Sekarang ini (Maret 2011) terdapat tiga varian OCTAVE yang bisa digunakan. Varian tersebut adalah : OCTAVE method, OCTAVE-S, dan OCTAVE Allegro. Ketiga metode tersebut bukanlah metode yang saling melengkapi, atau menggantikan satu sama lain. Penggunaan ketiga metode tersebut dimaksudkan untuk memenuhi kebutuhan spesifik dari pengguna OCTAVE yang ingin melakukan penilaian risiko. Berikut ini akan dijelaskan secara singkat mengenai ketiga metode tersebut.
- Metode OCTAVE
Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan. Metode OCTAVE dilakukan dengan cara diadakannya rangkaian workshop dan difasilitasi oleh tim analisis yang dibuat dari unit bisnis yang ada didalam perusahaan dan departemen IT.
Metode OCTAVE ditujukan untuk perusahaan besar yang memiliki lebih dari 300 orang staf. Secara spesifik, metode OCTAVE didesain untuk perusahaan yang memiliki karakteristik sebagai berikut:
– memiliki multi level hirarki
– mengurus infrastruktur IT mereka sendiri
– memiliki kemampuan untuk melakukan alat evaluasi kerentanan
– memiliki kemampuan untuk menginterpretasikan hasil dari evaluasi kerentanan
- OCTAVE-S
Pengembangan OCTAVE-S didukung oleh program Technology Insertion, Demonstration, and Evaluation (TIDE) pada SEI (Software Engineering Institute), yang bertujuan untuk membawa pendekatan OCTAVE pada perusahaan kecil. Versi terkini dari OCTAVE-S (versi 1.0) dirancang secara spesifik untuk perusahaan yang memiliki 100 staf atau kurang.
Sejalan dengan OCTAVE method, OCTAVE-S juga terdiri dari tiga tahap. Namun, OCTAVE-S dilakukan oleh tim analisis yang memiliki pengetahuan mendalam tentang perusahaan. Maka daripada itu, OCTAVE-S tidak mengandalkan informasi yang dikumpulkan dari workshop yang dilakukan karena OCTAVE-S mengambil asumsi bahwa tim analisis (biasanya terdiri dari tiga atau lima orang) memiliki pengetahuan dari aset penting yang berhubungan dengan informasi, kebutuhan keamanan, ancaman, dan praktek keamanan didalam perusahaan.
- OCTAVE Allegro
Tujuan yang ingin dicapai oleh OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan risiko operasional suatu organisasi dengan tujuan menghasilkan hasil yang lebih baik tanpa perlu pengetahuan yang luas dalam hal penilaian risiko. Pendekatan ini berbeda dari pendekatan OCTAVE, dimana OCTAVE Allegro lebih berfokus terhadap aset informasi dalam konteks bagaimana mereka digunakan, dimana mereka disimpan, dipindahkan, dan diolah, dan bagaimana mereka terkena ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.