OCTAVA

OCTAVE (Evaluación de vulnerabilidades, activos y amenazas operativamente críticas) es un marco de seguridad para determinar el nivel de riesgo y planificar defensas contra ataques cibernéticos. El marco define una metodología para ayudar a las organizaciones a minimizar la exposición a posibles amenazas, determinar las posibles consecuencias de un ataque y hacer frente a los ataques que tienen éxito.

OCTAVE está diseñado para aprovechar la experiencia y los conocimientos de las personas dentro de la organización. El primer paso es construir perfiles de amenazas basados ​​en el riesgo relativo que representan. El proceso continúa para realizar una evaluación de vulnerabilidad específica de la organización.

OCTAVE define tres fases:

  • Fase 1: Crear perfiles de amenazas basados ​​en activos
  • Fase 2: Identificar las vulnerabilidades de la infraestructura
  • Fase 3: Desarrollar planes y estrategias de seguridad

OCTAVE fue desarrollado en 2001 en Carnegie Mellon University (CMU), para el Departamento de Defensa de los Estados Unidos. El marco ha pasado por varias fases evolutivas desde ese momento, pero los principios y objetivos básicos han permanecido iguales. Existen dos versiones: OCTAVE-S, una metodología simplificada para organizaciones más pequeñas que tienen estructuras jerárquicas planas, y OCTAVE Allegro, una versión más completa para organizaciones grandes o aquellas con estructuras multinivel.

Las críticas a OCTAVE han citado su complejidad y el hecho de que no produce un análisis cuantitativo detallado de la exposición a la seguridad.