Antes de entrar en producción, todos los sistemas de información federales deben obtener una autorización para operar (ATO, por sus siglas en inglés). Dicha autorización se otorga una vez que un sistema de información ha sido evaluado y el oficial autorizador (AO, por sus siglas en inglés) de la agencia, un oficial sénior que a menudo suele ser el director de Sistemas de Información, ha aceptado de forma expresa los riesgos para las operaciones (incluidos los de misión, funciones, imagen y reputación), los activos, las personas y otras organizaciones. La autorización para operar (ATO) es emitida por el oficial autorizador (AO). Cada agencia establece los criterios de autorización para operar (ATO) para sus sistemas de información, aunque el Instituto Nacional de Normas y Tecnología de Estados Unidos ofrece orientación en el proceso descrito en su Risk Management Framework ("Marco de gestión de riesgos", RMF por sus siglas en inglés). Estos procedimientos y orientación se derivan de la Federal Information Security Modernization Act ("Ley federal de modernización de la seguridad de la información").
A la hora de realizar valoraciones de riesgos y de otorgar autorizaciones para operar (ATO) a sistemas de información que utilicen soluciones de servicios en la nube, las agencias pueden seguir el Federal Risk Authorization and Management Program ("Programa federal de autorización y gestión de riesgos", FedRAMP por sus siglas en inglés). El programa FedRAMP permite a las agencias acelerar la adopción de la nube creando normas y procesos transparentes para las autorizaciones de seguridad, que permiten a las agencias aprovechar las autorizaciones de seguridad a escala gubernamental. La autorización provisional para operar (P-ATO, por sus siglas en inglés) del FedRAMP ofrece a los oficiales autorizadores garantías de cumplimiento de controles de seguridad específicos, a fin de que no tengan que repetir los pasos del RMF para dichos controles. Las autorizaciones provisionales para operar (P-ATO) del FedRAMP pueden ser otorgadas por el Consejo Mixto de Autorización (JAB, por sus siglas en inglés) o una agencia.
La Cloud Computing Security Requirements Guide ("Guía de requisitos de seguridad para la computación en la nube") de la Agencia de Sistemas de Información de Defensa del Departamento de Defensa de los Estados Unidos (DOD, por sus siglas en inglés) establece los niveles de impacto 2, 4, 5 y 6 para las misiones del DOD, así como los pasos adicionales que deben seguir las organizaciones de dicho Departamento para obtener sus autorizaciones para operar (ATO).
Todos los servicios de IaaS y PaaS1 de Oracle Government Cloud disponen de una autorización provisional de nivel alto del FedRAMP, como puede verse en la página del FedRAMP. Como mencionamos anteriormente, la autorización para operar (ATO) que otorga el Consejo Mixto de Autorización (JAB) a las organizaciones de servicios en la nube es provisional porque solo las propias agencias disponen de autoridad para emitir una autorización para operar (ATO) definitiva para sus sistemas de información. La implementación, las pruebas y la documentación de los controles serán evaluados por la agencia antes de que su oficial autorizador (AO) emita una autorización para operar (ATO), pero la autorización provisional para operar (P-ATO) simplifica y acelera el proceso de forma considerable.
El FedRAMP permite eliminar esfuerzos duplicados ofreciendo un marco de seguridad común con el que las agencias federales puedan revisar sus requisitos de seguridad en función de una referencia estandarizada. Cada una de las soluciones de servicios en la nube (CSO, por sus siglas en inglés) de los proveedores de servicios en la nube se someten al proceso de evaluación y autorización. Tras la obtención por parte de una solución de la autorización provisional para operar (P-ATO), el paquete de seguridad puede ser reutilizado por cualquier agencia federal dentro de su proceso de autorización para operar (ATO). El paquete de seguridad del FedRAMP de Oracle Government Cloud para los Estados Unidos puede ser reutilizado para reducir la carga administrativa de las agencias gubernamentales y acortar el proceso de autorización para operar (ATO) heredando las autorizaciones provisionales para operar (P-ATO) de nivel alto del JAB para las soluciones de IaaS y PaaS.
1 A petición de las agencias, ciertos servicios que hayan superado evaluaciones de terceros pero que todavía no hayan sido autorizados según el FedRAMP pueden utilizarse a la espera de recibir la autorización final.
El proceso de autorización para operar (ATO) varía de una agencia a otra y puede incluir requisitos, procesos, normas y procedimientos que difieren de la información proporcionada aquí. Sin embargo, a grandes rasgos, el proceso de autorización para operar (ATO) que deben seguir las agencias para las soluciones Oracle Cloud consta de cinco pasos.
Oracle cuenta con varios socios que están familiarizados con el proceso de autorización para operar (ATO) y pueden ayudar a las agencias a seguir los pasos requeridos para obtener su autorización para operar (ATO). Visita los sitios web siguientes para más información sobre estos socios.