El término "autorización para operar" se refiere al permiso para que un producto se utilice en un sistema existente. A menudo se usa en el gobierno federal para tecnología de la información. Por ejemplo, antes de que los empleados puedan instalar un programa de software en una red, ese programa puede requerir un ATO. El organismo que emite la ATO certifica que el producto o servicio funciona con los sistemas existentes. Las empresas privadas y otras organizaciones también utilizan ATO.
Por qué las organizaciones utilizan ATO
Si bien una organización puede usar ATO por cualquier motivo, los usa principalmente cuando la seguridad o la integridad operativa son preocupaciones. Por ejemplo, si desarrolla una aplicación de software diseñada para ser utilizada dentro de la red informática de una organización, podría plantear preocupaciones en ambas áreas. Antes de permitir que su producto se conecte a la red, la organización primero debe determinar que no hay fallas en su producto que puedan comprometer los datos de la red. También debe determinar que el producto funciona correctamente y que no causará problemas con otras aplicaciones o equipos ni causará problemas de soporte técnico innecesarios.
Solicitar una ATO
Si una organización requiere que obtenga una ATO antes de que su producto pueda usarse allí, debe comunicarse con el organismo de certificación apropiado dentro de esa organización. Esté preparado para ofrecer una muestra de su producto para que pueda ser probado. En el caso de los departamentos gubernamentales, también debe pasar por un control de seguridad. La cantidad de tiempo que lleva el proceso de investigación varía ampliamente. Para una organización como el Departamento de Defensa, el proceso puede llevar varios años.
ATO gubernamentales
La Ley Federal de Administración de Seguridad de la Información requiere que las agencias del gobierno federal cuenten con un sistema para evaluar y monitorear los riesgos de seguridad de los productos. Estos pueden ser implementados por cada departamento de forma independiente, como la Agencia del Sistema de Información del Departamento de Defensa, oa través de organismos interdepartamentales como el Programa Federal de Gestión de Autorizaciones y Riesgos, que certifica productos y servicios basados en la nube para múltiples departamentos gubernamentales. El organismo de certificación de cada agencia varía. Una vez que haya identificado una agencia que sería adecuada para su producto, debe comunicarse con ese organismo certificador.
Tipos de estado de ATO
Si solicita una ATO, es posible que se le asigne uno de los tres estados. Si su producto tiene una ATO, el producto se puede utilizar dentro de la organización. Los ATO generalmente se otorgan por un período de tiempo específico, como tres años, y luego es posible que el producto deba evaluarse nuevamente. Una denegación de la autorización para operar significa que el producto no se puede utilizar en el entorno de la organización. Se puede emitir una autorización provisional para operar por un período corto de tiempo, o bajo condiciones limitadas, hasta que sea aprobada o denegada.