01 marzo 2007

Póngame una de SLAs!

Últimamente, eso de los SLAs (Service Level Agreements) se ha convertido en un tema de conversación tan habitual que parece algo que sirvan en los bares de tapas. El problema es que la terminología se ha trivializado tanto que en muchas ocasiones se utiliza el término de forma incorrecta.

Un SLA debe ser, en primer lugar, un acuerdo. En caso contrario estaríamos, como mucho, ante un SLI (de Imposition). Debe ser un acuerdo en todos los sentidos, desde el precio hasta los elementos a valorar. Vamos, que el contrato particular del ADSL nunca será un SLA, aunque nos garanticen un cierto ancho de banda o nos regalen el primer mes de cuota si no funciona bien. ¿O alguien piensa que el operador de banda ancha va a negociar el contrato con los particulares?

Evidentemente, un SLA tiene que incluir niveles de servicio (que por algo aparecen la S y la L). Pero... qué es una disponibilidad del servicio de asistencia técnica del 99%? ¿Significa que casi siempre que llamo me cogen el teléfono? ¿Tanto si llamo a las 10 de la mañana como a las 12 de la noche? El SLA tiene que definir no sólo el servicio en sí, sino sus características, cómo se calcula el indicador, en qué periodo se mide...

Normalmente, los SLAs incluyen penalizaciones si no se alcanzan los compromisos. Pero... es suficiente? Si en lugar del 99% me dan una disponibilidad del 50%, las penalizaciones me resarcen de los perjuicios causados? Y si por culpa del incumplimiento pierdo clientes? Un SLA también debería incluir un mínimo garantizado, que me asegure que la curva de penalización realmente me compensa.

Y otro apartado que debería incluir todo SLA son las condiciones adicionales. Y aquí es donde la mayoría de los mal llamados SLAs fallan. No es suficiente con especificar en el contrato todos los apartados anteriores. Hay otros aspectos como el seguimiento, la gestión de cambios en los servicios prestados, la resolución de conflictos o los roles y funciones de proveedor y cliente que deberían estar especificados. Contemplan estos aspectos los SLAs del bar de tapas?

En resumen, un SLA es un contrato en el que, en el caso ideal, todas las situaciones que se puedan dar en relación a la prestación del servicio han sido contempladas y reguladas. Sobre todo, un contrato en el que se contemple no sólo qué hacer cuando todo va bien, sino que tenga en cuenta cómo actuar cuando todo va mal. ¿El objetivo final? Que los problemas graves entre cliente y proveedor se puedan resolver como amigos, porque hemos acordado en el SLA cómo se deben resolver situaciones que, en otro caso, quizás llegasen a los tribunales.

6 comentarios:

Antonio Valle dijo...

Hola Joseba!
Esoty de acuerdo en lo que cuentas (aunque, como es normal, falta muuuuucho por decir del mundo de las SLAs), pero.. creo que te has dejado algo importante en el tintero: el SLA debe establecer el marco en el que estamos trabajando. Es decir, debe definir claramente bajo que condiciones el proveedor se compromete a cumplir con determinados niveles de servicio (sobre todo para departamentos de IT internos).

Me puedo comprometer a un tiempo de respuesta X siempre y cuando no se excedan los N usuarios concurrentes de los que hemos hablado... por ejemplo.

Bueno, eso es todo por hoy!
Saludos!
Antonio

deincognito dijo...

Joseba,

Me parece que, salvo en el caso de grandes empresas que puedan tener cierto margen de negociación con sus proveedores, lo de los SLAs es más bien una quimera. Lo que se estilan son lo que llamabas SLIs o, en castellano, contratos de adhesión. Este podía ser el slogan "No pretendas cambiar una coma y firma que si no empezamos con abogados y entonces la cosa se prolonga".

Volviendo a la teoría. Es importante atar bien con los distribuidores o los fabricantes las condiciones de respuesta en caso de contingencias graves o catastróficas. Añadiendo incluso un nivel de prioridad sobre otros clientes para cuando se hayan producido catástrofes.

Un saludo

Joseba Enjuto dijo...

Hola!

Evidentemente, para que se pueda firmar un SLA (un acuerdo) va a ser necesario que ambas organizaciones sean de tamaños o fuerzas equiparables (o que la grande tenga mucho interés en hacer las cosas BIEN). Si no, habrá que acogerse al "café con leche para todos".

En cuanto a las omisiones, de acuerdo con ambos comentarios: tanto las contingencias como las condiciones "de entorno" en las que se presta el servicio deben figurar. La idea no era hacer un listado exhaustivo de los elementos que debe contener un SLA, sino citar algunos de los errores más frecuentes al hablar de ellos. Pero ya que estamos, con más contribuciones podríamos llegar a un listado bastante exhaustivo de lo que puede contener un SLA!!

Así que aporto otro granito de arena: cláusulas de seguridad en los SLAs (sobre todo, si se quiere cumplir también con la ISO 27001). Alguien puede aportar algún otro elemento importante?

Agustin lerma dijo...

Buenas tardes Joseba,

Creo que el meollo de la cuestión es quien define el SLA (Asumiendo deseo de ello por ambas partes), el cliente o el proveedor.
El problema es que solo algunos proveedores de servicios proporcionan SLAs (Se parecen a SLIs) y los demandantes de servicios están muy lejos todavía del ejercicio de definir un SLA en función de sus necesidades de negocio. Esto es lo que hay que conseguir.
Salu2,
Agustin

deincognito dijo...

Joseba,

Con respecto a lo que decías, estoy de acuerdo, pero me temo que la cosa está difícil. Como abogado y como consultor de gestión de seguridad he hecho varias propuestas en clientes y la cosa no cuaja nunca, a veces por falta de ganas o reticiencia, otras de tiempo, otras de personas que auditen y revisen el cumplimiento de obligaciones y la gestión de cambios, otras por odio acérrimo a los abogados y los contratos "profundos", otras porque ya se sabe que aunque luego se incumplan no nos vamos a meter en el vergel de los pleitos,...

Desde luego, con la teoría en la mano, y dependiendo de la organización, tendríamos que tener en cuenta lo que aplique de la ISO 9000, 14000, OHSAS, ISO 27001,..., así como de legislación aplicable al caso (LOPD, LSSI y cualesquiera otras). Pero las empresas necesitan producir y al final es mejor racionalizar y tratar de que los auditores lo entiendan y consideren nuestro sistema de gestión certificable aunque no seámos puristas.

Un saludo

Joseba Enjuto dijo...

Reconozco que esto de los SLAs es complicado. Sobre todo, cuando es algo tan incipiente. De todos modos, es posible que la propia evolución del mercado permita mejorar esta situación cuando los SLAs se vayan generalizando...

Por cierto, deincognito, sigue adelante la idea del blog? Ya nos contarás...