El proceso para respuesta de incidentes está constituida de todas las actividades necesarias para lograr las metas de una respuesta de incidentes. El proceso global y las actividades deben ser bien documentadas, y entendidas por el equipo de respuesta, como también por las partes interesadas en la organización. El proceso está constituido de tres actividades principales, y se sugiere contar con personal dedicado a cada una de estas:

• Respuesta inicial
• Investigación
• Remedición

La respuesta inicial es una actividad la cual típicamente inicia todo el proceso para respuesta de incidentes. Una vez el equipo confirma el incidente se está suscitando, realiza la recolección inicial y las etapas de la respuesta, además la investigación y esfuerzos de remediación son usualmente ejecutadas de manera concurrente.

El propósito del equipo de investigación es únicamente realizar tareas de investigación. Durante la investigación, este equipo continuamente genera una lista la cual se denomina “Guías”. Estos “guías” son elementos como robo de datos, indicadores de red, identidades de sujetos, o problemas los cuales condujeron al compromiso o incidente de seguridad.

Estos elementos son inmediatamente útiles para el equipo de remediación, cuyos propios procesos requieren una significativa cantidad de tiempo para coordinar y planificar. En muchos casos, la actividad observada por el equipo puede obligar a tomar acción inmediata, para detener el avance de una intrusión.

Fuentes:

https://digitalguardian.com/blog/five-steps-incident-response
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers...