Características e componentes de uma boa revisão pós-incidente

Agora você sabe o que é uma revisão pós-incidente, seu papel no processo de resposta a incidentes e quando deve conduzi-la. Nesta unidade, aprofunda-se um pouco mais nos detalhes do que torna uma revisão pós-incidente mais eficaz.

Como os incidentes são diferentes, a composição exata das avaliações pós-incidente também pode ser diferente. No entanto, existem algumas características e componentes comuns de uma boa revisão que podem fornecer uma base sólida para a realização do processo.

O que não é

Antes de se entender as características de uma boa revisão pós-incidente, deve-se considerar o que não é.

• Não é um documento ou relatório. É fácil pensar em uma "avaliação" como um resumo escrito e, de fato, um relatório resumido geralmente segue uma revisão pós-incidente. No entanto, estas são duas partes diferentes e distintas da fase de análise do ciclo de vida de resposta a incidentes.
• Não é uma determinação de causalidade. Sua análise analisa os fatores que contribuíram para a falha, mas o objetivo não é identificar um culpado (especialmente não uma única causa raiz; sistemas complexos quase sempre falham devido a todo um conjunto de fatores contribuintes). É pensar e partilhar informações sobre todos os aspetos do incidente para aprender e melhorar.
• Não é uma lista de itens de ação. Você pode acabar com essa lista como resultado do que aprendeu na avaliação, mas esse não é o foco. Se você não sair com uma lista de itens numa fila de tickets ou relatórios de bugs num sistema de reporte de bugs, mas souber mais sobre os seus sistemas do que antes, a revisão foi bem-sucedida.

A revisão do incidente é, acima de tudo, uma conversa. É um espaço definido dentro do qual a sua equipa pode rever o que sabia na altura e o que sabe agora, e explorar e compreender melhor como as partes do sistema, incluindo as humanas, funcionam ou não em conjunto em resposta a problemas.

Características e componentes

Sem culpa

Como mencionámos na última unidade, uma revisão de incidente tem de ser isenta de culpa.Inocente não significa "ninguém é alguma vez responsável" ou "fingimos que não houve erros." Significa que se separa deliberadamente o trabalho de compreender um incidente do trabalho de atribuir culpa por ele. Numa análise inocente, assume-se que todos os envolvidos agiram com boas intenções e fizeram o melhor que puderam com a informação, ferramentas e contexto disponíveis na altura. O objetivo é revelar porque é que as ações que as pessoas tomaram fizeram sentido para elas naquele momento, para que possas aprender como o sistema, incluindo as suas partes humanas, realmente se comporta.

Embora precises de examinar como as partes humanas do sistema interagiram com ele, não o fazes para rotular alguém como "culpado". O foco deve estar nas falhas da tecnologia e do processo, não nas pessoas.

Enquadre suas perguntas para refletir isso, por exemplo:

• Qual foi o défice no nosso acompanhamento que não conseguiu dar à pessoa no teclado o contexto necessário para tomar a decisão certa?
• Por que havia uma opção "destruir todo o banco de dados" na ferramenta?
• Ou, melhor ainda: por que a ferramenta não pediu confirmação antes de executar essa função?

Quando as coisas correm mal, pode ser tentador apontar o dedo. No entanto, você deve se lembrar deste ponto-chave:

Não se pode despedir para alcançar a fiabilidade.

Humilhar e culpar ou uma investigação que visa encontrar e demitir a pessoa que é "responsável" não levará a sistemas mais confiáveis. Em vez disso, resulta numa equipa de operações despreparada ou em membros do pessoal que temem agir.

Considere a revisão como uma procura por conhecimento e contexto, não uma investigação sobre quem fez o quê e uma reação a isso.

Embora a análise seja sobre as falhas da tecnologia, não é tanto um processo técnico, mas sim um processo de pessoas. Falar (e, mais importante, ouvir) com as pessoas envolvidas no incidente. Mantenha a mente aberta. Pessoas diferentes têm perspetivas diferentes e nem todos concordam, e essa mistura de perspetivas é inestimável para o processo de aprendizagem.

Uma revisão pós-incidente é uma investigação honesta. Como tal, abrange estes componentes-chave:

• Discussão
• Discurso
• Dissidência
• Descoberta

Estas "quatro Ds" são um mnemónico útil para a mentalidade que uma revisão pós-incidente deve incorporar. Criam uma estrutura sobre a qual se pode construir uma revisão que resulta em sistemas mais fiáveis e equipas mais produtivas que trabalham em conjunto.

Em nossa próxima unidade, falaremos mais sobre o processo que você pode seguir para criar uma revisão pós-incidente eficaz.