## Por qué es importante

Resolver una vulnerabilidad cierra el círculo con el investigador, pero no responde a la pregunta que tu auditor (y tu propio equipo) se hará a continuación: *¿por qué ocurrió esto y qué cambiamos para que no vuelva a pasar?* Un postmortem es esa respuesta, capturada una sola vez y conservada para el registro.

Cada informe tiene **un** postmortem: un análisis de causa raíz privado y estructurado, bajo el control exclusivo de tu equipo.

> [!IMPORTANT]
> Un postmortem es **solo de uso interno**. Nunca se muestra al investigador externo ni se incluye al [compartir con colegas](/docs/sharing-reports-with-peers). Escribe con franqueza sobre sistemas, errores y personas: nada de ello sale de tu equipo.

## Qué incluye

Un postmortem combina campos estructurados con tres secciones narrativas de formato libre:

| Campo | Qué captura |
|-------|-------------|
| Resumen | Descripción en una línea del incidente |
| Severidad | El nivel de severidad del incidente |
| Categoría | La clase de causa raíz (p. ej. configuración, defecto de código, brecha de proceso) |
| Ocurrido / Detectado / Resuelto | Marcas de tiempo de cuándo comenzó el problema, cuándo se detectó y cuándo se corrigió |
| Tiempo de corrección | Se deriva automáticamente de las marcas de ocurrido y resuelto |
| Causa raíz | Qué falló realmente, más allá del síntoma |
| Acciones correctivas | Qué cambiaste (o cambiarás) para evitar que se repita |
| Lecciones aprendidas | Qué conclusiones saca el equipo: proceso, herramientas, responsabilidades |

También puedes adjuntar **archivos de evidencia**: capturas de pantalla, registros, enlaces al commit o ticket de la corrección.

Cuando abres un nuevo postmortem, Kit lo **rellena previamente** a partir del informe: la severidad, la cronología de resolución y un resumen inicial ya vienen completados, de modo que partes del contexto en lugar de una página en blanco.

## Quién puede redactarlo

Cualquier miembro de tu equipo CSIRT puede crear o editar el postmortem de un informe: no hay una restricción de administrador aparte. Está disponible allí donde lo esté la gestión de informes de CSIRT, así que cualquier programa activo con acceso a los informes puede usarlo.

## La pestaña Postmortem

Abre un informe y selecciona la pestaña **Postmortem**. Si todavía no existe ninguno, un estado vacío enmarcado con un candado te invita a redactar el primero. La creación y la edición se realizan en formularios dedicados a página completa, para que tengas espacio de sobra para escribir.

## El historial de auditoría

Cada guardado escribe una **revisión inmutable y atribuida**: quién cambió qué y cuándo. Las revisiones nunca se sobrescriben ni se eliminan, así que el postmortem conserva su propio historial de cambios. Cada revisión aparece también en la **cronología** del informe, junto a las transiciones de estado y las evaluaciones, lo que te da un único registro cronológico de todo el incidente.

## El expediente en PDF

Desde la pestaña Postmortem puedes descargar un **expediente en PDF por informe**: el informe completo *y* su postmortem en un solo archivo. Es tu documento de evidencia puntual: guárdalo en una carpeta de auditoría, adjúntalo a un ticket o entrégalo a un auditor como el registro completo de un único incidente.

## Cumplimiento

Un análisis de causa raíz por informe es justo lo que piden varios marcos normativos:

- **SOC 2**: cumple con la prueba de evidencia de Vanta *"Incident report or root cause analysis"*. Consulta [Integración con Vanta](/docs/vanta-integration).
- **ISO 22301:2019**: respalda los requisitos de continuidad de negocio de los §10.1.1, §10.1.2 y §10.1.3 (no conformidad, acción correctiva y mejora continua).

> [!NOTE]
> El contenido del postmortem permanece en Kit. El expediente en PDF se genera bajo demanda para tus registros: nada del postmortem se envía a Vanta ni a ningún otro sistema conectado.

## Gestiónalo con IA

Dos herramientas MCP permiten que un asistente de IA lea y mantenga los postmortems:

- `csirt_get_postmortem`: lee el postmortem de un informe, incluidas las tres secciones narrativas, `time_to_fix_seconds` y `revisions_count`.
- `csirt_set_postmortem`: crea o actualiza un postmortem (upsert). Solo se modifican los campos que envías; el resto se deja intacto.

Consulta la [Referencia de herramientas MCP](/docs/mcp-tools-reference) para ver todos los parámetros y permisos.

## Y ahora qué

- [Triaje de informes](/docs/triaging-reports) — resuelve un informe y luego captura su postmortem
- [Métricas y exportaciones](/docs/metrics-and-exports) — paquetes masivos de evidencia SOC 2 junto con los expedientes en PDF por informe
- [Integración con Vanta](/docs/vanta-integration) — convierte las vulnerabilidades con triaje en evidencia de cumplimiento en vivo