O termo "autorização para operar" refere-se à permissão para um produto ser usado em um sistema existente. É frequentemente usado no governo federal para tecnologia da informação. Por exemplo, antes que um programa de software possa ser instalado por funcionários em uma rede, esse programa pode exigir um ATO. O órgão que emite o ATO certifica que o produto ou serviço funciona com os sistemas existentes. Empresas privadas e outras organizações também usam ATOs.
Por que as organizações usam ATOs
Embora uma organização possa usar ATOs por qualquer motivo, ela os usa principalmente quando a segurança ou a integridade operacional são questões. Por exemplo, se você desenvolver um aplicativo de software projetado para ser usado na rede de computadores de uma organização, isso pode causar preocupações em ambas as áreas. Antes de permitir que seu produto se conecte à rede, a organização precisa primeiro determinar se não há falhas em seu produto que possam comprometer os dados da rede. Ele também deve determinar se o produto funciona corretamente e não causará problemas com outros aplicativos ou equipamentos ou causará problemas de suporte técnico desnecessários.
Candidatar-se a um ATO
Se uma organização exigir que você obtenha um ATO antes que seu produto possa ser usado lá, você deve entrar em contato com o órgão de certificação apropriado dentro dessa organização. Esteja preparado para oferecer uma amostra do seu produto para que possa ser testado. No caso de departamentos governamentais, você também deve passar por uma triagem de segurança. A quantidade de tempo que leva o processo de verificação varia muito. Para uma organização como o Departamento de Defesa, o processo pode levar vários anos.
Government ATOs
O Federal Information Security Management Act exige que as agências do governo federal tenham um sistema para avaliar e monitorar os riscos de segurança dos produtos. Eles podem ser implementados por cada departamento de forma independente, como a Agência de Sistema de Informações do Departamento de Defesa, ou por meio de órgãos interdepartamentais como o Programa Federal de Gerenciamento de Riscos e Autorizações, que certifica produtos e serviços baseados em nuvem para vários departamentos governamentais. O organismo de certificação varia para cada agência. Depois de identificar uma agência que seria adequada para o seu produto, você deve entrar em contato com esse organismo de certificação.
Tipos de status ATO
Se você se inscrever para um ATO, poderá receber um dos três status. Se o seu produto tiver um ATO, ele poderá ser usado dentro da organização. Os ATOs são geralmente concedidos por um período de tempo especificado, como três anos, e então o produto pode precisar ser avaliado novamente. A negação da autorização para operar significa que o produto não pode ser usado no ambiente da organização. Uma autorização provisória para operar pode ser emitida por um curto período de tempo, ou sob condições limitadas, até que seja aprovada ou negada.