Temas en la página

Obtención de autorizaciones para operar (ATO) para aplicaciones en la nube con Oracle

¿Qué es una autorización para operar?

Antes de entrar en producción, todos los sistemas de información federales deben obtener una autorización para operar (ATO, por sus siglas en inglés). Dicha autorización se otorga una vez que un sistema de información ha sido evaluado y el oficial autorizador (AO, por sus siglas en inglés) de la agencia, un oficial sénior que a menudo suele ser el director de Sistemas de Información, ha aceptado de forma expresa los riesgos para las operaciones (incluidos los de misión, funciones, imagen y reputación), los activos, las personas y otras organizaciones. La autorización para operar (ATO) es emitida por el oficial autorizador (AO). Cada agencia establece los criterios de autorización para operar (ATO) para sus sistemas de información, aunque el Instituto Nacional de Normas y Tecnología de Estados Unidos ofrece orientación en el proceso descrito en su Risk Management Framework ("Marco de gestión de riesgos", RMF por sus siglas en inglés). Estos procedimientos y orientación se derivan de la Federal Information Security Modernization Act ("Ley federal de modernización de la seguridad de la información").

A la hora de realizar valoraciones de riesgos y de otorgar autorizaciones para operar (ATO) a sistemas de información que utilicen soluciones de servicios en la nube, las agencias pueden seguir el Federal Risk Authorization and Management Program ("Programa federal de autorización y gestión de riesgos", FedRAMP por sus siglas en inglés). El programa FedRAMP permite a las agencias acelerar la adopción de la nube creando normas y procesos transparentes para las autorizaciones de seguridad, que permiten a las agencias aprovechar las autorizaciones de seguridad a escala gubernamental. La autorización provisional para operar (P-ATO, por sus siglas en inglés) del FedRAMP ofrece a los oficiales autorizadores garantías de cumplimiento de controles de seguridad específicos, a fin de que no tengan que repetir los pasos del RMF para dichos controles. Las autorizaciones provisionales para operar (P-ATO) del FedRAMP pueden ser otorgadas por el Consejo Mixto de Autorización (JAB, por sus siglas en inglés) o una agencia.

La Cloud Computing Security Requirements Guide ("Guía de requisitos de seguridad para la computación en la nube") de la Agencia de Sistemas de Información de Defensa del Departamento de Defensa de los Estados Unidos (DOD, por sus siglas en inglés) establece los niveles de impacto 2, 4, 5 y 6 para las misiones del DOD, así como los pasos adicionales que deben seguir las organizaciones de dicho Departamento para obtener sus autorizaciones para operar (ATO).

Autorización provisional para operar (P-ATO) de nivel alto del FedRAMP de Oracle

Todos los servicios de IaaS y PaaS1 de Oracle Government Cloud disponen de una autorización provisional de nivel alto del FedRAMP, como puede verse en la página del FedRAMP. Como mencionamos anteriormente, la autorización para operar (ATO) que otorga el Consejo Mixto de Autorización (JAB) a las organizaciones de servicios en la nube es provisional porque solo las propias agencias disponen de autoridad para emitir una autorización para operar (ATO) definitiva para sus sistemas de información. La implementación, las pruebas y la documentación de los controles serán evaluados por la agencia antes de que su oficial autorizador (AO) emita una autorización para operar (ATO), pero la autorización provisional para operar (P-ATO) simplifica y acelera el proceso de forma considerable.

El FedRAMP permite eliminar esfuerzos duplicados ofreciendo un marco de seguridad común con el que las agencias federales puedan revisar sus requisitos de seguridad en función de una referencia estandarizada. Cada una de las soluciones de servicios en la nube (CSO, por sus siglas en inglés) de los proveedores de servicios en la nube se someten al proceso de evaluación y autorización. Tras la obtención por parte de una solución de la autorización provisional para operar (P-ATO), el paquete de seguridad puede ser reutilizado por cualquier agencia federal dentro de su proceso de autorización para operar (ATO). El paquete de seguridad del FedRAMP de Oracle Government Cloud para los Estados Unidos puede ser reutilizado para reducir la carga administrativa de las agencias gubernamentales y acortar el proceso de autorización para operar (ATO) heredando las autorizaciones provisionales para operar (P-ATO) de nivel alto del JAB para las soluciones de IaaS y PaaS.

1 A petición de las agencias, ciertos servicios que hayan superado evaluaciones de terceros pero que todavía no hayan sido autorizados según el FedRAMP pueden utilizarse a la espera de recibir la autorización final.

Obtención de autorizaciones para operar (ATO) por parte de las agencias

El proceso de autorización para operar (ATO) varía de una agencia a otra y puede incluir requisitos, procesos, normas y procedimientos que difieren de la información proporcionada aquí. Sin embargo, a grandes rasgos, el proceso de autorización para operar (ATO) que deben seguir las agencias para las soluciones Oracle Cloud consta de cinco pasos.

  1. El personal de seguridad de la información de la agencia puede solicitar a Oracle el paquete de documentación de auditoría de seguridad emitido por el JAB mediante el formulario de solicitud de acceso a dicho paquete (PDF) disponible en la página del FedRAMP (ID de paquete FR1900048743).
  2. Al recibir la solicitud, Oracle creará una sala de lectura virtual con acceso seguro al paquete de documentación de seguridad, que incluye el plan de seguridad del sistema, el plan de evaluación de seguridad, el informe de evaluación de seguridad, así como el plan de acción y los objetivos. Esta documentación es extremadamente sensible y está sujeta a un acuerdo de confidencialidad. La agencia no puede guardar, copiar o distribuir el contenido del paquete de seguridad fuera de la sala de lectura virtual.
  3. El personal de sistemas de información de la agencia puede ponerse en contacto con el equipo de conformidad de Oracle o el departamento de gestión de programas del FedRAMP si tiene alguna pregunta.
  4. El oficial autorizador (AO) revisa y documenta cualquier control de seguridad adicional para la aplicación específica más allá de los controles del FedRAMP evaluados dentro de la autorización provisional para operar (P-ATO) otorgada por el JAB a Oracle.
  5. El oficial autorizador (AO) lleva a cabo una última revisión del paquete de autorización combinado. Si este cumple los requisitos de seguridad, el oficial autorizador (AO) de la agencia emite una autorización para operar (ATO). Existen plantillas disponibles en fedramp.gov.

Los socios de Oracle te ayudan a lograr tus autorizaciones para operar (ATO)

Oracle cuenta con varios socios que están familiarizados con el proceso de autorización para operar (ATO) y pueden ayudar a las agencias a seguir los pasos requeridos para obtener su autorización para operar (ATO). Visita los sitios web siguientes para más información sobre estos socios.