
SLA vs SLO vs KPI: Cómo medir a su proveedor de TI administradas
Escuchar este artículo
Loading...- Por qué importan las métricas de servicios de TI administradas (y qué es lo que realmente falla)
- SLA vs SLO vs KPI: definiciones que resisten una auditoría
- SLA: el límite legal de la responsabilidad del proveedor
- SLO: el objetivo de confiabilidad que evita apagar incendios
- KPI: los números que demuestran que el trabajo se realizó
- KPI de MSP que debería exigir: el scorecard para pymes (copiar/pegar)
- 1) Tiempo de respuesta y resolución del help desk (MTTR)
- 2) Reporte de uptime que incluya el alcance del monitoreo
- 3) Cumplimiento de parches (sistemas operativos y apps comunes de terceros)
- 4) Métricas de backup: el éxito no es lo mismo que la recuperabilidad
- 5) Métricas de respuesta a incidentes de ciberseguridad (de detección a contención)
- Cómo redactar requisitos medibles en un acuerdo de servicios administrados
- Paso 1: Defina el alcance y las exclusiones (elimine zonas grises)
- Paso 2: Defina niveles de severidad con impacto en el negocio
- Paso 3: Exija cadencia de reportes y evidencia en bruto
- Scorecard práctico: qué pedirle a su proveedor cada mes
- TI administradas en Palm Beach County: cómo se ve una buena rendición de cuentas a nivel local
- ¿Necesita soporte de TI empresarial confiable?
TL;DR: Si no puede medirlo, no puede gestionarlo. SLA vs SLO vs KPI se trata, en realidad, de separar las garantías contractuales (SLA), los objetivos internos de confiabilidad (SLO) y las mediciones operativas (KPI) para que su proveedor de TI administradas rinda cuentas con evidencia, no con promesas.
En la práctica, la mayoría de las pequeñas empresas en Palm Beach County contratan a un proveedor de TI y luego descubren que los reportes son vagos y los resultados, inconsistentes. Desde un punto de vista operativo, eso es un problema de gobernanza, no un problema de tecnología. Solucionémoslo con un scorecard que pueda usar antes de firmar y cada mes después.
Por qué importan las métricas de servicios de TI administradas (y qué es lo que realmente falla)
Esto es lo que realmente falla en entornos reales: no el plan de marketing, no la propuesta, no el lenguaje de “nosotros nos encargamos”. Los puntos de falla casi siempre son los mismos:
- Expectativas ambiguas - se promete el tiempo de respuesta, pero no se define.
- Sin rastro de evidencia - el parcheo “está cubierto”, pero no hay un reporte de cumplimiento.
- Puntos únicos de falla - una cuenta de administrador, un único destino de backup, una sola persona que “conoce la configuración”.
- Métricas que ocultan la verdad - se reporta el uptime sin exclusiones, contexto ni alcance del monitoreo.
Esto funciona bien hasta que deja de funcionar. Y cuando deja de funcionar, falla en grande: interrupciones prolongadas, exposición de seguridad y el clásico dolor de las pymes: no tiene una forma objetiva de demostrar si su proveedor tuvo un buen o mal desempeño.
SLA vs SLO vs KPI: definiciones que resisten una auditoría
Piénselo como un diagrama simple del sistema:
- SLA (Service Level Agreement) = compromiso contractual con remedios.
- SLO (Service Level Objective) = objetivo al que un equipo apunta para operar de forma confiable.
- KPI (Key Performance Indicator) = medición utilizada para gestionar el desempeño.
SLA: el límite legal de la responsabilidad del proveedor
Un acuerdo de nivel de servicio de TI es donde se define qué sucede cuando no se cumplen los niveles de servicio. Si el uptime importa, este paso no es opcional. Un SLA real incluye:
- Alcance - qué sistemas, usuarios, ubicaciones y horarios están cubiertos.
- Objetivos - respuesta y resolución por severidad, uptime, RPO/RTO de backups, etc.
- Método de medición - qué herramienta, qué marcas de tiempo, qué cuenta como “caído”.
- Remedios - créditos de servicio, derechos de escalamiento o cláusulas de terminación.
Consecuencia de hacerlo mal: paga por servicios “administrados” que, en la práctica, son best-effort.
SLO: el objetivo de confiabilidad que evita apagar incendios
Los SLO son objetivos internos que mantienen a un proveedor operativamente honesto. Un MSP maduro establecerá SLOs que sean más estrictos que el SLA para crear un margen. Ejemplo: un SLA podría permitir una respuesta de 1 hora para alta severidad, mientras que el SLO del MSP es de 15 minutos. Ese margen es lo que absorbe el caos del mundo real.
Consecuencia de no tener disciplina de SLO: el proveedor cumple el contrato, pero sus usuarios siguen sufriendo.
KPI: los números que demuestran que el trabajo se realizó
Los KPI son la forma de validar el desempeño y detectar desviaciones antes de que se conviertan en una interrupción. Los mejores KPI tienen tres características:
- Objetivos - obtenidos de logs, ticketing y monitoreo, no de opiniones.
- Comparables - definiciones consistentes mes a mes.
- Accionables - cuando el número cambia, usted sabe qué hacer después.
KPI de MSP que debería exigir: el scorecard para pymes (copiar/pegar)
Si quiere una herramienta práctica de evaluación, use este scorecard. Está diseñado en torno a modos de falla comunes: demoras del help desk, tickets sin resolver, endpoints sin parches, backups sin pruebas y eventos de seguridad “gestionados” sin evidencia.
Cómo usarlo: Exija reportes mensuales, revíselos trimestralmente y vincule incumplimientos crónicos con escalamiento o términos del contrato. Si quiere que un proveedor opere su entorno como infraestructura, necesita medición a nivel de infraestructura.
1) Tiempo de respuesta y resolución del help desk (MTTR)
Las métricas del help desk son donde más se confunden las pymes, porque a los proveedores les encanta reportar el “tiempo de respuesta promedio” sin severidad ni horario laboral. Exija estas en su lugar:
- Tiempo de primera respuesta por prioridad (P1-P4) y por canal (teléfono, email, portal).
- Mean Time To Resolution (MTTR) por prioridad, más distribución (no solo promedios).
- Tasa de reapertura (tickets reabiertos dentro de 7 o 14 días).
- Tiempo de escalamiento (tiempo de L1 a L2/L3) para incidentes P1/P2.
Por qué importa: Un tiempo de respuesta bajo con un MTTR alto significa que el proveedor reconoce los tickets rápido, pero no los resuelve. Eso es teatro operativo.
Ejemplo de requisito medible: “Primera respuesta P1 dentro de 15 minutos durante horario laboral; objetivo de MTTR P1 de 4 horas; objetivo de MTTR P2 de 1 día hábil. El reporte debe incluir marcas de tiempo de tickets y definiciones de prioridad.”
2) Reporte de uptime que incluya el alcance del monitoreo
El uptime solo es significativo si usted sabe qué se monitoreó y cómo se definió el downtime. Exija:
- Uptime por servicio (circuito de internet, firewall, switch core, servidor, app clave de línea de negocio).
- Cobertura de monitoreo (lista de dispositivos/servicios monitoreados, intervalos de sondeo, umbrales de alertas).
- Clasificación del downtime (mantenimiento planificado vs interrupción no planificada).
- Resúmenes de causa raíz para interrupciones relevantes, con acciones correctivas.
Consecuencia de un uptime vago: puede estar “99.9% arriba” mientras lo que su personal realmente usa estuvo caído y sin monitoreo. Eso es un punto único de falla en el reporte.
3) Cumplimiento de parches (sistemas operativos y apps comunes de terceros)
El parcheo es un flujo de trabajo preventivo, no una tarea única. Su MSP debe proporcionar reportes de cumplimiento de parches para endpoints y servidores, incluyendo razones de fallo y planes de remediación.
- Cumplimiento de parches del SO (endpoints Windows 10 y Windows 11, Windows Server cuando aplique) con una ventana de parches definida.
- Cobertura de parches de terceros (navegadores, lectores PDF, runtimes de Java si existen, etc.) y qué queda excluido.
- Gestión de excepciones (dispositivos offline, instalaciones fallidas, aplazamientos del usuario) con un plan de cierre.
Por qué el “por qué” antes del “cómo”: los sistemas sin parches son puntos de falla previsibles para ransomware y robo de credenciales. “Nosotros parchamos” sin evidencia de cumplimiento no es un control.
Para servicios en la nube de Microsoft, también debe entender dónde terminan las responsabilidades del proveedor y dónde comienzan las de Microsoft. Microsoft publica la guía de salud del servicio aquí: Documentación de salud del servicio de Microsoft 365.
4) Métricas de backup: el éxito no es lo mismo que la recuperabilidad
Los backups fallan en silencio. Las pruebas de restauración fallan de forma evidente, por eso muchos equipos las evitan. Desde un punto de vista operativo, probar restauraciones no es negociable.
Exija estos KPI de backup y recuperación:
- Tasa de éxito de backup por sistema (no solo “éxito general”).
- RPO (Recovery Point Objective) - cuántos datos puede permitirse perder.
- RTO (Recovery Time Objective) - cuánto tiempo puede permitirse estar fuera de servicio.
- Frecuencia de pruebas de restauración (al menos trimestral para sistemas críticos; a menudo mensual para datos con muchos cambios).
- Paquete de evidencias de las pruebas de restauración (logs, capturas de pantalla, hashes de archivos cuando corresponda y quién validó).
Consecuencia de omitir pruebas de restauración: descubre que sus backups están incompletos durante una interrupción, cuando cada hora cuesta dinero real.
5) Métricas de respuesta a incidentes de ciberseguridad (de detección a contención)
Las métricas de seguridad deben rastrear tiempo, alcance y cierre. Si su MSP ofrece servicios de seguridad, exija mediciones de gestión de incidentes que se alineen con un proceso repetible.
- MTTD (Mean Time To Detect) para eventos monitoreados.
- MTTC (Mean Time To Contain) para incidentes confirmados.
- Tiempo de notificación (qué tan rápido se le informa después de la confirmación).
- Tiempo de entrega del informe post-incidente (qué tan rápido recibe la causa raíz y las acciones correctivas).
Permítame explicarle los modos de falla: si la detección es rápida pero la contención es lenta, usted tiene herramientas sin autoridad. Si la contención es rápida pero la notificación es lenta, hay una falla de comunicación. Ambos se pueden corregir, pero solo si se miden.
Para un ciclo de vida base de gestión de incidentes, el resumen de CISA es una referencia sólida: Resumen de gestión de incidentes de CISA.
Cómo redactar requisitos medibles en un acuerdo de servicios administrados
La mayoría de los contratos fallan porque describen actividades, no resultados. Usted quiere ambos, pero los resultados son los que protegen al negocio. Use esta estructura:
Paso 1: Defina el alcance y las exclusiones (elimine zonas grises)
- Liste usuarios, dispositivos, servidores y servicios en la nube soportados.
- Defina horario laboral, fuera de horario y cobertura en días festivos.
- Documente lo que queda excluido (apps no soportadas, BYOD, sistemas legacy) y el proceso para agregar cobertura.
Consecuencia: un alcance poco claro crea un punto único de falla en la rendición de cuentas. Cuando algo se rompe, todos señalan el contrato.
Paso 2: Defina niveles de severidad con impacto en el negocio
- P1: negocio detenido o incidente de seguridad en curso.
- P2: degradación importante que afecta a múltiples usuarios.
- P3: problema de un solo usuario con workaround.
- P4: solicitudes y cambios de bajo impacto.
Haga que el proveedor adopte sus definiciones, no las de ellos. De lo contrario, verá etiquetas “P3” en dolores “P1”.
Paso 3: Exija cadencia de reportes y evidencia en bruto
Expectativas mínimas de reportes para pymes:
- Mensual: métricas de tickets, cumplimiento de parches, estado de backups, resumen de seguridad y recomendaciones.
- Trimestral: revisión de riesgos, roadmap, planificación del ciclo de vida (garantía/antigüedad) y resultados de pruebas de restauración.
- Anual: revisión de políticas, revisión de accesos y ejercicio tabletop de continuidad del negocio.
Requisito de evidencia: “Los reportes deben incluir marcas de tiempo de origen de los sistemas de ticketing/monitoreo y una lista de activos monitoreados.” Sin eso, los reportes son solo PDFs con sensaciones.
Scorecard práctico: qué pedirle a su proveedor cada mes
Este es el proceso repetible que me gusta porque escala y es aburrido en el mejor sentido:
- Revise el cumplimiento del SLA: ¿cumplieron los objetivos contractuales por severidad?
- Revise la desviación del SLO: ¿se están deteriorando los objetivos internos aunque se cumpla el SLA?
- Revise los principales problemas recurrentes: ¿qué se sigue rompiendo y qué trabajo preventivo se realizó?
- Valide el cumplimiento de parches: confirme porcentajes y que las excepciones se estén cerrando.
- Valide los backups: confirme que se realizaron pruebas de restauración y que fueron verificadas.
- Valide las operaciones de seguridad: confirme incidentes, tiempos de contención y acciones correctivas.
Si desea un punto de partida basado en plantillas para la gobernanza, nuestro enfoque de managed IT services está construido alrededor de operaciones medibles y controles documentados. Si Microsoft 365 forma parte de su entorno, exija una asignación clara de responsabilidades para identidad, licenciamiento y baselines de seguridad mediante Microsoft 365 administration and support. Y si se toma en serio la reducción de riesgos, alinee el contrato con resultados de business cybersecurity services.
TI administradas en Palm Beach County: cómo se ve una buena rendición de cuentas a nivel local
Los negocios locales no necesitan “complejidad empresarial”, pero sí necesitan disciplina empresarial. En Palm Beach County, normalmente veo las mismas realidades operativas: múltiples sedes, variaciones estacionales de personal y aplicaciones de línea de negocio que son críticas incluso cuando son antiguas.
Apoyamos a organizaciones en West Palm Beach, Palm Beach Gardens, Jupiter, Lake Worth Beach, Boynton Beach, Wellington, Royal Palm Beach y Boca Raton. La ubicación no es el punto. El flujo de trabajo es: definir objetivos, medir de forma consistente y eliminar puntos únicos de falla antes de que eliminen su uptime.
Si está comparando proveedores, comience con nuestra página de business IT services y luego use el scorecard anterior para evaluar a todos con la misma vara. Así mantiene la decisión técnica y prevenible, no emocional y reactiva.
¿Necesita soporte de TI empresarial confiable?
Obtenga servicios profesionales de TI administradas, soporte de Microsoft 365 y ciberseguridad de los expertos en tecnología empresarial de Palm Beach County.
Obtener ayuda de TI para empresas