiciones de RTO y RPO: establezca objetivos de recuperación que realmente pueda financiar
- RTO y RPO en términos operativos claros
- Exija pruebas y verificación de restauración
- SLA de gestión de parches: especifique cadencia, cobertura y excepciones
- Términos mínimos de gestión de parches que debe exigir
- SLA de respuesta a incidentes de seguridad: defina detección, contención y comunicaciones
- Qué exigir para incidentes de seguridad
- SLA de monitoreo de backups: no acepte “hacemos backups” sin “podemos restaurar”
- Términos de monitoreo de backups que evitan fallas silenciosas
- Reportes y cadencia de QBR: haga visible el desempeño
- Paquete mínimo de reportes
- QBR: defina cadencia y agenda
- Exclusiones, supuestos y términos de salida: donde viven los costos sorpresa
- Exclusiones comunes que debe cuestionar
- Términos de salida y offboarding: evite el lock-in
- Realidad del MSP en el Condado de Palm Beach: compare manzanas con manzanas
- ¿Necesita soporte de TI empresarial confiable?
TL;DR: Un managed it services sla solo es útil si define objetivos medibles, responsabilidades claras y qué sucede cuando no se cumplen los objetivos. Si el acuerdo es vago sobre respuesta vs. resolución, escalamiento, cobertura fuera de horario, copias de seguridad, gestión de parches e incidentes de seguridad, por defecto usted está aceptando riesgo de inactividad (downtime) y costos sorpresa.
Desde una perspectiva operativa, un contrato con un MSP es un sistema de control: define entradas (tickets, alertas, cambios), salidas (servicio restablecido, endpoints parcheados, copias de seguridad verificadas) y tolerancias (temporizadores, objetivos, excepciones). Cuando faltan las tolerancias, el sistema falla en el peor momento posible. Esta es la msp service level agreement checklist que quiero que los dueños de negocios del Condado de Palm Beach exijan antes de firmar.
Por qué un SLA de servicios de TI administrados no es “soporte”: es asignación de riesgo
La mayoría de las pequeñas empresas compran “soporte” esperando resultados: los sistemas se mantienen en línea, las copias de seguridad funcionan, los parches se aplican y los incidentes de seguridad se contienen. Sin embargo, muchos acuerdos de MSP garantizan esfuerzo, no resultados. Eso funciona… hasta que deja de funcionar. Y cuando deja de funcionar, falla de forma contundente.
Permítame trazar mentalmente lo que se rompe en entornos reales:
- Temporizadores ambiguos - “Respondemos rápido” no es una métrica. Es marketing.
- Puntos de falla sin responsable - existen copias de seguridad, pero nadie verifica restauraciones. El parcheo está habilitado, pero no se hace cumplir.
- Puntos únicos de falla - un solo técnico tiene todo el contexto, no hay matriz de escalamiento, no hay ruta fuera de horario.
- Exclusiones ocultas - “proyectos”, “seguridad”, “nube”, “fuera de horario” y “en sitio” se excluyen y se cobran a tarifas premium.
Si la disponibilidad (uptime) importa, el SLA no es negociable. Es el único lugar donde las expectativas se vuelven exigibles.
MSP service level agreement checklist: defina primero los límites del servicio
Antes de debatir números, defina el perímetro. De lo contrario, cada caída se convierte en una discusión de alcance.
1) Activos y usuarios cubiertos (la cláusula de inventario)
Su SLA debe enumerar, o referenciar un anexo con:
- Endpoints (PCs con Windows 10/Windows 11, dispositivos macOS), servidores (si aplica), equipos de red y aplicaciones críticas.
- Tenants de Microsoft 365 y qué administración está incluida.
- Trabajadores remotos y expectativas de BYOD (si se permite).
Consecuencia de omitir esto: el MSP puede afirmar que el dispositivo, usuario o app SaaS afectada estaba “fuera de alcance”, convirtiendo un incidente en un evento facturable.
2) Qué está incluido vs. excluido (y qué significa “proyecto”)
Exija especificidad. Exclusiones comunes que deben quedar explícitas:
- Trabajo fuera de horario y cobertura en días festivos
- Trabajo en sitio y traslados
- Coordinación con proveedores (ISP, VoIP, aplicaciones de línea de negocio)
- Respuesta a incidentes de seguridad y análisis forense
- Actualizaciones mayores y migraciones
Seco pero cierto: “proyecto” a menudo se define como “cualquier cosa difícil”. Su acuerdo debe definir umbrales para proyectos, pasos de aprobación y tarifas.
Métricas de SLA de mesa de ayuda: tiempo de respuesta vs. tiempo de resolución (no permita que los mezclen)
Aquí es donde se rompe todo: muchos SLA prometen una respuesta rápida y luego guardan silencio durante horas o días. El tiempo de respuesta es el tiempo para reconocer el ticket. El tiempo de resolución es el tiempo para restablecer el servicio. Usted necesita ambos.
Defina prioridades de tickets y temporizadores
Use un modelo de prioridades alineado con conceptos de ITIL (impacto + urgencia). No necesita mencionar ITIL en el contrato, pero sí necesita la mecánica. Una estructura práctica:
- P1 Crítico - caída a nivel de empresa, evento de seguridad en curso, servicio principal fuera de línea
- P2 Alto - degradación importante, múltiples usuarios afectados, flujo de trabajo clave afectado
- P3 Medio - un usuario bloqueado sin alternativa (workaround) disponible
- P4 Bajo - consultas “cómo hacer”, problema menor, solicitud programada
Para cada prioridad, exija:
- Objetivo de primera respuesta (ejemplo: 15-60 minutos en horario laboral para P1)
- Objetivo de restablecimiento (tiempo para restaurar el servicio, aunque la corrección permanente llegue después)
- Frecuencia de actualizaciones (ejemplo: cada 30-60 minutos en P1 hasta estabilizar)
Consecuencia: sin objetivos de restablecimiento y frecuencia de actualizaciones, usted obtiene acuse de recibo sin avance, lo cual es inútil operativamente.
Mida la mesa de servicio como un sistema, no como una “sensación”
Solicite reportes sobre métricas de SLA de mesa de ayuda, como:
- Tiempo de primera respuesta por prioridad
- Tiempo para restablecer el servicio por prioridad
- Antigüedad del backlog (tickets con más de X días)
- Tasa de resolución en el primer contacto (útil, pero no a costa de la calidad)
- Satisfacción del cliente (CSAT) con tamaño de muestra y método
Estas métricas le indican dónde están los puntos de falla: personal, triaje, escalamiento o herramientas.
Tiempos de respuesta a incidentes según ITIL y la matriz de escalamiento (elimine puntos únicos de falla)
En la práctica, los incidentes fallan en el traspaso. El SLA debe documentar una matriz de escalamiento utilizable a las 2:00 a. m., no solo durante una llamada de ventas.
Qué debe incluir su matriz de escalamiento
- Roles definidos (no solo nombres): Service Desk, Tier 2/3, Líder de Seguridad, Líder de Red, Service Manager
- Disparadores de escalamiento: “Si un P1 no se restablece en X minutos, escalar a Tier 3”
- Contactos y responsables del lado del cliente (quién puede aprobar cambios de emergencia)
- Canales de comunicación: teléfono, portal de tickets, correo electrónico, y qué ocurre si uno falla
Consecuencia: sin disparadores y roles, el escalamiento se vuelve político. Mientras tanto, el reloj sigue corriendo.
Cobertura de soporte fuera de horario y tiempo de respuesta en sitio (declare la realidad)
Muchas empresas del Condado de Palm Beach operan más allá del horario de 9 a 5, aunque no lo admitan. Su SLA debe coincidir con sus horas operativas.
Cobertura fuera de horario: defina disponibilidad y el modelo de costos
Exija lenguaje claro para:
- Ventana de cobertura (noches, fines de semana, días festivos)
- Qué califica como fuera de horario (ticket abierto vs. ticket atendido)
- Objetivos de respuesta para P1/P2 fuera de horario
- Facturación si no está incluido (tarifa fija, horas mínimas, multiplicador)
Esto funciona… hasta que no: un servidor cae el viernes por la noche y usted descubre que “fuera de horario” significa “lo revisamos el lunes”.
Tiempo de respuesta en sitio: defina cuándo lo remoto no es suficiente
El trabajo en sitio es un modo de falla distinto: logística. Su SLA debe indicar:
- Cuándo aplica el servicio en sitio (falla de hardware, caída de red, cableado, handoff con el ISP)
- Tiempos objetivo de llegada en sitio por prioridad
- Límites del área de servicio (West Palm Beach, Palm Beach Gardens, Lake Worth Beach, Boynton Beach, Jupiter, Wellington, Royal Palm Beach y el resto del Condado de Palm Beach)
Consecuencia: si los tiempos en sitio no están definidos, puede perder un día completo esperando a un técnico y aun así no tener recurso alguno.
SLA de uptime y disponibilidad: defina qué se mide (y qué no)
Un uptime and availability SLA solo tiene sentido si se define el método de medición. De lo contrario, usted obtiene un porcentaje que no se puede auditar.
Requisitos clave para una cláusula de disponibilidad
- Alcance: qué sistemas están cubiertos (firewall, switches, Wi‑Fi, servidor, app de línea de negocio, Microsoft 365)
- Medición: quién monitorea, desde dónde y qué cuenta como “arriba” (un ping no es lo mismo que que sea utilizable)
- Ventanas de mantenimiento: reglas de downtime programado y requisitos de notificación
- Créditos de servicio: qué ocurre si el MSP no cumple objetivos (los créditos no curan, pero crean responsabilidad)
También haga la pregunta incómoda: ¿el SLA cubre su ISP o solo “todo lo que está después del módem”? La mayoría de las caídas en oficinas pequeñas ocurren aguas arriba. Si el MSP no administrará la relación con el ISP, al menos exija términos documentados de escalamiento y coordinación con el proveedor.
Definiciones de RTO y RPO: establezca objetivos de recuperación que realmente pueda financiar
A la gente le encanta decir “tenemos backups”. Los backups no son recuperación. La recuperación es un proceso con objetivos. Su SLA debe incluir RTO RPO definitions que se ajusten al negocio.
RTO y RPO en términos operativos claros
- RTO (Recovery Time Objective): cuánto tiempo puede tolerar que el sistema esté caído.
- RPO (Recovery Point Objective): cuánta información puede tolerar perder, medido en tiempo (por ejemplo, 4 horas de datos).
Consecuencia: si no se establecen RTO/RPO, descubrirá que su “plan de recuperación” es una restauración a mejor esfuerzo que tarda días y pierde más datos de lo esperado.
Exija pruebas y verificación de restauración
El lenguaje del SLA de monitoreo de backups debe incluir:
- Frecuencia de monitoreo de trabajos de backup y alertas
- Definición de “exitoso” (trabajo completado, integridad verificada)
- Pruebas de restauración según un calendario (a nivel de archivo y a nivel de imagen cuando aplique)
- Resultados documentados y plazos de remediación
Si desea una visión más profunda sobre la planificación de continuidad del negocio y cómo la operacionalizamos, comience con nuestro enfoque de managed IT services for small businesses y pregunte específicamente cómo validamos las restauraciones.
SLA de gestión de parches: especifique cadencia, cobertura y excepciones
La gestión de parches es un control de confiabilidad, no una casilla para marcar. Un SLA de gestión de parches debe definir qué se parchea, cuándo y cómo se manejan las fallas.
Términos mínimos de gestión de parches que debe exigir
- Cobertura: actualizaciones de Windows 10/11, actualizaciones de Microsoft 365 Apps, apps de terceros compatibles (navegadores, lectores PDF) y firmware cuando corresponda
- Cadencia: ventana rutinaria de parches (semanal/quincenal) más manejo acelerado para correcciones críticas de seguridad
- Reglas de aplazamiento: cuánto tiempo pueden posponerse las actualizaciones y quién aprueba excepciones
- Reportes de cumplimiento: porcentaje de cumplimiento, principales incumplidores y plan de remediación
Consecuencia: un lenguaje vago sobre parches provoca deriva. La deriva provoca caídas e incidentes de seguridad evitables.
Para expectativas de administración de Microsoft 365, consulte nuestra página de servicio Microsoft 365 support and management. Aunque no externalice todo, necesita a alguien responsable de la higiene del tenant y del control de cambios.
SLA de respuesta a incidentes de seguridad: defina detección, contención y comunicaciones
Un security incident response SLA es diferente de un SLA de mesa de ayuda. El trabajo de seguridad tiene consecuencias legales, financieras y reputacionales. El acuerdo debe definir el runbook a alto nivel.
Qué exigir para incidentes de seguridad
- Definiciones de disparadores: sospecha de compromiso por phishing, infección de malware, acceso no autorizado, indicadores de exfiltración de datos
- Objetivos de respuesta: tiempo para involucrarse (no solo reconocer) y tiempo para iniciar pasos de contención
- Autoridad de contención: permiso para aislar dispositivos, deshabilitar cuentas, forzar restablecimientos de contraseña
- Manejo de evidencia: qué logs se retienen, por cuánto tiempo y quién es el propietario
- Plan de comunicación: a quién se notifica, cuándo y con qué frecuencia se entregan actualizaciones
Existe orientación base autorizada, y vale la pena leerla porque aclara las fases de respuesta. Consulte recursos de CISA sobre respuesta a incidentes para un marco práctico.
Si su MSP ofrece servicios de seguridad, asegúrese de que el alcance de seguridad sea explícito. Si desea un punto de referencia de lo que incluimos, revise nuestros business cybersecurity services y compárelos línea por línea con el contrato propuesto.
SLA de monitoreo de backups: no acepte “hacemos backups” sin “podemos restaurar”
El monitoreo de backups es un ciclo de control: el trabajo corre, se verifica, se prueba la restauración, se corrigen excepciones y se reportan resultados. Rompa cualquier eslabón y tendrá una falsa sensación de seguridad.
Términos de monitoreo de backups que evitan fallas silenciosas
- Intervalo de monitoreo y enrutamiento de alertas (incluido fuera de horario para sistemas P1)
- Plazo de remediación para fallas (ejemplo: investigar dentro de X horas, corregir dentro de Y)
- Requisitos de cifrado para backups en reposo y en tránsito
- Política de retención e inmutabilidad cuando aplique
Consecuencia: los backups sin monitoreo fallan en silencio. Usted solo se entera durante una restauración. Ese es el peor momento para descubrir una cadena faltante.
Reportes y cadencia de QBR: haga visible el desempeño
Los MSP que evitan reportar le están diciendo algo. Los reportes convierten el “confíe en nosotros” en un flujo de trabajo medible.
Paquete mínimo de reportes
- Métricas de tickets (respuesta/restablecimiento por prioridad, antigüedad del backlog)
- Cumplimiento de parches y lista de excepciones
- Estado de backups con resultados recientes de pruebas de restauración
- Resumen de seguridad (amenazas bloqueadas, inicios de sesión riesgosos si aplica, registro de incidentes)
- Inventario de activos y riesgos del ciclo de vida (vencimientos de garantía, elementos fuera de soporte)
QBR: defina cadencia y agenda
Un QBR (Quarterly Business Review) es donde se eliminan puntos de falla recurrentes. Su SLA debe definir:
- Cadencia (trimestral es típico para entornos activos)
- Quién asiste (service manager del MSP + su responsable de decisiones)
- Agenda: riesgos, hoja de ruta, proyección de presupuesto y decisiones de políticas
Si desea la perspectiva de Microsoft sobre monitoreo y reportes en Microsoft 365, revise la guía de Microsoft 365 sobre monitoreo y reportes y pregunte a su MSP cómo lo operacionaliza.
Exclusiones, supuestos y términos de salida: donde viven los costos sorpresa
Esta es la sección que la mayoría de las personas hojea. También es donde se escriben de antemano las discusiones futuras.
Exclusiones comunes que debe cuestionar
- Lenguaje de “mejor esfuerzo” sin objetivos medibles
- Seguridad excluida por defecto (o facturada como “proyecto de emergencia”)
- Backups incluidos, restauraciones facturadas
- Trabajo en sitio facturado con mínimos largos
- Sin responsabilidad por coordinación con proveedores
Términos de salida y offboarding: evite el lock-in
Exija un proceso de offboarding documentado:
- Plazo de aviso y cargos por terminación (si los hay)
- Formato y plazos de devolución de datos (configuraciones, documentación, proceso de custodia/escrow de credenciales)
- Horas y tarifas de asistencia de transición
- Qué ocurre con backups, logs y herramientas de monitoreo tras la terminación
Consecuencia: términos de salida débiles crean situaciones de “rehén” operativo. Usted no quiere que sus contraseñas, configuraciones del firewall o conocimiento del tenant de Microsoft 365 queden atrapados detrás de una disputa contractual.
Realidad del MSP en el Condado de Palm Beach: compare manzanas con manzanas
Si está evaluando un palm beach county msp, no compare propuestas por el precio mensual. Compare por los modos de falla cubiertos.
Use este enfoque rápido de puntuación:
- Temporizadores: objetivos de respuesta + restablecimiento por prioridad, en horario laboral y fuera de horario.
- Responsabilidad: matriz de escalamiento con disparadores y roles definidos.
- Continuidad: objetivos RTO/RPO más pruebas de restauración.
- Prevención: SLA de gestión de parches con reportes de cumplimiento.
- Seguridad: SLA de respuesta a incidentes de seguridad con autoridad de contención y comunicaciones.
- Visibilidad: reportes y cadencia de QBR con agendas definidas.
- Salida: términos de offboarding que le devuelvan el control.
Si desea una base para comparar, comience con nuestro resumen de business IT services y luego profundice en el alcance de managed IT. El objetivo no es “comprar más”. El objetivo es eliminar puntos únicos de falla y hacer que los resultados sean predecibles.
¿Necesita soporte de TI empresarial confiable?
Obtenga servicios profesionales de TI administrados, soporte de Microsoft 365 y ciberseguridad de los expertos en tecnología empresarial del Condado de Palm Beach.
Obtener ayuda de TI para empresas