Gestão de Incidentes SaaS

A classificação da gravidade do incidente é a primeira decisão em cada incidente — ela determina quem é acionado, com que rapidez e quais SLAs de comunicação se aplicam. Um modelo prático de gravidade: SEV-1 (Crítico): interrupção completa do produto ou evento de perda de dados. Zero usuários podem acessar o produto principal OU violação confirmada de integridade de dados. Resposta: chamada de ponte imediata com todos os envolvidos, notificação ao CEO e conselho em 1 hora, atualização da página de status pública em 15 minutos, notificação ao cliente em 30 minutos. SEV-2 (Maior): indisponibilidade significativa de recursos afetando > 10% da base de usuários ativos, ou um recurso crítico quebrado para todas as contas de nível empresarial. Resposta: líder de engenharia e equipe de plantão imediatamente engajados, reunião de coordenação multifuncional em 30 minutos, notificação ao cliente em 1 hora. SEV-3 (Menor): degradação isolada de recursos afetando < 10% dos usuários ou um recurso não crítico quebrado. Resposta: engenheiro designado, escalonamento em horário comercial padrão, página de status atualizada se publicamente visível, sem contato proativo com o cliente, a menos que o recurso afetado seja comumente usado. SEV-4 (Baixo): bug menor com solução alternativa conhecida, sem impacto generalizado no cliente. Resposta: registrado como um bug rastreado no backlog de engenharia, sem escalonamento.

A qualidade da comunicação de incidentes afeta drasticamente a confiança do cliente e o risco de churn, muitas vezes mais do que o próprio incidente. Princípios: comunique cedo e frequentemente, mesmo quando não tiver nada a relatar — o silêncio é interpretado como incompetência ou evasão. Estruture a comunicação de incidentes em três canais: (1) Página de status pública (Statuspage.io é padrão): atualizada em 15 minutos após a classificação do incidente. Atualização inicial: "Estamos cientes de um problema afetando [Recurso X] e estamos investigando. Atualizaremos a cada 30 minutos." Atualizações subsequentes a cada 30 minutos com exatamente três elementos: o que ainda está impactado, o que a equipe aprendeu e o próximo horário de atualização. Atualização de resolução: "Este incidente foi resolvido. Toda a funcionalidade de [Recurso X] foi restaurada a partir de [hora]. Publicaremos um post-mortem completo em 48 horas." (2) E-mail proativo para contas afetadas: para SEV-1 e SEV-2, a equipe de Suporte ou CS envia um e-mail direto para todas as contas de nível empresarial informando-as sobre o impacto antes que o encontrem. Ser o primeiro a informar é significativamente melhor do que esperar que os clientes descubram e reclamem. (3) Banner no aplicativo durante incidente ativo: um banner visível na UI do produto reconhecendo o problema para que os usuários que encontram problemas entendam imediatamente que é conhecido, e não um erro do usuário.

A revisão pós-incidente (PIR, também chamada de post-mortem na cultura de engenharia) é o debrief estruturado que converte um incidente doloroso em aprendizado organizacional. Um PIR eficaz é sem culpa — focado em melhorias sistêmicas de processo e infraestrutura, não em encontrar e criticar o indivíduo que cometeu um erro. A técnica dos "cinco porquês": pergunte "por que isso aconteceu?" e então pergunte "por que" sobre cada resposta, cinco vezes. Este exercício quase sempre revela que o que parecia ser um erro humano (um engenheiro fez a mudança de configuração errada) era na verdade uma falha sistêmica (o processo de mudança não incluía uma etapa de revisão que teria detectado o erro, o monitoramento não alertou a tempo, o runbook direcionou o engenheiro de plantão incorretamente). Estrutura do PIR: reconstrução da linha do tempo (um relato preciso minuto a minuto do que aconteceu, validado pelos membros da equipe envolvidos); quantificação do impacto (quantos clientes afetados, por quanto tempo, qual foi o ARR estimado em risco?); análise da causa raiz (quais condições sistêmicas permitiram este incidente?); mitigações imediatas concluídas; e — o mais importante — itens de ação. Os itens de ação do PIR devem ser específicos, ter um responsável e um cronograma: "Mehmet adicionará a etapa de revisão da mudança de configuração de implantação ao runbook até 15 de março." Product Ops rastreia os itens de ação do PIR mensalmente e relata as taxas de conclusão à liderança de engenharia.