Un'Authority to Operate, o ATO, è l'approvazione formale che consente a un sistema di funzionare in un ambiente federale. Di solito viene concessa dopo che i controlli di sicurezza, le valutazioni del rischio e i requisiti operativi sono stati esaminati, così che il sistema possa essere utilizzato da un'agenzia o da un appaltatore sulle reti governative.
L'ATO è importante perché funge da gatekeeper della fiducia. Uno strumento può essere tecnicamente utile, ma senza un'ATO non può essere distribuito legalmente o operativamente in molti contesti federali. Il processo di revisione verifica i controlli di identità, la registrazione dei log, le patch, la gestione dei dati, le dipendenze dal fornitore e la resilienza. In ambito difensivo, l'ATO aiuta a impedire che sistemi non sicuri o scarsamente monitorati entrino in reti sensibili. Negli attacchi, gli avversari possono tentare di sfruttare sistemi privi di un'autorizzazione aggiornata, aggirare l'approvazione usando shadow IT oppure colpire punti deboli introdotti durante integrazioni affrettate. L'ATO non è un timbro una tantum; riflette un obbligo continuo di mantenere il sistema sicuro e entro il suo ambito approvato.