ASArnulfo Sepúlveda
← Toolkits
Incident

Incident Tabletop Starter

Un ejercicio breve para practicar decisiones antes de que exista presión real: quién decide, qué se apaga, qué se comunica y qué evidencia se guarda. A short exercise to practice decisions before real pressure exists: who decides, what gets turned off, what gets communicated and what evidence is preserved.

TiempoTime 45-60 min
PersonasPeople 4-8, con alguien que pueda decidir4-8, with someone who can decide
SalidaOutput decisiones, gaps, owners y fecha de cierredecisions, gaps, owners and due date

Antes de correrloBefore running it

El tabletop funciona mejor cuando no intenta simular todo. Escoge un escenario probable, define quién participa y prepara tres momentos donde el equipo tenga que decidir con información incompleta. A tabletop works best when it does not try to simulate everything. Choose a likely scenario, define who participates and prepare three moments where the team must decide with incomplete information.

Roles mínimosMinimum roles

  • Facilitador: mantiene el ritmo y no resuelve por el equipo.Facilitator: keeps rhythm and does not solve for the team.
  • Técnico: explica impacto y opciones reales.Technical lead: explains impact and real options.
  • Negocio: decide prioridad, comunicación y tolerancia a downtime.Business lead: decides priority, communication and downtime tolerance.
  • Comunicaciones o soporte: piensa en clientes, usuarios y mensajes.Comms or support: thinks about customers, users and messaging.
  • Scribe: anota decisiones, dudas y pendientes.Scribe: records decisions, questions and follow-ups.

Escenarios buenosGood scenarios

  • Cuenta de correo comprometida con reglas de reenvío.Compromised email account with forwarding rules.
  • Ransomware en laptop con acceso a archivos compartidos.Ransomware on a laptop with access to shared files.
  • Token de CI/CD filtrado en un repo.CI/CD token leaked in a repo.
  • Bucket o carpeta con datos expuesta públicamente.Bucket or folder with data exposed publicly.
  • Proveedor crítico con incidente propio.Critical vendor with its own incident.

ContextoContext

Cinco minutos: escenario, sistemas tocados y reglas del ejercicio.Five minutes: scenario, affected systems and exercise rules.

Primer hallazgoFirst finding

El equipo decide si investiga, contiene, comunica o espera.The team decides whether to investigate, contain, communicate or wait.

Nueva informaciónNew information

Aparece impacto mayor, datos afectados o presión externa.Larger impact, affected data or external pressure appears.

RecuperaciónRecovery

Se decide cómo volver, qué validar y qué mantener apagado.The team decides how to recover, what to validate and what remains off.

CierreClose

Se registran decisiones, huecos, owners y fecha de seguimiento.Decisions, gaps, owners and follow-up date are recorded.

MomentoMoment DecisiónDecision Evidencia necesariaNeeded evidence Owner
DetecciónDetection ¿Se declara incidente o se investiga primero?Declare an incident or investigate first? Logs, alertas, usuario afectado, hora.Logs, alerts, affected user, time. TécnicoTechnical
ContenciónContainment ¿Qué se desactiva sin romper más cosas?What can be disabled without breaking more things? Dependencias, usuarios activos, impacto.Dependencies, active users, impact. Ops
ComunicaciónCommunication ¿A quién se avisa y con qué nivel de detalle?Who is notified and with what level of detail? Hechos confirmados, no suposiciones.Confirmed facts, not assumptions. NegocioBusiness
RecuperaciónRecovery ¿Cómo sabemos que ya se puede volver?How do we know it is safe to return? Validaciones, restore, monitoreo.Validations, restore, monitoring. Ops

Preguntas de cierreClosing questions

  • ¿Qué decisión tomó más tiempo de lo esperado?Which decision took longer than expected?
  • ¿Qué dato faltó cuando más hacía falta?Which data was missing when it mattered most?
  • ¿Qué acceso, vendor o sistema no tenía dueño claro?Which access, vendor or system lacked a clear owner?
  • ¿Qué se puede mejorar esta semana?What can be improved this week?