Hemos mencionado esto en un módulo anterior de esta ruta de aprendizaje, pero como revisión rápida, los incidentes tienen un ciclo de vida similar al siguiente:

Un incidente pasa por estas fases:

• Detección: cuando observamos por primera vez que hay un problema (idealmente desde nuestro sistema de supervisión antes de que un cliente note o se queja);
• Respuesta: Nos ajustamos a la acción, participamos en nuestro proceso de respuesta a incidentes, intentamos evaluar la situación y responder con urgencia.
• Corrección: trabajamos para determinar el problema y trabajar para devolver el sistema o servicio al orden de trabajo.
• Análisis: Después del incidente, intentamos aprender de la experiencia, quizás determinar las cosas que podríamos querer cambiar en el sistema o en nuestro proceso.
• Preparación: realizamos cambios en función de lo que hemos aprendido que puede mejorar nuestra confiabilidad y el contexto (procesos, etc.) alrededor de él.

El tema de este módulo tiene lugar en gran medida durante la fase de análisis. Aprendemos de incidentes mediante la realización de una revisión posterior al incidente.

Debe realizar una revisión posterior al incidente después de cada incidente significativo.

Aunque la revisión formal tiene lugar después de las fases de respuesta y corrección, comienza a establecer la fase del análisis tan pronto como reciba una alerta accionable de que se ha producido un incidente, informe a los miembros del equipo y comience una conversación alrededor del incidente.

Definición de la revisión posterior al incidente

No todos usan exactamente el mismo idioma para hacer referencia a este proceso. Algunas personas lo llaman:

• Revisión posterior al incidente
• Revisión del aprendizaje posterior al incidente
• Autopsia
• Retroactiva

En este módulo, usaremos el término "revisión posterior al incidente".

Además, no todos se acercan exactamente de la misma manera. Por ejemplo, muchas personas empiezan por obtener a todos los usuarios que tenían cualquier conexión con el incidente en una sala, mientras que otras personas eligen crear la revisión a través de entrevistas individuales y, a continuación, informar al grupo.

Este último método suele funcionar mejor cuando la configuración del grupo de su organización dificulta una reunión más grande. Por ejemplo, si la dinámica de grupo, las personalidades, la naturaleza distribuida de un equipo distribuido entre zonas horarias interfiere con tener ese tipo de recopilación, puede ser más fácil trabajar en la revisión de una manera diferente. Debe hacer lo mejor para su equipo y las circunstancias.

Lo que sea que lo llames y, sin embargo, lo organices, hay tres puntos clave:

• Debe intentar incluir a todos los implicados en la respuesta al incidente en la revisión posterior al incidente. Incluir todas estas voces es importante porque diferentes personas tendrán perspectivas y recuerdos diferentes del mismo evento.
• Debe realizar la revisión posterior al incidente en un plazo de veinticuatro a treinta y seis horas después del evento, si es posible. La biología ha confirmado que la memoria humana es notoriamente poco confiable; la gente olvida las cosas. Cuanto más tiempo pase después de un evento, los recuerdos menos detallados y específicos tienden a ser.
• Una revisión de incidentes debe ser culpable. Hablamos más sobre esto en la siguiente unidad.

Propósito de la revisión posterior al incidente

El objetivo de la revisión posterior al incidente es para que el equipo pueda aprender y mejorar. Quiere obtener información sobre los sistemas y sobre las cosas que había puesto en marcha que funcionaban o no funcionaban, por lo que puede realizar mejoras.

Al mismo tiempo, debe recordar que los elementos de acción que genera (informes, tareas, informes de errores, vales, comentarios) son útiles, pero son periféricos hasta el punto del proceso, que es aprender y mejorar. La generación de una lista de elementos de acción es, en el mejor caso, un objetivo secundario.