As melhores práticas sugerem a declaração de que um incidente ocorre, quando os agentes de segurança sentem que existe um risco adverso para a empresa. Em seguida montam a equipe e implementam o plano de resposta a incidente.
Também é sugerido que, no início, várias pessoas sejam envolvidas, para que possam salvar todos os arquivos ou registros principais do sistema, como arquivos de log, e iniciar a documentação detalhada o mais rápido possível.