Quando um profissional ingressa no mercado de gestão de riscos, a primeira coisa que aprende é que precisa criar ferramentas para identificar vulnerabilidades, identificar os riscos potenciais, analisar os riscos e criar mecanismos para prevenção e tratamento dos mesmo. No entanto, essas ferramentas de gestão de risco são pouco difundidas, principalmente entre os profissionais que não atuam no segmento de segurança da informação. Isso não quer dizer que TI seja um abismo sem fim no que diz respeito a riscos. Muito pelo contrário! A velocidade dos avanços tecnológicos formam atrai cada vez mais profissionais e a necessidade constante de descobertas, velocidade e maior capacidade de armazenagem de informação cria modelos cada vez mais rápidos, operacionais, eficientes e seguros. O tratamento de risco, por sua vez, deve ser uma prática comum aos profissionais de todos os setores da indústria, tanto na iniciativa privada quanto na iniciativa pública. Essa demanda por segurança fez nascer uma das mais eficientes estruturas de segurança já criadas. O método OCTAVE ALLEGRO (Operationally Critical Threat, Asset, and Vulnerability Evaluation) é uma estrutura de segurança para determinar o nível de segurança e o planejamento de defesas contra ataques cibernéticos. 
O padrão define uma metodologia para ajudar as organizações a minimizarem sua exposição a prováveis ameaças, determinar as consequências possíveis quando houver um eventual ataque cibernético, além de apresentar maneiras de se lidar com os ataques que possam vir a acontecer.O método OCTAVE foi projetado para aproveitar a experiência e expertise de pessoas dentro da organização na gestão de riscos de segurança da informação. O primeiro passo é a construção de perfis e níveis de ameaças com base no risco relativo que elas possam representam. O processo passa a realizar uma análise de vulnerabilidade específica para cada organização.
O método OCTAVE é divido em três fases distintas:
- Fase 1: Criar perfis de ameaças baseadas em ativos priorizados pelas organizações.
- Fase 2: Identificar todas as vulnerabilidades de infra-estrutura.
- Fase 3: Desenvolver Estratégia a ser adotada nos Planos de Segurança.
O método OCTAVE foi desenvolvido em 2001 na Universidade Carnegie Mellon University (CMU), para o Departamento de Defesa dos Estados Unidos. à partir de então, a ferramenta passou por diversas fases evolutivas, mas os princípios e objetivos básicos permaneceram os mesmos. Existem duas versões: OCTAVE-S, uma metodologia simplificada para pequenas organizações que têm estruturas hierárquicas planas, mais simples, e o OCTAVE Allegro, uma versão mais abrangente para organizações de grande porte ou para as que possuem estruturas hierárquicas em vários níveis e planos (mais complexas).
As críticas à estrutura OCTAVE normalmente se referem à sua complexidade e ao fato de não produzirem uma análise quantitativa detalhada da exposição de segurança, mas isso pode ser revertido se utilizar-se uma ferramenta complementar. Normalmente, as organizações utilizam a estrutura OCTAVE de forma paralela à Norma ISO / IEC 27005.A Behaviour Brasil abriu inscrições para o curso RISK MANAGER , aproveite e faça já sua inscrição clicando aqui!
Fábio Anjos, Administrador de Empresas, Professor Universitários, Especialista em Segurança da Informação, Continuidade de Negócios e Gestão de Riscos.
