Food Defense e Food Fraud: Você já fez a prova de acesso à sua instalação?

3 min leitura

Quando falamos de planos de Food Defense e Food Fraud, estamos falando basicamente de “prevenção” e não de “reação”.

Você avaliou bem as suas vulnerabilidades e ameaças e há uma boa chance de prevenir acontecimentos com base nas medidas implementadas, certo? Certo.

Mas pergunto: você realmente testou os seus planos? A sua fábrica é um alvo fácil ou um alvo difícil?

Veja: se para mim é fácil entrar na sua fábrica, caminhar pelos arredores, e ninguém se aproxima pedindo uma identificação, a sua fábrica pode ser um alvo fácil. Se alguém liga para a fábrica e fala: “eu estive com o seu produto e pus um contaminante fatal em algum lugar do seu armazém de ingredientes” – qual seria a sua resposta? Se você trabalha com transportadoras homologadas e sistema de agendamento de caminhões, você sabe antecipadamente o nome do motorista que chegará com o caminhão em questão? Você realmente checa essa informação? Em caso de devolução de produto, retrabalho e ou reprocesso, que tipo de medida de controle você estabelece para garantir que ninguém colocou um contaminante intencional que virá a ser misturado com o produto em produção?

É aí que entram os planos de prevenção.

Estes questionamentos nos ajudam a realmente medir o grau de profundidade com o qual estes assuntos foram tratados. Auditores do FDA costumam perguntar às empresas: “como vocês testaram o seu plano de segurança?” – já pensando na prova de penetração ou de acesso.

Aliás, você sabe o que é uma prova de acesso (ou de penetração)? Prova de penetração é um teste no qual uma pessoa não autorizada tenta obter acesso a uma área sensível.

Vou dar dois exemplos de prova de penetração que considero muito legais:

1. Você envia uma pessoa desconhecida, bem vestida, com um jaleco sobre a roupa, por um trajeto entre a área de recepção/portaria da empresa até a área de pesagem de ingredientes. Uma vez lá, ela permanecerá por até vinte minutos, a menos que seja questionada por um funcionário. Ela então irá embora. Se o intruso for desafiado, ele alegará ser um novo consultor de segurança de alimentos ou gerente de conta do controle de pragas ou novo gerente de recursos humanos e tentará permanecer na área. No relatório do teste de penetração, devem ser registrados os nomes de pessoas que estarão trabalhando nas áreas afetadas no momento do desafio e avaliado se elas foram treinadas em food defense/food fraud. Deve conter ainda uma descrição do que a equipe deve fazer neste cenário e quais procedimentos devem ser seguidos. Os critérios de fracasso e sucesso devem ser documentados, bem como o que acontecerá se os procedimentos de food defense/food fraud funcionarem 100%  e o que acontecerá se os procedimentos funcionarem apenas parcialmente; e finalmente, como o cenário pode progredir se houver uma falha completa de procedimentos e sistemas.

Por exemplo:

a) Se o “intruso” for capaz de permanecer na área de pesagem de ingredientes por 20 minutos sem ser contestado por um funcionário, isso pode ser considerado uma falha completa do sistema de food defense/fraud.

b) Se o intruso for questionado, mas puder convencer o funcionário a permitir que ele permaneça na área sem supervisão, isso pode ser considerado uma falha parcial.

c) Se o funcionário optar por ficar com o intruso para “ficar de olho nele”, isso pode ser considerado um resultado melhor do que deixar o intruso sozinho.

Execute o desafio! Faça com que um membro da equipe de confiança observe a uma distância discreta. Descreva no relatório o que aconteceu. Convoque uma reunião da equipe de food defense/food fraud e analise os resultados do teste de desafio. Realize análises de causa-raiz e estabeleça as ações corretivas para quaisquer falhas no sistema. Tome medidas para evitar que um cenário como este volte a ocorrer, com base nas análises de causa-raiz.

2. Você simula um ataque cibernético para uma avaliação extensiva da vulnerabilidade de seus sistemas digitais? Essa prova é mais difícil de ser realizada internamente e dependerá da área de T.I da sua empresa. Você pode achar pouco provável que isso ocorra, não é mesmo? Mas já tivemos casos aqui no Brasil em que uma empresa perdeu todos os registros dos últimos 6 meses em função de um ataque de hackers. Atualmente existem empresas especializadas no mercado para fazer este tipo de teste.

E aí? Você está preparado para aplicar completamente os planos de Food Defense e Food Fraud? Vale a reflexão e é aquele velho ditado: “Melhor prevenir do que remediar”.

Espero que tenham gostado e até a próxima! 🙂

Referências

https://www.fda.gov/media/84376/download

https://www.fdanews.com/ext/resources/files/10-14/10-20-14-OIGReport.pdf?1518192066

https://www.foodfraudadvisors.com/beyond-vulnerability-food-defense/

8 thoughts on

Food Defense e Food Fraud: Você já fez a prova de acesso à sua instalação?

  • Ana Oliveira

    Ótimas dicas Virgínia. Valeu!!

  • Marilia Lopes

    Muito bom adorei as dicas com certeza vou testar…
    Obrigada por compartilhar.

  • Claudia Adria

    Adorei as idéias, fiz um exercício de food defense na empresa que atuo em Março deste ano que foi muito legal, e com certeza irei anotar seu exemplo.

  • Luciana Damasceno Barros

    Excelente post Vi…como.sempre vc arrasa demais….Parabêns…muito.enriquecedor.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Todos os textos são assinados e refletem a opinião de seus autores.

Food Safety Brazil Org

CNPJ: 22.335.091.0001-59

organização sem fins lucrativos

Produzido por AQMKT
© 2020, Themosaurus Theme
Compartilhar