* Regulaciones de la industria: Industrias como la aviación, la energía nuclear y la atención médica tienen regulaciones estrictas que rigen sus operaciones ICS. Estas regulaciones a menudo definen los estándares de seguridad, los procedimientos operativos y los protocolos de seguridad. (por ejemplo, FAA, NRC, HIPAA)
* Políticas y procedimientos de la empresa: Las organizaciones individuales establecen sus propias pautas internas basadas en sus necesidades específicas, tolerancia al riesgo y las mejores prácticas. Estos cubren todo, desde el control de acceso hasta la respuesta a los incidentes.
* Diseño y arquitectura del sistema: La forma en que se diseña un ICS influye significativamente en su funcionamiento. Un sistema simple tendrá diferentes pautas que una compleja, distribuida.
* Normas de seguridad: El cumplimiento de los estándares relevantes de seguridad (por ejemplo, ISA/IEC 62443, Marco de Ciberseguridad NIST) dará forma a las pautas operativas.
En lugar de una sola guía, piense en la operación de ICS gobernada por una combinación de:
* Procedimientos operativos estándar (SOP): Instrucciones detalladas para realizar tareas específicas, como iniciar una máquina, responder a una alarma o realizar mantenimiento.
* Planes de respuesta de emergencia (ERPS): Procedimientos para manejar incidentes, accidentes y ataques cibernéticos.
* Políticas y procedimientos de seguridad: Reglas y directrices para asegurar el ICS del acceso no autorizado, las amenazas cibernéticas y la manipulación física.
* Provetas y procedimientos de mantenimiento: Mantenimiento planificado para garantizar la confiabilidad y disponibilidad del sistema.
* Programas de capacitación: Capacitación para operadores, ingenieros y técnicos en la operación segura y eficiente del ICS.
En resumen, comprender la "guía operativa" para un ICS específico requiere examinar las regulaciones de la industria relevantes, las políticas de la empresa, el diseño del sistema e implementar los estándares de seguridad y seguridad. No hay documento universal.