¿La respuesta a incidentes corresponde a incidentes que se están produciendo actualmente ( ej: un host está propagando malware en la red ) o que ocurrió ( ej: un atacante volcó nuestra base de datos pero lo notamos unos días después de ) o ambos ?
Respuesta corta: Ambos.
La respuesta más larga sigue.
La respuesta a incidentes en realidad comienza antes de cualquiera de estos dos casos. Un plan de respuesta a incidentes maduro tiene clasificaciones específicas sobre lo que califica como un incidente, y eso puede variar de una organización a otra, pero hay un segundo término, event . Antes de que se confirme que el malware se está propagando en la red y que la respuesta a incidentes debe responder, es probable que se hayan producido varios eventos. Un evento sería la máquina del usuario enviando enormes cantidades de solicitudes de qué host está vivo en la red. Otro evento sería que el usuario vaya a un sitio web cuestionable. Y así sucesivamente y así sucesivamente. Al menos algunos de estos eventos deben ser capturados por los sistemas de registro en la red. Algunos serían atrapados por el usuario. "Oye, recibí este extraño correo electrónico y abrí el archivo adjunto", debería haber una luz roja parpadeante gigante de que algo está mal.
La forma en que una organización clasifica los eventos, y la forma en que los manejan depende de los poderes existentes. Si el equipo de IR se hiciera girar cada vez que ocurría "algo extraño", probablemente se retiraría del agotamiento.
Incident Response es una colección de tecnología (SIEM, registro, filtrado de correo electrónico) y políticas. No puedo decirle cómo organizar y administrar esas cosas, porque eso depende de cada compañía.
Vuelve a tu pregunta. Son ambos, y más.
Lea otras preguntas en las etiquetas incident-response terminology