Quando um incidente envolve dados pessoais, falha de sistema ou violação de compliance, dois relógios paralelos começam a correr. O relógio operacional: conter e resolver o incidente. O relógio regulatório: documentar a linha do tempo de resposta para eventual notificação à autoridade competente. A maioria das organizações gerencia os dois dentro do mesmo canal do Slack, o que não serve bem a nenhum dos dois objetivos.
Um processo estruturado de postmortem cobre cinco fases distintas: detecção, resposta inicial, contenção, análise de causa raiz e planejamento de ação corretiva. Cada fase tem owners específicos, prazos rígidos e produz evidências que os reguladores avaliarão depois. Sem uma camada de execução que aplique essa estrutura, as fases se colapsam, lacunas de evidência se formam e a palavra 'reconstituição' aparece em toda revisão pós-incidente.
No Cadenio, um postmortem de incidente é um único run com grupos de tarefas para cada fase. O registro de detecção é uma tarefa obrigatória que deve ser concluída dentro da primeira hora — seu timestamp passa a ser o registro oficial de detecção. As tarefas de contenção são atribuídas a owners nomeados com janelas de SLA explícitas. A notificação regulatória — exigida pelo Art. 48 da LGPD, Art. 33 do GDPR ou regras setoriais — é uma tarefa condicional que se ativa quando a confirmação de violação é registrada, com prazo contado a partir desse timestamp.
A análise jurídica e de compliance é um gate formal de aprovação, não uma thread de Slack. Antes de um incidente ser classificado como não notificável — decisão jurídica de alto impacto — o DPO e o jurídico precisam aprovar diretamente no Flow. A decisão, a fundamentação documentada e o timestamp preciso são imutáveis no log de atividades do run. Um override de aprovador sênior não apaga a posição original.
Ação corretiva é onde a maioria dos postmortems perde disciplina depois que o incidente fecha. A causa raiz é identificada corretamente, mas as ações resultantes migram para um board de projeto e envelhecem silenciosamente. No Cadenio, as ações corretivas são tarefas dentro do mesmo run: atribuídas a owners nomeados, com prazos e evidência obrigatória para fechamento. Uma tarefa não concluída no prazo gera alerta de SLA e cria lacuna na trilha de auditoria visível pela liderança de compliance.
A função de exportação é o que torna esse modelo enterprise-grade. Quando uma autoridade regulatória solicita documentação de um incidente, a resposta é um run exportado — um registro completo e estruturado com cada timestamp, cada decisão de aprovação, cada arquivo anexado e o histórico completo de atividades. Isso tipicamente reduz o tempo de resposta à documentação de incidentes de dias de reconstituição por inbox para horas de recuperação estruturada.
Para organizações que precisam demonstrar resiliência operacional a auditores ou compradores enterprise, uma biblioteca de runs concluídos de postmortem de incidentes carrega mais peso probatório do que qualquer documento de política de resposta a incidentes. Demonstra não como a organização afirma que responderia — mas como ela efetivamente respondeu, repetidamente e sob pressão operacional.