"Operationally Critical Thread, Asset and Vulnerability Evaluation"

Esta metodología comúnmente conocida como OCTAVE está orientada hacia grupos multidisciplinarios (formado por elementos de tecnologías y del negocio) que se auto dirigen y guían por el contexto.

El sitio oficial de OCTAVE es http://www.cert.org/octave/. Actualmente existen tres variantes de esta metodología:

• OCTAVE para grandes empresas: orientado para más de 300 empleados, debido a la complejidad que etas organizaciones pueden tener es requerimiento tener de expertos tanto en seguridad como en las áreas de conocimiento involucrada. La forma de trabajar de esta metodología sugiere por medio de talleres. En esto escenarios IT opera en casa.
• OCTAVE-S para empresas pequeñas: orientado para organizaciones de menos de 100 empleados. Esta metodología no requiere expertos en tecnologías. Este escenario presenta IT tercerizado.
• OCTAVE Allegro para empresas enfocadas en activos de información.

CORAS

CORAS es una metodología desarrollada por el Information Society Technologies (IST). Utiliza procesos semi-formales orientados a objetos. Esta metodología toma las ventajas de la notación UML para su desarrollo. Utiliza técnicas de lluvia de ideas con grupos multidisciplinarios.

ISRAM

ISRAM fue desarrollada en diciembre de 2003 por el National Research Institute of Electronics and Cryptology y el Gebze Institute of Technology. Esta metodología está basada en encuestas y valua el riesgo con calificaciones de entre 1 a 25. Está formada por siete pasos.

CORA

CORA fue desarrollada por el International Security Technology. Utiliza modelos de datos cuantitativos para calcular peligros, funciones, activos, vulnerabilidades y consecuencias. Está formada de dos etapas.

IS Risk Analysis on Business Model

Esta metodología cuantitativa fue desarrollada por el Korea Advanced Institute of Science and Technology y ofrece un enfoque de negocios y procesos sobre los activos. Está formada de cuatro etapas.