OTTAVA

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) è un framework di sicurezza per determinare il livello di rischio e pianificare le difese contro gli attacchi informatici. Il framework definisce una metodologia per aiutare le organizzazioni a ridurre al minimo l'esposizione a minacce probabili, determinare le probabili conseguenze di un attacco e affrontare gli attacchi che hanno successo.

OCTAVE è progettato per sfruttare l'esperienza e la competenza delle persone all'interno dell'organizzazione. Il primo passo è costruire profili di minacce in base al rischio relativo che rappresentano. Il processo prosegue conducendo una valutazione della vulnerabilità specifica per l'organizzazione.

OCTAVE definisce tre fasi:

  • Fase 1: creazione di profili di minacce basati sugli asset
  • Fase 2: identificazione delle vulnerabilità dell'infrastruttura
  • Fase 3: sviluppo di strategie e piani di sicurezza

OCTAVE è stato sviluppato nel 2001 presso la Carnegie Mellon University (CMU), per il Dipartimento della Difesa degli Stati Uniti. Il framework ha attraversato diverse fasi evolutive da quel momento, ma i principi e gli obiettivi di base sono rimasti gli stessi. Esistono due versioni: OCTAVE-S, una metodologia semplificata per organizzazioni più piccole che hanno strutture gerarchiche piatte, e OCTAVE Allegro, una versione più completa per organizzazioni di grandi dimensioni o con strutture multilivello.

Le critiche a OCTAVE hanno citato la sua complessità e il fatto che non produce un'analisi quantitativa dettagliata dell'esposizione alla sicurezza.