Skill

incident-response

Executes production incident response protocol: triage severity/impact, mitigate with hotfixes/rollbacks, root cause analysis, postmortem reports. For outages, critical errors, security incidents, service degradation.

devops

security

npx claudepluginhub 686f6c61/alfred-dev --plugin alfred-dev

Tool Access

This skill uses the workspace's default tool permissions.

Preview

El usuario ha reportado o detectado un incidente en produccion. Sigue este protocolo paso a paso para gestionar la respuesta de forma estructurada, desde el triaje inicial hasta el postmortem final.

SKILL.md

Similar Skills

Incident Response Workflow

Guides structured incident response: classify severity (P0-P3), triage affected systems, mitigate via rollback/hotfix, root cause analysis, post-mortem for outages, issues, security incidents.

hatch3r

incident

Classifies incidents by severity (SEV1-4), constructs timelines, assesses impact, performs 5 Whys root cause analysis, and generates blameless post-mortems for production issues.

godmode

incident

Executes structured production incident response: triages P1-P3 severity, contains blast radius (rollback, mitigation), root-causes after stabilization, logs timeline, generates postmortem. Triggers on outages or 'incident'.

rune

Stats

Stars47

Forks6

Last CommitApr 11, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

Respuesta ante incidentes

El usuario ha reportado o detectado un incidente en produccion. Sigue este protocolo paso a paso para gestionar la respuesta de forma estructurada, desde el triaje inicial hasta el postmortem final.

Resumen

Los incidentes en produccion requieren una respuesta rapida pero ordenada. La tentacion es saltar directamente al codigo, pero sin un triaje previo se pierde tiempo en diagnosticos erroneos. Este protocolo garantiza que cada paso se documenta y que las lecciones aprendidas quedan registradas para evitar recurrencias.

Proceso

Fase 1: Triaje (qa-engineer)

Usa la herramienta Task para lanzar al agente qa-engineer con la siguiente mision:

Clasificar la severidad del incidente (P0 critico, P1 alto, P2 medio, P3 bajo).
Identificar el impacto: usuarios afectados, funcionalidad comprometida, datos en riesgo.
Recopilar evidencia: logs, trazas, capturas, mensajes de error.
Definir si hay workaround inmediato.

Artefacto: informe de triaje con severidad, impacto y evidencia.

Fase 2: Mitigacion (senior-dev)

Si el triaje indica P0 o P1, ejecutar mitigacion inmediata:

Aplicar workaround si existe (rollback, feature flag, redirect de trafico).
Si no hay workaround, desarrollar hotfix minimo con test de regresion.
Desplegar la mitigacion y verificar que el impacto se reduce.

Artefacto: commit de mitigacion con test de regresion.

Fase 3: Analisis de causa raiz (senior-dev + security-officer)

Una vez mitigado el impacto, investigar la causa raiz:

Trazar la cadena de eventos desde el trigger hasta el fallo.
Identificar la causa raiz (no el sintoma).
Si el incidente tiene componente de seguridad, el security-officer audita la cadena.
Registrar la causa raiz como decision en la memoria del proyecto.

Artefacto: documento de RCA (Root Cause Analysis).

Fase 4: Postmortem

Generar un informe postmortem completo:

Cronologia del incidente (cuando se detecto, cuando se mitigo, cuando se resolvio).
Causa raiz confirmada.
Acciones correctivas con responsable y fecha limite.
Acciones preventivas para evitar recurrencia.
Lecciones aprendidas.

Artefacto: documento postmortem en formato Markdown.

Formato del postmortem

# Postmortem: [titulo del incidente]

**Fecha:** YYYY-MM-DD
**Severidad:** P0/P1/P2/P3
**Duracion:** X horas/minutos
**Impacto:** [descripcion del impacto]

## Cronologia
- HH:MM - [evento]
- HH:MM - [evento]

## Causa raiz
[Explicacion detallada]

## Acciones correctivas
- [ ] [accion] - Responsable: [nombre] - Fecha: YYYY-MM-DD

## Acciones preventivas
- [ ] [accion] - Responsable: [nombre] - Fecha: YYYY-MM-DD

## Lecciones aprendidas
1. [leccion]

Criterios de exito

El incidente tiene una severidad asignada con criterios objetivos.
La mitigacion se aplica antes de investigar la causa raiz (primero apagar el fuego).
Existe un documento de RCA que identifica la causa raiz real, no solo el sintoma.
El postmortem esta completo con cronologia, acciones correctivas y preventivas.
Las lecciones aprendidas quedan registradas en la memoria del proyecto.
Las acciones correctivas tienen responsable y fecha limite asignados.

Que NO hacer

No saltar el triaje para ir directamente al codigo. Sin un triaje previo se pierde tiempo en hipotesis equivocadas y se corre el riesgo de aplicar cambios que empeoren la situacion. El triaje estructura la respuesta y prioriza correctamente.
No cerrar el incidente sin postmortem. Un incidente sin postmortem es una oportunidad perdida de aprendizaje. Aunque el fix sea trivial, documentar que fallo y por que evita recurrencias y genera conocimiento institucional.
No culpar personas en el postmortem. El postmortem se enfoca en procesos y sistemas, no en individuos. La pregunta correcta es "que fallo en el sistema que permitio este error" y no "quien cometio el error". Un postmortem punitivo destruye la confianza y desincentiva la transparencia.