La gestión de incidentes existe como consecuencia de la gestión de la seguridad. ES el proceso para detectar, reportar, valorar, respoder a, tratar con y responder a los incidentes de seguridad. Hay que ser capaz de ver que se está sufriendo un incidente y actuar para eliminarlo o reducirlo. La parte más importante es aprender de los incidentes para saber como reaccionar a futuro o crear contramedidas para estos incidentes. El objetivo es ver que todos los eventos de seguridad e identificar si son maliciosos o no. La gestión de incidentes tiene un enfoque reactivo para manejar incidentes de seguridad.

• CSIRT: Equipo de respuestas a incidentes de seguridad en computadores (Mercado Europeo)
• CERT: Equipo de respuesta a incidentes en computadores (Mercado Estadounidense)

Cualquier evento importante que se produzca de forma intencional o accidentada. Hay varios tipos:

• Contenido abusivo
• Contenido malicioso o malware
• Obtención de información
• Acceso indebido o intrusión
• Disponibilidad
• Seguridad/confidencialidad
• Fraude
• Helpdesk
• Otros

Las amenazas pueden proceder de:

• Crimen organizado
• Agentes gubernamentales
• Hacktivismo
• Amenaza interna

• Gravedad: Daño originado a la organización y el caracter de urgencia del mismo
• Orden de prioridad por incidencia.

• Controlar y minimizar cualquier tipo de de daño a la organización.
• Coordinar actividades para una recuperación rápida
• Preservación de la evidencia: Logs y evidencias necesarias para trazar los movimientos del atacante.
• Prevenir eventos similares en el futuro, registrando las lecciones aprendidas de estos eventos.
• Compartir información relacionada con estos incidente con otros CSIRT.