Las metas principales en la etapa denominada como respuesta inicial, incluyen ensamblar el equipo para la respuesta de incidentes, revisar los datos disponibles basados en red, y otros datos disponibles, determinar el tipo de incidente, además de evaluar el impacto potencial. La meta es reunir suficiente información inicial, lo cual luego permita al equipo de respuesta de incidentes determinar la respuesta apropiada. Típicamente esta etapa no involucra recolectar datos directamente desde el sistema afectado.

Los datos examinados durante esta etapa usualmente involucra la red, logs (archivos registrando sucesos o eventos), y otra evidencia histórica y contextual. Esta información proporciona el contexto necesario para ayudar a decidir la respuesta apropiada. Por ejemplo, si un troyano bancario es encontrado en la laptop del CEO, la respuesta probablemente sea algo diferente a si se encontrase en el sistema del recepcionista. Además, si se requiere una investigación completa, esta información será parte de las pistas iniciales. Algunas tareas comunes a realizar durante esta etapa son:

• Entrevistar a la persona(s) quien reportó el incidente. Obtener todos los detalles relevantes factibles de obtener
• Entrevistar al personal de TI, quien pueda tener una idea sobre los detalles técnicos del incidente
• Entrevistar al personal de la unidad de negocios, quien podría proporcionar un contexto para el incidente
• Revisar la red y logs de seguridad, para identificar datos los cuales pueden respaldar el incidente suscitado
• Documentar toda la información recolectada desde las fuentes

Fuentes:

https://www.sans.org/reading-room/whitepapers/incident/paper/1516
https://en.wikipedia.org/wiki/Computer_security_incident_management