¿Qué es una revisión posterior al incidente?

Hemos mencionado esto en un módulo anterior de esta ruta de aprendizaje, pero como revisión rápida, los incidentes tienen un ciclo de vida similar al siguiente:

Un incidente pasa por estas fases:

• Detección: cuando observamos por primera vez que hay un problema (idealmente desde nuestro sistema de supervisión antes de que un cliente note o se queja);
• Respuesta: Actuamos de inmediato, activamos nuestro proceso de respuesta a incidentes, intentamos realizar un triaje de la situación y respondemos con urgencia.
• Corrección: trabajamos para determinar el problema y trabajar para devolver el sistema o servicio al orden de trabajo.
• Análisis: Después del incidente, intentamos aprender de la experiencia, quizás determinar las cosas que podríamos querer cambiar en el sistema o en nuestro proceso.
• Preparación: realizamos cambios en función de lo que hemos aprendido que puede mejorar nuestra confiabilidad y el contexto (procesos, etc.) alrededor de él.

El tema de este módulo tiene lugar en gran medida durante la fase de análisis. Aprendemos de incidentes mediante la realización de una revisión posterior al incidente.

Se debe realizar una revisión posterior a cada incidente significativo.

Aunque la revisión formal tiene lugar después de las fases de respuesta y corrección, comienza a establecer la fase del análisis tan pronto como reciba una alerta accionable de que se ha producido un incidente, informe a los miembros del equipo y comience una conversación alrededor del incidente.

Definición de la revisión posterior al incidente

No todos usan exactamente el mismo idioma para hacer referencia a este proceso. Algunas personas lo llaman:

• Revisión posterior al incidente
• Revisión del aprendizaje posterior al incidente
• Autopsia
• Retrospectiva

En este módulo, usamos el término "revisión posterior al incidente".

Además, no todos se acercan exactamente de la misma manera. Por ejemplo, muchas personas empiezan por obtener a todos los usuarios que tenían cualquier conexión con el incidente en una sala, mientras que otras personas eligen crear la revisión a través de entrevistas individuales y, a continuación, informar al grupo.

Este último método suele funcionar mejor cuando la configuración del grupo de su organización dificulta una reunión más grande. Por ejemplo, si la dinámica de grupo, las personalidades o la naturaleza repartida de un equipo entre diferentes zonas horarias interfieren con la posibilidad de realizar ese tipo de reunión, puede ser más fácil trabajar en la revisión de una manera diferente. Debe hacer lo que mejor funcione para usted, su equipo y las circunstancias.

Lo que sea que lo llames y como lo organices, hay tres puntos clave.

• Debe intentar incluir a todos los implicados en la respuesta al incidente en la revisión posterior al incidente. Incluir todas estas voces es importante porque diferentes personas tienen perspectivas y recuerdos diferentes del mismo evento.
• Debe realizar la revisión posterior al incidente tan pronto como sea práctico después de resolver el evento, idealmente en un día o dos, si es posible. La memoria humana es notoriamente poco confiable; la gente olvida las cosas. Cuanto más tiempo pase después de un evento, los recuerdos menos detallados y específicos tienden a ser.
• Una revisión de incidentes debe ser imparcial. Hablamos más sobre esto en la siguiente unidad.

Propósito de la revisión posterior al incidente

El objetivo de la revisión posterior al incidente es para que el equipo pueda aprender y mejorar. Quiere obtener información sobre los sistemas y sobre las cosas que había puesto en marcha que funcionaban o no funcionaban, por lo que puede realizar mejoras.

Al mismo tiempo, debe recordar que los elementos de acción que genera (informes, tareas, informes de errores, incidencias, comentarios) son útiles, pero son periféricos en cuanto al objetivo del proceso, que es aprender y mejorar. La generación de una lista de elementos de acción es, en el mejor caso, un objetivo secundario.