A evento di sicurezza è un cambiamento nelle operazioni quotidiane di una rete o di un servizio di tecnologia dell'informazione che indica che una politica di sicurezza potrebbe essere stata violata o che una protezione di sicurezza potrebbe non essere riuscita. In un contesto informatico, gli eventi includono qualsiasi evento identificabile che abbia un significato per l'hardware o il software del sistema. Gli eventi di sicurezza sono quelli che possono avere un significato per la sicurezza dei sistemi o dei dati.
La prima indicazione di un evento può provenire da un avviso definito dal software o dagli utenti finali che notificano a un help desk che, ad esempio, i servizi di rete hanno subito un rallentamento. Di norma, un evento è un evento o una situazione relativamente minore che può essere risolto abbastanza facilmente e gli eventi che richiedono l'intervento di un amministratore IT sono classificati come incidenti. Un ticket di help desk di un singolo utente che segnala di aver contratto un virus è un evento di sicurezza, perché potrebbe indicare un problema di sicurezza. Se la prova del virus viene trovata sul computer dell'utente, tuttavia, può essere considerato un incidente di sicurezza.
Secondo un rapporto del fornitore di rilevamento delle minacce Damballa, le organizzazioni intervistate hanno registrato una media di 10,000 eventi di sicurezza al giorno. I prodotti di sicurezza come il software antivirus possono ridurre il numero di eventi di sicurezza e molti processi di risposta all'incidenza possono essere automatizzati per rendere il carico di lavoro più gestibile. Gli eventi che non richiedono un'azione da parte di un amministratore possono essere gestiti automaticamente dai prodotti SIEM (Security Information and Event Management).