Los esfuerzos de gestión de incidentes de una organización se guían normalmente por un plan de respuesta a incidentes. Normalmente, los planes son creados y ejecutados por un equipo de respuesta a incidentes de seguridad informática (CSIRT) formado por partes interesadas de toda la organización.
El equipo CSIRT podría incluir al director de seguridad de la información (CISO), al centro de operaciones de seguridad (SOC), a analistas de seguridad y al personal de TI. También puede incluir representantes de la dirección ejecutiva, del departamento jurídico, de recursos humanos, de cumplimiento normativo, de gestión de riesgos y posiblemente expertos externos de proveedores de servicios.
El Informe del costo de una filtración de datos señala que, "Al invertir en la preparación para la respuesta, las organizaciones pueden ayudar a reducir los efectos costosos y disruptivos de las filtraciones de datos, respaldar la continuidad operativa y ayudar a preservar sus relaciones con clientes, socios y otras partes interesadas clave".
Un plan de respuesta a incidentes generalmente incluye:
El CSIRT puede redactar diferentes planes de respuesta a incidentes para diferentes tipos de incidentes, ya que cada tipo puede requerir una respuesta única. Muchas organizaciones tienen planes específicos de respuesta a incidentes relacionados con ataques DDoS, malware, ransomware, phishing y amenazas internas.
Tener planes de respuesta a incidentes personalizados para el entorno o entornos de una organización es clave para reducir el tiempo necesario para responder, remediar y recuperarse de un ataque.
Algunas organizaciones complementan los CSIRT internos con socios externos que brindan servicios de respuesta a incidentes. Estos socios suelen trabajar a comisión y ayudan en diversos aspectos del proceso general de gestión de incidentes, incluida la preparación y ejecución de planes de respuesta a incidentes.