Terdapat delapan langkah OCTAVE Allegro, yaitu:
- Membangun kriteria pengukuran risiko
Pada langkah pertama ini, organizational driver yang akan digunakan untuk mengevaluasi akibat dari sebuah risiko terhadap misi dan tujuan bisnis perusahaan diidentifikasi. Kriteria pengukuran risiko digunakan untuk mengevaluasi akibat dalam masing – masing area dan memprioritaskannya. Di dalamnya terdapat ukuran – ukuran kualitatif yang risikonya dapat dievaluasi dan membentuk dasar dari penilaian risiko sistem informasi.
- Membangun profil aset informasi
Langkah kedua adalah membangun profil aset informasi atas aset – aset perusahaan. Profil merupakan representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik. Metode ini berguna untuk meyakinkan bahwa aset tersebut secara jelas dan konsisten digambarkan sehingga dapat menghindari definisi yang ambigu dari batas-batas aset dan memudahkan dalam menyusun kebutuhan keamanan informasi.
- Mengidentifikasi container dari aset informasi
Container adalah tempat dimana aset informasi disimpan, dikirim, dan diproses. Dalam langkah ketiga, semua container yang menyimpan, mengirim, dan memproses, baik internal maupun eksternal diidentifikasikan.
- Mengidentifikasikan area yang diperhatikan
Langkah keempat merupakan proses identifikasi risiko melalui cara brainstorming mengenai kondisi atau situasi yang memungkinkan yang dapat mengancam aset informasi perusahaan. Tujuan dari proses ini adalah secara cepat mengetahui situasi atau kondisi yang terlintas secara tiba – tiba dalam benak tim analisis.
- Mengidentifikasi skenario ancaman
Dalam langkah kelima ini, area – area yang telah diidentifikasi pada langkah sebelumnya diperluas menjadi skenario ancaman yang lebih jauh mendetailkan properti dari sebuah ancaman dengan menggunakan sebuah threat tree. Langkah ini berguna untuk memberikan pertimbangan atas kemungkinan dalam skenario ancaman. Kemungkinan ini kemudian dibagi ke dalam high, medium, atau low.
- Mengidentifikasi risiko
Pada langkah keenam, konsekuensi bagi organisasi jika sebuah ancaman terjadi dicatat, dalam mendapatkan gambaran risiko secara lengkap. Sebuah ancaman dapat mempunyai akibat – akibat yang potensial bagi organisasi.
- Menganalisa risiko
Pada langkah ketujuh, pengukuran kuantitatif sederhana dari sejauh mana organisasi terkena dampak dari threat dihitung. Nilai risiko relatif didapatkan dengan cara mempertimbangkan sejauh mana konsekuensi atas dampak risiko terhadap berbagai impact area, dan memperkirakan kemungkinannya.
- Memilih pendekatan pengurangan risiko
Dalam langkah terakhir dari proses Octave Allegro ini, organisasi menentukan risiko yang memerlukan mitigasi dan mengembangkan strategi untuk mengurangi risiko tersebut. Hal ini dilakukan dengan cara memprioritaskan risiko – risiko berdasarkan nilai risiko relatif, kemudian mengembangkan strategi mitigasi dengan mempertimbangkan nilai dari aset dan kebutuhan keamanan, kontainer atas aset, serta lingkungan operasional yang unik dari organisasi.