Características e componentes de uma boa revisão pós-incidente
Agora você sabe o que é uma revisão pós-incidente, sua função no processo de resposta a incidentes e quando uma deve ser realizada. Nesta unidade, você se aprofundará nos detalhes do que torna uma revisão pós-incidente mais eficiente.
Como os incidentes são diferentes, a composição exata das revisões pós-incidente também pode ser diferente. No entanto, há algumas características e componentes em comum em uma boa revisão que podem fornecer uma base sólida para a realização do processo.
Do que não se trata
Antes de entender as características que compõem uma boa revisão pós-incidente, você deve considerar o que ela não é.
- Ela não é um documento ou relatório. É fácil imaginar uma "revisão" como um resumo escrito e, de fato, um relatório de resumo geralmente acompanha uma revisão pós-incidente. No entanto, essas são duas partes diferentes e distintas da fase de análise do ciclo de vida de resposta a incidentes.
- Não é uma determinação de causalidade. A sua análise examina os fatores que contribuíram para a falha, mas a finalidade não é identificar um culpado (nem uma única causa raiz, pois sistemas complexos quase sempre falham devido a um conjunto completo de fatores contribuintes). Mas sim pensar e compartilhar informações sobre todos os aspectos do incidente, para que você aprenda e melhore. Não é uma lista de itens de ação. Pode ser que você obtenha uma lista assim como resultado do que aprendeu na revisão, mas esse não é o foco. Se você não obtiver uma lista de itens em uma fila de tíquetes ou relatórios de bugs em um sistema de relatório de bugs, mas souber mais sobre os seus sistemas do que antes, a revisão obteve êxito.
A revisão de incidente é, mais do que qualquer coisa, uma conversa. É um espaço definido no qual a sua equipe pode examinar o que eles sabiam no momento e o que eles sabem agora, além de explorar e entender melhor como as partes do sistema, incluindo as partes humanas, trabalham ou não em conjunto na resposta a problemas.
Características e componentes
Como mencionamos na última unidade, uma revisão de incidentes não deve apontar culpados. Embora você precise examinar como as partes humanas do sistema interagem com ele, não faça isso para rotular uma pessoa como "culpada". O foco deve estar nas falhas da tecnologia e do processo, não das pessoas.
Elabore as suas perguntas para que reflitam isso, por exemplo:
- "Qual foi o déficit em nosso monitoramento que não conseguiu fornecer para a pessoa no teclado o contexto necessário para tomar a decisão correta?"
- Por que havia uma opção "destruir todo o banco de dados" na ferramenta?
- Ou melhor ainda: Por que a ferramenta não solicitou confirmação antes de executar esta função?
Quando as coisas dão errado, pode ser tentador apontar culpados. No entanto, você precisa se lembrar deste ponto chave:
Demissões não ajudam a atingir a confiabilidade.
Constranger e culpar ou uma investigação destinada a localizar e demitir o "responsável" não resultará em sistemas mais confiáveis. Em vez disso, isso resultará em uma equipe de operações inexperiente ou mesmo vazia e a funcionários que têm medo de agir.
Aborde a revisão como uma pesquisa de conhecimento e contexto, não uma busca por quem fez o que e uma reação para isso.
Embora a revisão seja sobre as falhas da tecnologia, ela é um processo mais humano do que técnico. Fale com as pessoas que estavam envolvidas no incidente e, mais importante ainda, escute-as. Tenha uma mente aberta. Pessoas diferentes têm perspectivas diferentes e nem todos concordarão. Essa mistura de perspectivas é inestimável para o processo de aprendizado.
Uma revisão pós-incidente é uma consulta honesta. Assim, ele adota estes componentes principais:
- Discussão
- Discurso
- Divergência
- Descoberta
Esses "Quatro Ds" criam uma estrutura na qual você pode criar uma revisão pós-incidente que pode resultar em sistemas mais confiáveis e em equipes mais produtivas que trabalham em conjunto.
Na nossa próxima unidade, falaremos mais sobre o processo que você pode seguir para criar uma revisão eficaz pós-incidente.