Características y componentes de una buena revisión posterior al incidente
- 4 minutos
Ahora sabe cuál es una revisión posterior al incidente, su rol en el proceso de respuesta a incidentes y cuándo debe llevar a cabo una. En esta unidad, profundizará un poco más en los detalles de lo que hace que una revisión posterior al incidente sea más eficaz.
Dado que los incidentes difieren, la composición exacta de las revisiones posteriores a los incidentes también puede ser diferente. Sin embargo, hay algunas características y componentes comunes de una buena revisión que puede proporcionarle una base sólida para llevar a cabo el proceso.
Lo que no es
Antes de que pueda comprender las características que componen una buena revisión posterior al incidente, debe considerar qué es lo que no lo es.
- No es un documento ni un informe. Es fácil pensar en una "revisión" como un resumen escrito y, de hecho, un informe de resumen suele seguir una revisión posterior al incidente. Sin embargo, son dos partes diferentes y distintas de la fase de análisis del ciclo de vida de la respuesta a incidentes.
- No es una determinación de la causalidad. Su revisión examina los factores que han contribuido al error, pero el propósito no es identificar un culpable (especialmente una única causa principal; los sistemas complejos casi siempre fallan debido a un conjunto completo de factores de contribución). Es pensar y compartir información sobre todos los aspectos del incidente para aprender y mejorar.
- No es una lista de elementos de acción. Podrías quedarte con una lista como resultado de lo que aprendas en la revisión, pero no es el objetivo principal. Si no confeccionamos una lista de los elementos de una cola de vales o de los informes de error de un sistema de notificación de errores, pero en cambio sabemos más que antes sobre esos sistemas, la revisión habrá sido un éxito.
La revisión de incidentes es, más que nada, una conversación. Es un espacio definido dentro del cual el equipo puede revisar lo que sabían en el momento y lo que saben ahora, y explorar y comprender mejor cómo las partes del sistema, incluidas las partes humanas, hacer o no trabajar juntos en respuesta a los problemas.
Características y componentes
Sin culpa
Como hemos mencionado en la última unidad, una revisión de incidentes tiene que ser sin culpa.Sin culpa no significa "nadie es responsable nunca" o "pretendemos que no se han producido errores". Esto significa que se debe separar de manera deliberada el trabajo de entender un incidente del trabajo de asignar la culpa por él. En una revisión sin culpa, asume que todos los implicados actuaron con buena intención y hicieron lo mejor que podían con la información, las herramientas y el contexto disponibles en ese momento. El objetivo es exponer por qué las acciones que las personas tomaron tenían sentido en el momento, para que puedas entender cómo se comporta el sistema, incluidas sus partes humanas.
Aunque necesita examinar cómo interactúan las partes humanas del sistema con él, no lo hace para etiquetar a nadie "en error". El enfoque debe estar en los errores de la tecnología y el proceso, no en las personas.
Enmarca las preguntas para que reflejen esto, por ejemplo:
- ¿Cuál fue el déficit en nuestra supervisión que no pudo dar a la persona en el teclado el contexto necesario para tomar la decisión correcta?
- ¿Por qué había una opción "destruir toda la base de datos" en la herramienta?
- O bien, mejor aún: ¿Por qué no se solicitó la confirmación de la herramienta antes de realizar esta función?
Cuando las cosas van mal, puede ser tentador apuntar dedos. Sin embargo, debe recordar este punto clave:
No puedes despedir a las personas para lograr fiabilidad.
La vergüenza y la culpa, o una investigación destinada a encontrar y despedir a la persona "responsable", no dará lugar a sistemas más confiables. En su lugar, conduce a un equipo de operaciones inexperto o incluso a un equipo de operaciones vacío y al personal que tiene miedo de actuar.
Aproximarse a la revisión como una búsqueda de conocimiento y contexto, no una búsqueda de quién hizo lo que y una reacción a eso.
Aunque la revisión se refiere a los errores de la tecnología, no es un proceso técnico tanto como un proceso de personas. Hable (y, más importante, escuche) a las personas implicadas en el incidente. Ten una mente abierta. Las diferentes personas tienen perspectivas diferentes y no todos están de acuerdo, y esa combinación de perspectivas es inestimable para el proceso de aprendizaje.
Una revisión posterior al incidente es una investigación honesta. Por lo tanto, adopta estos componentes clave:
- Discusión
- Discurso
- Desacuerdo
- Descubrimiento
Estos "cuatro Ds" son un mnemónico útil para la mentalidad que debe incorporar una revisión posterior al incidente. Crean un marco en el que puede crear una revisión que da como resultado sistemas más confiables y equipos más productivos que trabajan juntos.
En nuestra siguiente unidad, hablaremos más sobre el proceso que puede seguir para crear una revisión posterior al incidente eficaz.