La respuesta a incidentes (IR) es un plan para responder ante un incidente de Ciberseguridad metódicamente. Si un incidente es crítico para la organización, se toman medidas para contener, minimizar y aprender rápidamente de los daños.

No todos los eventos de Ciberseguridad son lo suficientemente graves como para justificar la investigación. Los eventos, como un error de inicio de sesión único de un empleado en las instalaciones, son buenos para tener en cuenta cuando se producen como incidentes aislados, pero no requieren horas de trabajo para investigar. A partir de ahí, debe tener pasos de respuesta a incidentes personalizados para cada tipo de incidente.

La investigación después de un incidente también es un componente clave para aprender de los ataques y mejorar las capacidades de protección. Un buen sistema de respuesta a incidentes debe de proporcionar los mecanismos y la información para determinar los vectores de ataque que generaron el compromiso y las acciones realizadas por los atacantes.

Otro aspecto importante para considerar es el hecho de que el plan de IR debe ser aplicable y alineado al su negocio, es por lo que se debe trabajar de manera conjunta al momento de implementar los planes basados en marcos de referencia.

Existe además una correlación entre la capacidad de detección, información de inteligencia y la respuesta a incidentes. Para que esta última pueda funcionar de manera eficiente, es necesario que se alimente de la información proveniente de las otras dos. En la implementación de Gestión de Incidentes y creación de Planes de Respuesta nos basamos en los estándares internacionales NIST SP 800-61 e ISO/IEC 27035.