กระทรวงกลาโหมกำลังดำเนินการปรับปรุงชุดเอกสารสำคัญที่ควบคุมนโยบายความปลอดภัยทางไซเบอร์สำหรับกองทัพทั้งหมด ท่ามกลางวัตถุประสงค์อื่น ๆ DoD ต้องการให้นโยบายที่แก้ไขทำสองสิ่ง: ทำให้กระบวนการของเพนตากอนมีความสอดคล้องกับที่ใช้โดยหน่วยงานรัฐบาลกลางอื่น ๆ และผลักดันการตัดสินใจเกี่ยวกับไซเบอร์ในช่วงแรกของกระบวนการได้มาซึ่งระบบทางทหาร
ชุดเอกสารที่เรียกรวมกันว่า DoD Instruction 8500 ประกอบขึ้นจาก
สิ่งที่แผนกเรียกว่านโยบายขั้นสูงสุดสำหรับโปรแกรมความปลอดภัยทางไซเบอร์ทั้งหมด และจะมีการเผยแพร่เอกสารยกเครื่อง “เร็วๆ นี้” Dominic Cussatt รองผู้อำนวยการฝ่ายนโยบายความปลอดภัยทางไซเบอร์กล่าว สำนักงานปลัดกระทรวงสารสนเทศ เขากล่าวว่าเวอร์ชันที่อัปเดตจะพึ่งพามาตรฐานอื่น ๆ มากขึ้นซึ่งความพยายามระหว่างหน่วยงานต่าง ๆ กำลังสร้างขึ้น
กระทรวงกำลังใช้แนวทางแบบ “พีระมิด” ในการกำหนดนโยบายทางไซเบอร์ ในกรณีที่ขั้นตอนและแนวทางปฏิบัติที่ดีที่สุดใช้ได้กับทั้งรัฐบาล รัฐบาลจะทำงานร่วมกับสถาบันมาตรฐานและเทคโนโลยีแห่งชาติเพื่อช่วยเขียนและรวมเข้าด้วยกันโดยอ้างอิงในนโยบายของตนเอง ในพื้นที่ที่แคบกว่าของระบบที่จัดการข้อมูลด้านความมั่นคงของชาติ ก็ทำงานร่วมกับคณะกรรมการระบบความมั่นคงแห่งชาติเพื่อทำเช่นเดียวกัน
Cussatt กล่าวว่าเป้าหมายคือการเขียนนโยบายความปลอดภัยทางไซเบอร์เฉพาะของ DoD ในพื้นที่ที่เฉพาะเจาะจงทางทหารอย่างแท้จริง
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO
สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“ในอดีต DoD ได้เผยแพร่นโยบายที่เป็นกรรมสิทธิ์อย่างมาก เราเขียนนโยบายสำหรับเขตเลือกตั้งของเราและมุ่งเน้นไปที่ความต้องการและภารกิจของเราจริงๆ” เขากล่าวกับผู้เข้าร่วมการประชุมสัมมนาด้านความปลอดภัยทางไซเบอร์ของ AFCEA ที่เมืองบัลติมอร์ รัฐแมริแลนด์ เมื่อเร็วๆ นี้ “แต่เราเริ่มพบว่าเรามีสิ่งที่เหมือนกันมากกว่าไม่ใช่กับพันธมิตรของรัฐบาลกลางของเรา ในแง่ของความท้าทายที่เราเผชิญ เราทุกคนจึงเห็นพ้องต้องกันว่า NIST เป็นสถานที่ที่ดีในการกำหนดข้อกำหนดนโยบายพื้นฐานขั้นต่ำที่รัฐบาลทั้งประเทศจะใช้ พวกเขามีองค์ความรู้ที่ดีอยู่แล้ว และเราได้ทำงานร่วมกับพวกเขาเพื่ออัปเดตและนำนโยบายบางอย่างของ DoD มารวมไว้ด้วยกัน ดังนั้นสิ่งใดก็ตามที่เราสามารถทำได้ซึ่งเหมาะสมกับรัฐบาลกลางทั้งหมด เรากำลังทำที่นั่นและไม่ย้ำในนโยบายของ DoD”
อนุกรมวิธานเดียวแผนกยังใช้การปรับปรุงนโยบายและกระบวนการระหว่างหน่วยงานเพื่อพยายามประกาศใช้คำศัพท์ทั่วไปในหน่วยงานทางทหารและทั่วทั้งรัฐบาล Mark Nehmer หัวหน้าแผนกการจัดการความเสี่ยงของ US Cyber Command กล่าวว่าการยอมรับคำจำกัดความชุดเดียวสำหรับคำศัพท์ทางเทคนิคไม่ใช่สิ่งที่ DoD ยังไม่ทำได้ดีเป็นพิเศษจนถึงตอนนี้
“ถ้าผมอยู่ในกองทัพ ผมไม่สามารถพูดกับใครสักคนในกองทัพเรือและคาดหวังให้พวกเขาเข้าใจในสิ่งที่ฉันพูด พระเจ้าห้ามไม่ให้เราพยายามพูดคุยกับนาวิกโยธิน เพราะไม่มีใครเข้าใจพวกเขาเลย” เขากล่าว “แนวคิดคือ การทำเช่นนี้ทำให้เราฝึกทุกคนด้วยมาตรฐานเดียวกัน เราฝึกทุกคนด้วยภาษาเดียวกัน เราฝึกทุกคนด้วยใบรับรองแบบเดียวกัน และคำนึงถึงจุดจบเดียวกัน ด้วยวิธีนี้ หากมีปัญหาในมหาสมุทรแปซิฟิก ฉันสามารถนำกองกำลังจากที่ใดก็ได้ในโลกมารวมกันด้วยระบบอิเล็กทรอนิกส์เพื่อช่วยผู้คนที่นั่นปฏิบัติภารกิจ เราจะทำได้ก็ต่อเมื่อเราทุกคนพูดเหมือนกัน หากเราทุกคนเข้าใจสิ่งที่เราทำและวิธีที่เราทำ”
Cussatt กล่าวว่านโยบายใหม่จะรวมถึงภาษาที่ให้การแลกเปลี่ยนซึ่งกันและกันในการทดสอบระบบเพื่อความปลอดภัยในโลกไซเบอร์ ในบางกรณีจะยอมรับการทดสอบที่หน่วยงานอื่นทำในระบบที่กำหนดว่าดีพอสำหรับ DoD
