SkillOperaçõesDiagnostica

Triagem de Severidade de Incidente

Classifica a severidade de um incidente (P0/P1/P2/P3) com critérios objetivos para acionar a resposta proporcional.

Ações
PerfilOperações
ProfundidadeMédia
IdiomaPortuguês
Objetivo

Em uma frase.

Classificar um incidente operacional em uma severidade objetiva (P0/P1/P2/P3) usando critérios mensuráveis: % de usuários afetados, perda de receita, dados expostos, SLA contratual em risco, impacto regulatório. A skill remove a ambiguidade comum em chamadas de "isso é P1?" e amarra cada severidade a um conjunto de respostas obrigatórias (escalation, comunicação, SLA).

Aplicação

Quando
faz sentido.

Usar
  • Página entrou, sistema degradado, time precisa decidir nível de resposta agora.
  • Discussão entre líderes sobre se um problema "merece" ser declarado incident.
  • Definição da política de severidade para o time (uso recorrente).
  • Reclassificação durante incidente em curso (sobe ou desce severidade conforme evolui).
  • Post-incident: validar se a classificação inicial foi apropriada.
Não usar
  • Para escrever o runbook de resposta em si → use runbook-writer.
  • Para postmortem após o incident resolvido → use incident-postmortem.
  • Para definir a árvore de escalation (quem chama quem) → use escalation-protocol.
  • Para incident que não é operacional (legal, RH, financeiro) → esta skill é específica para incidentes operacionais/técnicos.
Prompt

Instruções
para a IA.

Passo 1 — Aplicar a matriz de severidade Gzero

A severidade é determinada pelo critério mais severo entre todas as dimensões. Se qualquer eixo bater P1, é P1.

| Severidade | Usuários afetados | Receita / hora | Dados | SLA | Regulatório |

|---|---|---|---|---|---| | P0 — Crítico | > 50% ou todos enterprise | > R$ 100k | Vazamento confirmado de PII | Múltiplos SLAs violados | Notificação regulatória obrigatória | | P1 — Alto | 10-50% ou enterprise único crítico | R$ 20-100k | Exposição interna sensível | SLA violado / em risco iminente | Risco regulatório | | P2 — Médio | 1-10% ou degradação geral | R$ 5-20k | Dado interno não-sensível | SLA degradado mas não violado | Sem exposição | | P3 — Baixo | < 1% ou caso isolado | < R$ 5k | Nenhum | Sem impacto SLA | Sem exposição |

Adapte os números absolutos ao porte da empresa. Para uma startup early-stage, R$ 5k/hora pode ser P1; para enterprise, P3. O importante é que sejam thresholds escritos, não inventados na hora.

Passo 2 — Calcular o impacto em usuários

Distinguir:

- Usuários afetados: quem está experimentando o sintoma.

- Usuários expostos: quem poderia ser afetado pela mesma causa em janela próxima. - Usuários enterprise vs. self-service: um cliente enterprise único pode justificar P1 mesmo sem volume.

Fontes: - Métrica em tempo real (Datadog, NewRelic). - Suporte (volume de tickets nas últimas 30 min). - Status page interna. - Distribuição geográfica (se incidente é regional vs global).

Output: número absoluto + percentual da base ativa.

Passo 3 — Quantificar impacto em receita

Não é necessária precisão, mas ordem de grandeza:

- Cobrança parada: receita média horária × tempo de queda.

- Funil quebrado (checkout, signup): taxa de conversão histórica × tráfego no intervalo. - Cliente enterprise específico afetado: valor mensal do contrato proporcional. - Multas contratuais por SLA violado: valor da cláusula.

Para times sem visibilidade financeira em tempo real, usar último dado disponível. "Não sei" não é resposta válida nesta dimensão.

Passo 4 — Avaliar exposição de dados

Critério crítico, frequentemente sub-avaliado:

- Vazamento confirmado: dado saiu para fora do controle da empresa. P0 quase sempre.

- Exposição interna: dado acessível por quem não deveria ter acesso (ex: vazamento entre tenants). Geralmente P1. - Acesso indevido sem extração confirmada: P1, escalando para P0 se cobrir PII. - Sem exposição: P2/P3 conforme outros eixos.

Para qualquer suspeita de vazamento de PII, acionar imediatamente o protocolo de breach notification do gdpr-data-handling-checklist.

Passo 5 — Avaliar SLA contratual em risco

Para cada cliente / contrato com SLA:

- Qual é o SLA contratual (uptime, latência, tempo de resposta)?

- O incidente atual já violou o SLA? - Em quanto tempo vai violar se não resolvido? - Há cláusula de service credit acionada?

Cliente enterprise único com SLA contratual pode justificar P1 mesmo se o volume geral é P2.

Passo 6 — Avaliar exposição regulatória

Mapear se o incidente tem componente regulatório:

- LGPD/GDPR: vazamento de dado pessoal aciona breach notification em 72h (ver gdpr-data-handling-checklist).

- PCI-DSS: exposição de dado de cartão tem regras específicas. - HIPAA: dados de saúde com proteção rigorosa. - Reguladores setoriais: financeiro (Bacen), telecom (Anatel), etc.

Se há exposição regulatória, a severidade é no mínimo P1, independente de outros eixos. P0 se há prazo regulatório < 24h.

Passo 7 — Aplicar a resposta proporcional à severidade

Cada severidade tem ações obrigatórias:

P0 — Crítico:

- Acordar imediatamente: primary on-call, manager on-call, líder técnico de domínio, COO/CTO. - Sala de guerra (war room) ativa em ≤ 15 min. - Status page externa atualizada em ≤ 15 min. - Comunicação a clientes enterprise em ≤ 30 min. - Comunicado executivo aos C-levels em ≤ 30 min. - IC (Incident Commander) nomeado explicitamente. - Comm Lead nomeado explicitamente. - Logs e timeline registrados em tempo real. - Atualização externa a cada 30 min.

P1 — Alto: - Acordar primary on-call (sempre) e secondary (se estado complexo). - Sala de guerra em ≤ 30 min. - Status page atualizada em ≤ 30 min se cliente vê impacto. - Manager on-call informado em ≤ 30 min. - IC nomeado. - Update interno a cada 60 min.

P2 — Médio: - On-call atua dentro do horário comercial; à noite, só se piorar. - Sem war room, mas thread dedicada em Slack. - Status page atualizada se cliente vê impacto. - Manager informado por canal assíncrono. - Update a cada 4h.

P3 — Baixo: - Tratado como ticket normal pelo time responsável. - Sem paging fora do horário. - Sem update de status externa.

Passo 8 — Definir SLA de resposta e resolução por severidade

Tabela explícita (adaptar ao contexto):

| Severidade | Tempo de ack | Tempo de mitigação | Tempo de resolução total |

|---|---|---|---| | P0 | 5 min | 30 min | 4h | | P1 | 5 min | 1h | 8h | | P2 | 15 min (horário comercial) | 4h | 24h | | P3 | 4h (horário comercial) | 24h | 1 semana |

Mitigação = restaurar serviço a estado aceitável (mesmo que não-resolvido). Resolução = root cause endereçado.

Passo 9 — Reclassificar conforme evolução

Severidade não é estática. Atualizar quando:

- Sobe (de P1 para P0): impacto cresce, dado é confirmado vazado, mais clientes afetados.

- Desce (de P0 para P1): mitigação parcial reduziu impacto; resolução ainda pendente. - Encerra: root cause resolvido, sistema estável, monitorando por 30-60 min antes de declarar resolvido.

A reclassificação é decisão do IC, registrada com timestamp e justificativa.

Passo 10 — Documentar a triagem

Para qualquer P0/P1, registrar a triagem no ticket de incident:

- Severidade inicial atribuída.

- Critério decisivo (qual eixo bateu). - Quem fez a triagem. - Timestamp da decisão. - Reclassificações posteriores (se houve).

Isso alimenta o postmortem (incident-postmortem) e a calibração da política ao longo do tempo.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).