Gestión de Incidentes SaaS

La clasificación de la gravedad de los incidentes es la primera decisión en cada incidente; determina a quién se notifica, con qué rapidez y qué SLAs de comunicación se aplican. Un modelo de gravedad práctico: SEV-1 (Crítico): interrupción completa del producto o evento de pérdida de datos. Cero usuarios pueden acceder al producto principal O una violación confirmada de la integridad de los datos. Respuesta: llamada de puente inmediata para todo el personal, notificación al CEO y a la junta directiva en 1 hora, actualización de la página de estado pública en 15 minutos, notificación al cliente en 30 minutos. SEV-2 (Mayor): indisponibilidad significativa de una característica que afecta a más del 10% de la base de usuarios activos, o una característica crítica rota para todas las cuentas de nivel empresarial. Respuesta: líder de ingeniería y rotación de guardia involucrados de inmediato, reunión de coordinación interfuncional en 30 minutos, notificación al cliente en 1 hora. SEV-3 (Menor): degradación aislada de una característica que afecta a menos del 10% de los usuarios o una característica no crítica rota. Respuesta: ingeniero asignado, escalada en horario laboral estándar, página de estado actualizada si es visible públicamente, sin contacto proactivo con el cliente a menos que la característica afectada sea de uso común. SEV-4 (Bajo): error menor con solución alternativa conocida, sin impacto generalizado en el cliente. Respuesta: registrado como un error rastreado en el backlog de ingeniería, sin escalada.

La calidad de la comunicación de incidentes afecta drásticamente la confianza del cliente y el riesgo de abandono, a menudo más que el propio incidente. Principios: comunicarse temprano y con frecuencia, incluso cuando no haya nada que informar; el silencio se interpreta como incompetencia o evasión. Estructurar la comunicación de incidentes a través de tres canales: (1) Página de estado pública (Statuspage.io es estándar): actualizada dentro de los 15 minutos posteriores a la clasificación del incidente. Actualización inicial: "Somos conscientes de un problema que afecta a [Característica X] y estamos investigando. Actualizaremos cada 30 minutos." Actualizaciones posteriores cada 30 minutos con exactamente tres elementos: qué sigue afectado, qué ha aprendido el equipo y la próxima hora de actualización. Actualización de resolución: "Este incidente ha sido resuelto. Toda la funcionalidad de [Característica X] ha sido restaurada a partir de [hora]. Publicaremos un post-mortem completo dentro de las 48 horas." (2) Correo electrónico proactivo a las cuentas afectadas: para SEV-1 y SEV-2, el equipo de Soporte o CS envía un correo electrónico directo a todas las cuentas de nivel empresarial informándoles del impacto antes de que lo encuentren. Ser el primero en informar es significativamente mejor que esperar a que los clientes descubran y se quejen. (3) Banner en la aplicación durante el incidente activo: un banner visible en la interfaz de usuario del producto que reconoce el problema para que los usuarios que encuentren problemas comprendan de inmediato que es conocido, no un error del usuario.

La revisión post-incidente (PIR, también llamada post-mortem en la cultura de ingeniería) es el informe estructurado que convierte un incidente doloroso en aprendizaje organizacional. Un PIR efectivo es sin culpa, centrado en mejoras sistémicas de procesos e infraestructura, no en encontrar y criticar al individuo que cometió un error. La técnica de los "cinco porqués": preguntar "¿por qué sucedió esto?" y luego preguntar "por qué" sobre cada respuesta, cinco veces. Este ejercicio casi siempre revela que lo que parecía ser un error humano (un ingeniero realizó un cambio de configuración incorrecto) era en realidad una falla sistémica (el proceso de cambio no incluía un paso de revisión que habría detectado el error, el monitoreo no alertó a tiempo, el runbook dirigió incorrectamente al ingeniero de guardia). Estructura del PIR: reconstrucción de la línea de tiempo (un relato preciso minuto a minuto de lo sucedido, validado por los miembros del equipo involucrados); cuantificación del impacto (cuántos clientes afectados, durante cuánto tiempo, cuál fue el ARR estimado en riesgo?); análisis de la causa raíz (¿qué condiciones sistémicas permitieron este incidente?); mitigaciones inmediatas completadas; y, lo más importante, elementos de acción. Los elementos de acción del PIR deben ser específicos, tener un responsable y estar programados: "Mehmet agregará el paso de revisión del cambio de configuración de implementación al runbook antes del 15 de marzo." Product Ops rastrea los elementos de acción del PIR mensualmente e informa las tasas de finalización a la dirección de ingeniería.