Características y componentes de una buena revisión posterior al incidente

Ahora sabe cuál es una revisión posterior al incidente, su rol en el proceso de respuesta a incidentes y cuándo debe llevar a cabo una. En esta unidad, profundizará un poco más en los detalles de lo que hace que una revisión posterior al incidente sea más eficaz.

Dado que los incidentes difieren, la composición exacta de las revisiones posteriores a los incidentes también puede ser diferente. Sin embargo, hay algunas características y componentes comunes de una buena revisión que puede proporcionarle una base sólida para llevar a cabo el proceso.

Lo que no es

Antes de que pueda comprender las características que componen una buena revisión posterior al incidente, debe considerar qué es lo que no lo es.

• No es un documento ni un informe. Es fácil pensar en una "revisión" como un resumen escrito y, de hecho, un informe de resumen suele seguir una revisión posterior al incidente. Sin embargo, son dos partes diferentes y distintas de la fase de análisis del ciclo de vida de la respuesta a incidentes.
• No es una determinación de la causalidad. Su revisión examina los factores que han contribuido al error, pero el propósito no es identificar un culpable (especialmente una única causa principal; los sistemas complejos casi siempre fallan debido a un conjunto completo de factores de contribución). Es pensar y compartir información sobre todos los aspectos del incidente para aprender y mejorar. No es una lista de elementos de acción. Podrías quedarte con una lista como resultado de lo que aprendas en la revisión, pero no es el objetivo principal. Si no confeccionamos una lista de los elementos de una cola de vales o de los informes de error de un sistema de notificación de errores, pero en cambio sabemos más que antes sobre esos sistemas, la revisión habrá sido un éxito.

La revisión de incidentes es, más que nada, una conversación. Es un espacio definido en el que su equipo puede revisar lo que conocían en el momento y lo que saben ahora, y explorar y comprender mejor cómo las partes del sistema, incluidas las partes humanas, hacen o no trabajan juntos en respuesta a los problemas.

Características y componentes

Como hemos mencionado en la unidad anterior, una revisión de incidentes tiene que ser sin culpar. Aunque necesitas examinar cómo interactúan las partes humanas del sistema con él, no lo haces para señalar a nadie como culpable. El enfoque debe estar en los fallos de la tecnología y el proceso, no en las personas.

Enmarca las preguntas para que reflejen esto, por ejemplo:

• ¿Cuál fue el déficit en nuestra supervisión que no pudo dar a la persona en el teclado el contexto necesario para tomar la decisión correcta?
• ¿Por qué había una opción "destruir toda la base de datos" en la herramienta?
• O bien, mejor aún: ¿Por qué no se solicitó la confirmación de la herramienta antes de realizar esta función?

Cuando las cosas van mal, puede ser tentador apuntar dedos. Sin embargo, debe recordar este punto clave:

No puedes despedir a las personas para lograr fiabilidad.

La vergüenza y la culpa, o una investigación destinada a encontrar y despedir a la persona "responsable", no dará lugar a sistemas más confiables. En su lugar, provocará un equipo de operaciones inexperto o incluso vacío y personal que tenga miedo de actuar.

Aproximarse a la revisión como una búsqueda de conocimiento y contexto, no una búsqueda de quién hizo lo que y una reacción a eso.

Aunque la revisión se refiere a los errores de la tecnología, no es un proceso técnico tanto como es un proceso de personas. Hablen, y más importantes, escuchen a las personas implicadas en el incidente. Ten una mente abierta. Las diferentes personas tienen perspectivas diferentes y no todos estarán de acuerdo, y esa combinación de perspectivas es valiosa para el proceso de aprendizaje.

Una revisión posterior al incidente es una investigación honesta. Por lo tanto, adopta estos componentes clave:

• Discusión
• Discurso
• Desacuerdo
• Descubrimiento

Estos "4 Ds" crean un marco en el que puede crear una revisión posterior al incidente que puede dar lugar a sistemas más confiables y equipos más productivos que trabajan juntos.

En nuestra siguiente unidad, hablaremos más sobre el proceso que puede seguir para crear una revisión posterior al incidente eficaz.