¿Qué es la autorización para operar (ATO)?
El término "autorización para operar" se refiere al permiso para utilizar un producto en un sistema existente. A menudo se utiliza en el gobierno federal para la tecnología de la información. Por ejemplo, antes de que los empleados de una red puedan instalar un programa de software, ese programa puede requerir un ATO. El organismo que emite la ATO certifica que el producto o servicio funciona con los sistemas existentes. Las empresas privadas y otras organizaciones también utilizan ATOs.
Por qué las organizaciones usan ATOs
Si bien una organización puede usar ATO por cualquier motivo, principalmente los utiliza cuando la seguridad o la integridad operativa son preocupaciones. Por ejemplo, si desarrolla una aplicación de software diseñada para ser utilizada dentro de la red informática de una organización, podría plantear inquietudes en estas dos áreas. Antes de permitir que su producto se conecte a la red, la organización primero debe determinar que no hay fallas en su producto que puedan comprometer los datos de la red. También debe determinar que el producto funciona correctamente y no causará problemas con otras aplicaciones o equipos, ni causará problemas de soporte técnico innecesarios.
Solicitando una ATO
Si una organización requiere que obtenga un ATO antes de poder utilizar su producto allí, debe comunicarse con el organismo de certificación correspondiente dentro de esa organización. Prepárese para ofrecer una muestra de su producto para que pueda ser probado. En el caso de los departamentos gubernamentales, también debe esperar pasar por un control de seguridad. La cantidad de tiempo que toma el proceso de selección varía ampliamente. Para una organización como el Departamento de Defensa, el proceso puede llevar varios años.
Gobierno ATOs
La Ley Federal de Gestión de Seguridad de la Información requiere que las agencias del gobierno federal cuenten con un sistema para evaluar y monitorear los riesgos de seguridad de los productos. Estos pueden ser implementados por cada departamento de manera independiente, como la Agencia del Sistema de Información del Departamento de Defensa, o por conducto de organismos interdepartamentales como el Programa Federal de Gestión de Riesgos y Autorizaciones, que certifica productos y servicios basados en la nube para múltiples departamentos gubernamentales. El organismo de certificación para cada agencia varía. Una vez que haya identificado una agencia que sea adecuada para su producto, debe comunicarse con el organismo de certificación.
Tipos de estado de la ATO
Si solicita una ATO, se le puede otorgar uno de los tres estados. Si su producto recibe una ATO, el producto puede usarse dentro de la organización. Los ATO generalmente se otorgan por un período de tiempo específico, como por ejemplo tres años, y luego es posible que el producto deba ser evaluado nuevamente. Una denegación de autorización para operar significa que el producto no se puede utilizar dentro del entorno de la organización. Una autorización provisional para operar puede ser emitida por un corto período de tiempo, o bajo condiciones limitadas, hasta que sea aprobada o denegada.