Il termine "autorizzazione a operare" si riferisce all'autorizzazione per un prodotto da utilizzare in un sistema esistente. È spesso utilizzato nel governo federale per la tecnologia dell'informazione. Ad esempio, prima che un programma software possa essere installato dai dipendenti su una rete, tale programma potrebbe richiedere un ATO. L'ente che rilascia l'ATO certifica che il prodotto o servizio funziona con i sistemi esistenti. Anche le società private e altre organizzazioni utilizzano gli ATO.
Perché le organizzazioni utilizzano gli ATO
Sebbene un'organizzazione possa utilizzare gli ATO per qualsiasi motivo, li utilizza principalmente quando la sicurezza o l'integrità operativa sono problemi. Ad esempio, se si sviluppa un'app software progettata per essere utilizzata all'interno della rete di computer di un'organizzazione, potrebbe creare problemi in entrambe queste aree. Prima di consentire al prodotto di connettersi alla rete, l'organizzazione deve innanzitutto determinare che non ci sono difetti nel prodotto che potrebbero compromettere i dati di rete. Deve inoltre determinare che il prodotto funzioni correttamente e non causerà problemi con altre app o apparecchiature né causerà problemi di supporto tecnico non necessari.
Richiedere un'ATO
Se un'organizzazione richiede di ottenere un'ATO prima che il prodotto possa essere utilizzato lì, è necessario contattare l'ente di certificazione appropriato all'interno di tale organizzazione. Preparati a offrire un campione del tuo prodotto in modo che possa essere testato. Nel caso dei dipartimenti governativi, dovresti aspettarti di passare anche attraverso i controlli di sicurezza. La quantità di tempo che richiede il processo di verifica varia notevolmente. Per un'organizzazione come il Dipartimento della Difesa, il processo potrebbe richiedere diversi anni.
ATO governativi
Il Federal Information Security Management Act richiede che le agenzie governative federali dispongano di un sistema per valutare e monitorare i rischi per la sicurezza dei prodotti. Questi possono essere implementati da ciascun dipartimento in modo indipendente, come l'Agenzia del sistema informativo del Dipartimento della difesa, o attraverso organismi interdipartimentali come il Programma federale di gestione dei rischi e delle autorizzazioni, che certifica prodotti e servizi basati su cloud per più dipartimenti governativi. L'ente di certificazione per ogni agenzia varia. Dopo aver identificato un'agenzia adatta al tuo prodotto, devi contattare l'ente di certificazione.
Tipi di stato ATO
Se richiedi un'ATO, ti possono essere assegnati tre stati. Se il prodotto riceve un'ATO, il prodotto può essere utilizzato all'interno dell'organizzazione. Gli ATO vengono generalmente concessi per un periodo di tempo specificato, ad esempio tre anni, dopodiché potrebbe essere necessario valutare nuovamente il prodotto. Una negazione dell'autorizzazione ad operare significa che il prodotto non può essere utilizzato nell'ambiente dell'organizzazione. Un'autorizzazione provvisoria a operare può essere rilasciata per un breve periodo di tempo, oa condizioni limitate, fino a quando non viene approvata o negata.