Wat is Authorised to Operate (ATO)?
De term "machtiging om te werken" verwijst naar toestemming voor een product dat in een bestaand systeem moet worden gebruikt. Het wordt vaak gebruikt in de federale overheid voor informatietechnologie. Voordat een softwareprogramma bijvoorbeeld door werknemers in een netwerk kan worden geïnstalleerd, kan dat programma een ATO vereisen. De instantie die de ATO afgeeft, certificeert dat het product of de service werkt met bestaande systemen. Private bedrijven en andere organisaties maken ook gebruik van ATO's.
Waarom organisaties ATO's gebruiken
Hoewel een organisatie ATO's om welke reden dan ook kan gebruiken, worden deze voornamelijk gebruikt wanneer beveiliging of operationele integriteit problemen zijn. Als u bijvoorbeeld een software-app ontwikkelt die is ontworpen om te worden gebruikt in het computernetwerk van een organisatie, kan dit op beide gebieden tot bezorgdheid leiden. Voordat u uw product toestemming geeft om verbinding te maken met het netwerk, moet de organisatie eerst vaststellen dat er geen fouten in uw product zijn die de netwerkgegevens in gevaar kunnen brengen. Het moet ook bepalen dat het product correct werkt en geen problemen veroorzaakt met andere apps of apparatuur of onnodige technische ondersteuningsproblemen veroorzaken.
Aanvragen van een ATO
Als een organisatie vereist dat u een ATO aanschaft voordat uw product daar kan worden gebruikt, moet u contact opnemen met de betreffende certificeringsinstantie binnen die organisatie. Wees voorbereid om een voorbeeld van uw product aan te bieden, zodat het kan worden getest. In het geval van overheidsdiensten zou je ook moeten verwachten dat je door beveiligingsonderzoeken gaat. De hoeveelheid tijd die het controlesysteem nodig heeft, varieert sterk. Voor een organisatie als het ministerie van Defensie kan het proces enkele jaren duren.
ATO's van de overheid
De Federal Information Security Management Act vereist dat federale overheidsinstanties beschikken over een systeem om de beveiligingsrisico's van producten te beoordelen en te bewaken. Deze kunnen onafhankelijk door elke afdeling worden geïmplementeerd, zoals het Department of Defense Information System Agency, of door interdepartementale instanties zoals het Federal Risk and Authorization Management-programma, dat cloud-gebaseerde producten en services voor meerdere overheidsafdelingen certificeert. De certificerende instantie voor elk bureau varieert. Zodra u een bureau hebt geïdentificeerd dat goed bij uw product past, moet u contact opnemen met die certificerende instelling.
Typen ATO-status
Als u een ATO aanvraagt, krijgt u mogelijk een van de drie statussen. Als uw product een ATO heeft gekregen, kan het product binnen de organisatie worden gebruikt. ATO's worden meestal verleend voor een bepaalde periode, zoals drie jaar, en dan moet het product mogelijk opnieuw worden beoordeeld. Een weigering van de machtiging om te werken betekent dat het product mogelijk niet wordt gebruikt binnen de omgeving van de organisatie. Een voorlopige machtiging om te opereren kan worden verleend voor een korte periode of onder beperkte voorwaarden, totdat deze wordt goedgekeurd of geweigerd.