PROCEDIMIENTO PARA EL CONTROL DEL ACCESO A UNA INSTALACIÓN DE AUTOMATIZACIÓN.

Procedimiento para el control del acceso a una instalación de automatización Con la introducción de la técnica de la información (IT) en la automatización y con la creciente integración con entornos de oficina, aumenta también la necesidad de soluciones de seguridad para entornos de automatización. El control de accesos es entonces una funcionalidad de seguridad esencial, mediante la que se fija e impone quién puede realizar qué operaciones. Así puede fijarse por ejemplo qué accesos puede realizar el personal de operación para operar y observar un proceso o una fabricación o bien un proceso continuo o de fabricación. Tres columnas principales de la seguridad en la IT son la confidencialidad, la integridad y la disponibilidad. Referido a entornos de oficina típicos, la mayoría de las veces juega el papel principal la confidencialidad y la integridad de los datos. En el entorno de automatización es no obstante más importante la disponibilidad que la confidencialidad de los datos. Usualmente no suele tratarse al respecto de datos muy secretos, sino principalmente de la transmisión de órdenes de control y de estado a través de la red. Debido al entorno de aplicación, deben tenerse en cuenta allí condiciones marginales especiales. Así por ejemplo en un entorno de automatización en técnica de procesos continuos no debe detenerse de forma así de simple un proceso de fabricación/en la industria de procesos un proceso físico, como por ejemplo el calentamiento y la agitación de un adhesivo en un caso de emergencia de seguridad en el control de la instalación. Igualmente a la inversa no debe de impedirse en un caso de emergencia, por ejemplo en un sobrecalentamiento del adhesivo, una intervención por parte del personal de servicio mediante medidas de seguridad de IT. Unos derechos de acceso estrictamente implantados, tal como es deseable desde el punto de vista de la seguridad de la IT, no deben dar lugar a que en un tal caso de emergencia las intervenciones manuales necesarias se impidan o se dificulten innecesariamente. Un control de accesos basado en roles (RBAC; Role Based Access Control) es ya conocido. En la práctica se entiende bajo ello a menudo solamente una administración de derechos de acceso basada en roles. Entonces se definen grupos en función de las tareas que se presentan. Se asignan derechos de acceso a distintos grupos. Los distintos colaboradores se asignan a los grupos correspondientes a sus tareas y reciben así los derechos de acceso necesarios para su tarea. Considerado desde el punto de vista teórico, RBAC significa que un determinado colaborador asume en distintos momentos distintas tareas y correspondientemente en distintos instantes asume distintos roles. Si entre varios instantes varían las tareas del colaborador, ejecuta el mismo para ello en cada caso un cambio de rol, para recibir los derechos de acceso asociados al rol asumido en cada momento. Por el documento EP 1621 944 A2 se conoce un procedimiento para el control del acceso a una instalación de automatización en el que los derechos de acceso prescritos por el control de accesos dependen del estado de funcionamiento de la instalación de automatización. Por Covington y colab. "Securing Context-Aware Applications Using Environment Roles (asegurar aplicaciones sensibles al contexto utilizando roles del entorno, actas del 6º simposio ACM de modelos y tecnologías de control de accesos, Chantilly, Virginia, Estados Unidos, págs. 10-20, 2001, ISBN:1-58113-350-2 se conoce además un control de accesos basado en el contexto en la atención y vigilancia de personas mayores en el hogar, en el que los derechos de acceso dependen de una información de contexto denominada también información de entorno. Esta información de contexto se refiere a la hora del día, el día de la semana, el lugar de estancia o el estado actual de una secuencia de trabajo. Los derechos de acceso están asignados a determinados roles de entorno. Los distintos roles de entorno pueden ser activados por informaciones de contexto. Una activación de un rol de entorno puede activar automáticamente una acción. Así por ejemplo cuando hay una activación del rol de entorno "vulneración" se establece automáticamente una llamada de emergencia. Puede considerarse como tarea de la invención proporcionar un control de accesos mejor adaptado a un entorno de automatización. La tarea se soluciona según la invención mediante las características de la reivindicación 1. Un procedimiento correspondiente a la invención para el control de accesos en una instalación de automatización prevé que los derechos de acceso prescritos por el control de accesos dependan del estado de servicio de la instalación de automatización, otorgándose al menos en un caso de emergencia, independientemente de los derechos de acceso en funcionamiento normal, derechos de acceso más amplios que los del funcionamiento normal. Al otorgarse al menos en casos de emergencia un acceso de emergencia con derechos de acceso ampliados, se posibilita una operación rápida y flexible, que no se ve impedida o dificultada innecesariamente por medidas de seguridad de IT. 2   La invención tiene ventajas respecto al estado de la técnica en particular dado que para el servicio regular operativo de la instalación de automatización pueden establecerse derechos de acceso restrictivos según las necesidades del funcionamiento regular. Para estados de servicio especiales, en particular en un caso de emergencia, se otorgan derechos de acceso correspondientemente ampliados. Se definen básicamente roles que corresponden a los diferentes estados de servicio de una instalación de automatización. No se realiza a libre elección un cambio de roles como en el RBAC, sino que los derechos de acceso dependen del estado de servicio. En funcionamiento normal se logra un gran nivel de seguridad y pueden establecerse derechos de acceso restrictivos, ya que sólo en un estado de servicio especial, como por ejemplo en trabajos de mantenimiento o en un caso de emergencia, se otorgan derechos de acceso ampliados, que son entonces necesarios. Esto puede considerarse también como un cierto modo de funcionalidad override (invalidación), en el que en determinadas circunstancias el control de los derechos de acceso puede ponerse fuera de servicio. Además se simplifica la gestión de los derechos de acceso, ya que sólo tienen que fijarse de manera exacta y estricta los derechos de acceso para el funcionamiento normal. En situaciones especiales se otorgan derechos de acceso ampliados bajo la hipótesis de que el personal cualificado y de confianza que realiza la operación y el mantenimiento no abusa bajo tales circunstancias de los derechos de acceso. Esta confianza está basada en que de todos modos existe una elevada responsabilidad del personal de operación y mantenimiento, ya que el mismo debe realizar tareas de mantenimiento, como por ejemplo cambio de herramientas o calibración o bien una parada controlada de un proceso continuo, que no está automatizado o no por completo. Una configuración ventajosa de la invención prevé que para detectar el estado de servicio se vigile la instalación de automatización. La vigilancia puede realizarse mediante sensores adecuados o mediante personal de operación y mantenimiento. Preferiblemente se activa automáticamente un caso de emergencia tan pronto como determinadas magnitudes de proceso de la instalación de automatización sobrepasan valores límite prescritos. Igualmente puede pensarse en activar manualmente un caso de emergencia mediante el personal de operación y vigilancia. Una configuración ventajosa de la invención prevé que los derechos de acceso se fijen estrictamente para el funcionamiento normal, para evitar operaciones incorrectas y accesos no autorizados. Otra configuración ventajosa de la invención prevé que los derechos de acceso se determinen para el funcionamiento normal basados en roles. Otra configuración ventajosa de la invención prevé que para el funcionamiento normal, para lograr derechos de acceso y/o para lograr derechos de acceso adicionales y/u otros derechos de acceso, se realice una identificación de la persona que accede o bien una autentificación por ejemplo mediante un protocolo log-in (de acceso). El protocolo log-in puede tener cualquier configuración, por ejemplo introduciendo el nombre del usuario y/o la palabra de paso, mediante un token (validador) de autentificación, como por ejemplo mediante una tarjeta de chip o inalámbricamente, o mediante una huella dactilar o cualquier otra identificación biométrica. Una configuración ventajosa adicional de la invención prevé que al presentarse un caso de emergencia se active una alarma, para dar automáticamente la alarma y activar medidas de emergencia, por ejemplo para que las fuerzas de intervención puedan confirmar el caso de emergencia. Una configuración... [Seguir leyendo]

1. Procedimiento para el control de accesos a una instalación de automatización, en el que los derechos de acceso prescritos por el control de acceso dependen del estado de servicio de la instalación de automatización (01), caracterizado porque al menos en un caso de emergencia, independientemente de los derechos de acceso en funcionamiento normal, se otorgan derechos de acceso ampliados. 2. Procedimiento según la reivindicación 1, caracterizado porque para captar el estado de servicio se vigila la instalación de automatización (01). 3. Procedimiento según la reivindicación 2, caracterizado porque la vigilancia se realiza automáticamente mediante sensores adecuados (06). 4. Procedimiento según la reivindicación 2, caracterizado porque la vigilancia se realiza mediante un personal de operación y mantenimiento (12). 5. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque se activa automáticamente un caso de emergencia tan pronto como determinadas magnitudes de proceso de la instalación de automatización (01) sobrepasan los valores límite prescritos. 6. Procedimiento según una de las reivindicaciones 1 a 4, caracterizado porque el caso de emergencia se activa manualmente. 7. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque los derechos de acceso se fijan de manera estricta en caso normal, para evitar operaciones incorrectas y accesos no autorizados. 8. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque los derechos de acceso se fijan en funcionamiento normal basados en roles. 9. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque en funcionamiento normal, para lograr derechos de acceso y/o para lograr derechos de acceso adicionales y/u otros derechos de acceso, se realiza una identificación de la persona que accede o bien una autentificación. 10. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque al presentarse un caso de emergencia se activa una alarma para dar automáticamente la alarma y activar medidas de emergencia. 11. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque al menos en un caso de emergencia se registran y/o protocolizan las acciones y accesos realizados por un personal de operación y mantenimiento (12). 12. Procedimiento según una de las reivindicaciones precedentes, caracterizado porque al menos en un caso de emergencia está previsto un modo de seguridad especial para casos de emergencia, en el que se sustituyen el duro control y otorgamiento de derechos de acceso previsto para el funcionamiento normal por medidas más suaves, que pueden evaluarse o bien se evalúan a posteriori. 13. Procedimiento según la reivindicación 12, caracterizado porque las medidas más suaves incluyen el otorgamiento de derechos de acceso ampliados y/o una desactivación del control y otorgamiento de derechos de acceso, con lo que se permiten todas las operaciones y accesos. 14. Procedimiento según la reivindicación 12, caracterizado porque las medidas de seguridad más suaves incluyen la renuncia a una autentificación, con lo que cualquier persona puede utilizar un equipo de operación y vigilancia (08) que controla la instalación de automatización (01). 15. Procedimiento según la reivindicación 12, 13 ó 14, caracterizado porque para la posterior evaluación de las medidas más suaves se realiza un registro y protocolización de los accesos realizados. 8   16. Procedimiento según una de las reivindicaciones 12 a 15, caracterizado porque para la evaluación a posteriori de las medidas más suaves se realiza una activación de una vigilancia por video (10) o bien una activación de un registro de video. 17. Procedimiento según una de las reivindicaciones 12 a 16, caracterizado porque el modo de seguridad para casos de emergencia incluye varios escalones con distintos derechos de acceso, que pueden activarse o bien que se activan paso a paso. 18. Procedimiento según una de las reivindicaciones 12 a 17, caracterizado porque la activación del modo de seguridad para casos de emergencia se realiza manualmente. 19. Procedimiento según la reivindicación 18, caracterizado porque la activación del modo de seguridad para casos de emergencia se realiza activando un pulsador especial sobre un nivel de operación gráfico. 20. Procedimiento según la reivindicación 18, caracterizado porque la activación del modo de seguridad para casos de emergencia se realiza accionando un interruptor de seguridad físico (09). 21. Procedimiento según la reivindicación 20, caracterizado porque el interruptor físico (09) está acoplado con un botón para incendios o alarma. 22. Procedimiento según la reivindicación 18, caracterizado porque la activación del modo de seguridad para casos de emergencia se realiza mediante un protocolo de log-in especial. 23. Procedimiento según una de las reivindicaciones 12 a 17, caracterizado porque la activación del modo de seguridad para casos de emergencia se realiza automáticamente en función del estado de servicio de la instalación de automatización (01). 24. Procedimiento según una de las reivindicaciones 12 a 23, caracterizado porque el modo de seguridad para casos de emergencia permanece tras la activación hasta que el mismo es desactivado manualmente. 25. Procedimiento según una de las reivindicaciones 12 a 23, caracterizado porque el modo de seguridad para casos de emergencia se desactiva automáticamente tras la ctivación una vez transcurrido un espacio de tiempo predeterminado. 26. Procedimiento según una de las reivindicaciones 12 a 23, caracterizado porque el modo de seguridad para casos de emergencia se desactiva automáticamente tras la activación tras desaparecer el caso de emergencia. 27. Procedimiento según una de las reivindicaciones 12 a 23, caracterizado porque el modo de seguridad para casos de emergencia sólo permanece activado mientras se accione el correspondiente interruptor de activación (09). 9