No caso da segurança de um sistema ter sido comprometida, uma resposta ao incidente se faz necessária. É responsabilidade da equipe de segurança responder ao problema rapida e efetivamente.
A resposta ao incidente é uma reação expedida a uma questão ou ocorrência de segurança. Pertinente à segurança da informação, um exemplo seria as ações da equipe de segurança contra um hacker que penetrou um firewall e está bisbilhotando o tráfego da rede interna. O incidente é uma infração da segurança. A resposta depende de como a equipe de segurança reage, o que ela faz para mininmizar os danos e quando recupera os recursos; tudo isso enquanto tenta garantir a integridade dos dados.
Pense na sua empresa e em como quase todos os aspectos dela dependem de tecnologia e sistemas de computador. Se houver um comprometimento, imagine os resultados potencialmente devastadores. Além do tempo em que o sistema ficará fora do ar e o roubo de dados, pode haver corrupção de dados, roubo de identidade (a partir de registros pessoais online), má publicidade, ou até mesmo resultados financeiros devastadores enquanto clientes e empresas aprendem a reagir negativamente na ocorrência de comprometimento.
Pesquisas sobre as infrações anteriores na segurança (tanto internas quanto externas) mostram que algumas empresas podem até ser fechadas como resultado de uma grave infração de segurança. Uma infração pode tornar recursos indisponíveis e roubar ou corromper dados. Mas é muito difícil estimar financeiramente os danos como má publicidade. Para ter uma idéia exata do quão importante é uma resposta eficiente a um incidente, uma empresa deve calcular o custo de uma infração e também os efeitos financeiros da publicidade negativa, a curto e longo prazo.