food defense

4 min leitura
0

O que o BoS 6.0 do FSSC 22000 fala sobre Food Defense?

4 min leitura

A revisão das decisões publicadas do BoSBoard of Stakeholders (Conselho de Grupos de Interesse) do Esquema FSSC 22000  foi publicada agora em abril de 2023 e encontra-se na versão 6.0. Em sua seção 2.5 – REQUISITOS ADICIONAIS DO FSSC 22000, o tema food defense não mudou significativamente. Por isso, quem já tinha um bom plano implantado sobre este assunto possivelmente terá de modificá-lo muito pouco ou nada.

A tradução de todos os requisitos adicionais do BoS da FSSC 22000 v6.0 você encontrará clicando em  Tradução: Requisitos Adicionais da FSSC 22000 versão 6.0.

A Global Food Safety Initiativa (GFSI) define food defense como o processo que busca garantir a segurança de alimentos, ingredientes ou suas embalagens contra todas as formas de ataques maliciosos intencionais, incluindo ataques motivados ideologicamente, bioterrorismo ou por desafetos que queiram prejudicar a organização, levando à contaminação ou a produtos inseguros com o potencial de prejudicar os consumidores e a imagem das marcas.

Portanto, food defense tem como foco prevenir a intenção de causar danos aos consumidores ou às marcas e empresas por ataques propositais aos seus produtos.

Planos capazes de antecipar as ameaças de contaminação intencional são um desafio corrente nas rotinas de trabalho da cadeia produtiva de alimentos, requerendo esforços e recursos para sua correta implantação.

Para tratar o tema food defense, cabe iniciar com a condução de uma avaliação e identificação lógica das ameaças tentando responder a questões inerentes a esta questão, como:

  1. Quem poderia querer prejudicar a organização e por quais motivações?
  2. Como poderia fazer isso, por quais acessos e meios?
  3. Qual seria o potencial risco de impacto na saúde pública, imagem da empresa ou de suas marcas caso conseguisse?
  4. Como seria possível evitar que um ataque deste tipo acontecesse?

Voltando ao esquema FSSC V 6.0, o assunto Food Defense encontra-se no requisito 2.5.3 que se subdivide em dois requisitos como segue:

2.5.3.1 – Avaliação de ameaças, aplicável a toda as categorias:

A organização deve:

a) conduzir e documentar a avaliação de ameaças de food defense, com base em uma metodologia definida, para identificar e avaliar ameaças potenciais ligadas ao processo e produtos no escopo da organização; e

b) desenvolver e implementar medidas de mitigação apropriadas para ameaças significativas.

Grifado em letra amarela o que foi modificado na versão 6.0 do BoS.

Ou seja, a revisão enfatiza a necessidade de documentar a avaliação de ameaças usando uma metodologia definida, onde cabe, por exemplo, o uso de ferramentas apropriadas para a condução de gestão de riscos.

2.5.3.2 – Plano aplicável a todas as categorias:

a) A organização deve ter um plano de food defense documentado, com base na avaliação de ameaças, especificando as medidas de mitigação e os procedimentos de verificação;

b) O plano de food defense deve ser implementado e apoiado pelo SGSA da organização;

c) O plano deve atender à legislação aplicável, abranger os processos e produtos no âmbito da organização e ser mantido atualizado.

Apenas Categoria FII (Brokering / Trading / E-Commerce):

d) A organização deve garantir que seus fornecedores tenham um plano de food defense em vigor.

Grifado em letra amarela o que foi modificado na versão 6.0 do BoS.

O item “d” do requisito 5.4.3.2 trata de empresas cuja atuação se restringe a realizar negociações de compra e venda, chamando-as para a responsabilidade em relação aos fornecedores com quem escolhe negociar, o que pode significar ter um bom processo de qualificação que considere uma abordagem voltada para o tema food defense.

Para atender integralmente o que é requisitado no 2.5.3 do Esquema FSSC 22000 V.6, deve-se então,  após identificadas e avaliadas as vulnerabilidades, estruturar ações de proteção na cadeia produtiva, incluindo os fornecedores, sistema logístico, recebimento, utilidades usadas, processos industriais, de armazenamento e de distribuição.

Medidas típicas de food defense incluem, mas não se limitam à:

  1. Restrição de acesso às imediações, equipamentos e operações apenas às pessoas autorizadas;
  2. Monitoramento dos perímetros onde as plantas industriais estão instaladas;
  3. Proibição do uso de itens pessoais nas áreas de processo, armazenamento e demais áreas restritas;
  4. Uso de sistemas de controle eletrônico de acesso ou de alarme para áreas específicas, assim como monitoramento por câmeras, ou por pessoas para observação visual de áreas específicas;
  5. Uso da identificação pessoal por uniformes e crachás para sinalização clara de pessoas autorizadas em locais, equipamentos, áreas de controles e com operações restritas;
  6. Condução periódica de checagem da integridade de embalagens de insumos e produtos acabados;
  7. Avaliação crítica de fornecedores, parceiros e prestadores de serviço;
  8. Aplicação de selos, embalagens secundárias e terciárias, além de vedações para restringir o acesso ao produto;
  9. Manter fechadas as áreas mais vulneráveis;
  10. Uso de sistemáticas para o acompanhamento da carga após expedição e lacração de caminhões.

Importante considerar também que, por envolver questões de cunho pessoal e comportamental, a chave para manutenção de um bom plano food defense requer o conhecimento profundo não apenas dos processos, mas principalmente dos indivíduos envolvidos neles.

Sobre Food Defense, leia também:

Food Defense: conceitos e aplicação na garantia de qualidade de leite e derivados

Food Defense | Os 10 Mandamentos na Defesa dos Alimentos

Dicas para elaborar um procedimento de Food Defense

Food defense: protecting the global food system from intentional adulteration – Neal Fredrickson

Como implementar Food Defense?

Food defense em embalagens suscetíveis de alterações

Continue acompanhando o Food Safety Brazil e a série de posts aprofundando detalhes sobre os requisitos exigidos na versão 6.0 da FSSC 22000. 

4 min leituraA revisão das decisões publicadas do BoS – Board of Stakeholders (Conselho de Grupos de Interesse) do Esquema FSSC 22000  foi publicada agora em abril de 2023 e encontra-se na […]

Marco Túlio Bertolino<span class="bp-verified-badge"></span> Marco Túlio Bertolino
Posted on
FSSC 22000,Normas de certificação
4 min leitura
3 min leitura
0

Suporte do FDA para construção de planos em Segurança dos Alimentos

3 min leitura

O FDA (Food and Drug Administration) criou uma solução gratuita, o “Food Safety Plan Builder“, que pode ser acessado aqui, com o propósito de orientar passo a passo o processo de construção de planos em Segurança dos Alimentos.

O Food Safety Plan Builder (FSPB) é, portanto, uma ferramenta de acesso gratuito projetada para ajudar organizações que atuam em toda a cadeia produtiva de alimentos no desenvolvimento de um plano de segurança dos alimentos consistente com as diretrizes do FDA. Ele contém as seguintes seções:

  1. Informações das instalações;
  2. Etapas preliminares;
  3. Boas Práticas de Fabricação (BPF) e Programas de Pré-requisitos;
  4. Análise de Perigos e Determinação de Controles Preventivos;
  5. Controles preventivos de processo;
  6. Controles preventivos de alergênicos;
  7. Controles preventivos de saneamento;
  8. Controles preventivos da cadeia de suprimentos;
  9. Plano de recall;
  10. Reanálise do plano de segurança dos alimentos;
  11. Relatório do plano de segurança dos alimentos;
  12. Responsabilidades;
  13. Procedimentos de manutenção de registros;
  14. Contatos importantes;
  15. Documentos de suporte.

Resumidamente, o formato deste plano proposto pelo FDA baseia-se em uma abordagem sistemática para identificar os perigos que requerem controles preventivos para evitar doenças veiculadas por alimentos. Os componentes estão em conformidade com a regra de Boas Práticas de Fabricação e com uma Análise de Perigos e Controles Preventivos baseados em risco.

O FDA esclarece que FSPB é uma ferramenta instalada apenas no computador do usuário, deixando claro que não rastreia ou monitora seu uso e não tem acesso a nenhum conteúdo ou documento salvo por meio dessa ferramenta.

Porém, o FDA faz algumas ressalvas para se resguardar, declarando que tomou todas as precauções razoáveis ao criar o FSPB e a documentação que o acompanha, mas que não é responsável por erros, omissões ou deficiências relacionadas ao uso da ferramenta. Além disso, não se compromete em atualizar regularmente a ferramenta ou a documentação que a acompanha, ou seja:

A responsabilidade pela interpretação e uso do FSPB e da documentação que o acompanha é exclusiva dos usuários.

Importante salientar que mesmo nos EUA o uso desta ferramenta é facultativo, sendo proposto como mais uma opção em relação a outros modelos de planos de segurança dos alimentos, como é o caso, por exemplo, dos protocolos reconhecidos pelo GFSI como a FSSC 22000, IFS, SQF e BRCGS.

Apesar do FDA não exigir estritamente o uso dessa ferramenta, ele é inteiramente compatível com as diretrizes e regulamentações existentes do FDA, e claro, pode ser usado como modelo não só nos EUA, mas em qualquer lugar do mundo, sendo uma boa opção, bastante sólida e robusta.

Outra ferramenta muito interessante, complementar ao FSPB é o FDPB (Food Defense Plan Builder). Neste caso, foi projetada para o desenvolvimento de um plano de Food Defense, ou seja, com estratégias para prevenção e mitigação de adulterações intencionais. Pode ser acessado aqui.

O Food Defense Plan Builder orienta o usuário por meio das seguintes seções:

  1. Informações da instalação;
  2. Descrições do produto/ processo;
  3. Avaliações de vulnerabilidade;
  4. Estratégias de mitigação;
  5. Procedimentos de monitoramento de fefesa alimentar;
  6. Procedimentos de ações corretivas de Food Defense;
  7. Procedimentos de verificação de Food Defense;
  8. Documentos de suporte;
  9. Responsabilidades.

Ambas as ferramentas disponibilizadas pelo FDA, o FSPB e o FDPB, podem ser bem apropriadas para a construção de planos de segurança dos alimentos e Food Defense, em especial para quem ainda não adotou outros modelos de protocolos, considerando a credibilidade do próprio FDA.

Posteriormente, se necessário, os planos podem ser complementados ou adaptados para se ajustarem aos requisitos dos protocolos aceitos pelo GFSI, para que se tornem auditáveis.

3 min leituraO FDA (Food and Drug Administration) criou uma solução gratuita, o “Food Safety Plan Builder“, que pode ser acessado aqui, com o propósito de orientar passo a passo o processo […]

Marco Túlio Bertolino<span class="bp-verified-badge"></span> Marco Túlio Bertolino
Posted on
Dicas Vencedoras,Ferramentas de gestão,Food Safety no Mundo,HACCP
3 min leitura
2 min leitura
1

Não confunda food fraud e food defense

2 min leitura

Muitas pessoas se confundem com os termos Food Defense e Food Fraud e ainda desconhecem os meios para implantar estes programas nas indústrias de alimentos.

Food Fraud está relacionado com situações que promovem ganhos financeiros. Caracteriza-se pela substituição, diluição ou adição fraudulenta e intencional de um produto ou matéria-prima, ou adulteração do alimento ou material, com a finalidade de ganho financeiro, aumentando o valor aparente do alimento ou reduzindo o custo de sua produção. Exemplos: alteração de ingredientes, omissão de informação no rótulo, adição de água para aumento do volume.

Já Food Defense refere-se à prevenção de uma sabotagem com caráter ideológico, com objetivo de contaminação intencional ou maliciosa em alimentos ou em processos de produção de alimentos. Os itens Defesa de Alimentos e Fraude Alimentar são citados nos requisitos adicionais da FSSC 22000.

Para Food Defense, a norma requer uma avaliação para identificar e avaliar as potenciais ameaças, além de desenvolver e implantar medidas de mitigação para as ameaças significativas.

Para Fraude Alimentar, a norma cita a necessidade de uma avaliação de vulnerabilidade para identificar e avaliar as potenciais vulnerabilidades e desenvolver e implementar medidas de mitigação para as significativas.

Ambos os programas – food fraud e food defense – requerem um procedimento documentado.

Além dos requisitos adicionais, o item de Food Defense e Bioterrorismo é citado também na ISO/TS (Programas de Pré-Requisitos).

Como fazer a análise de risco e quais são as possíveis medidas de controle?

A avaliação deve ser feita envolvendo toda a cadeia de produção do alimento, desde o monitoramento dos fornecedores até análise do produto acabado. Para Food Fraud, podemos usar a ferramenta SSAFE. É uma ferramenta gratuita para avaliação de vulnerabilidade às fraudes em alimentos. Ela contém um questionário que nos ajudar a identificar e avaliar quais situações de fraudes podem ocorrer com os alimentos da empresa. Veja a explicação completa nesse post já publicado aqui no blog.

Para Food Defense, a empresa pode realizar uma análise de ameaça para verificar quais pontos são mais vulneráveis e apresentam risco nas instalações e, dessa forma, estabelecer um plano de ação.

Nas indústrias, podemos implantar um check list de controle em pontos de acesso restrito (caixas d’agua, sala de armazenamento de produtos químicos e materiais de limpeza, local de acesso a gases, etc). Podemos ainda instalar lacres nas portas para evitar acesso de pessoas estranhas e também em locais não permitidos e monitorar a numeração desses lacres para que não sejam rompidos ou trocados.

Outro ponto muito importante para o Food Defense é a destruição de logomarcas. Caso sua marca esteja exposta em embalagens que não serão utilizadas, estas embalagens devem ser destruídas para evitar casos de sabotagem.

O monitoramento por câmeras e o controle de entrada de visitantes e colaboradores também são formas de controle para o Food Defense. A área de TI pode auxiliar no controle das informações, restringindo o acesso a pastas com documentos sigilosos, procedimentos internos, acesso por visitantes, etc. Para os caminhões, é recomendado o uso de lacres para evitar a abertura e possível sabotagem durante o transporte.

Todos esses procedimentos ajudam a garantir a segurança dos alimentos, evitando ataques intencionais, que podem levar à contaminação de alimentos.

2 min leituraMuitas pessoas se confundem com os termos Food Defense e Food Fraud e ainda desconhecem os meios para implantar estes programas nas indústrias de alimentos. Food Fraud está relacionado com […]

Andressa Pietszekovski<span class="bp-verified-badge"></span> Andressa Pietszekovski
Posted on
Aprendi Hoje,Normas de certificação
2 min leitura
3 min leitura
0

Food fraud e food defense: como realizar uma boa avaliação

3 min leitura

Cada vez mais os temas food fraud e food defense (fraude de alimentos e defesa dos alimentos) ganham destaque no setor de alimentos e bebidas, principalmente após a publicação da ISO 22000:2018, a qual determina que as organizações devem incluir uma análise relevante sobre tais assuntos.

Além do mais, está descrito nos requisitos adicionais do esquema FSSC 22000 v.5.1, que a organização deve ter um procedimento de “avaliação de ameaças e vulnerabilidades”. Este procedimento deve ser documentado e implementado, especificando as medidas de mitigação relativas aos processos e produtos no âmbito da SGSA.

Não pense que food fraud e food defense são relevantes apenas para aquelas indústrias de alimentos e bebidas que são certificadas em alguma norma reconhecida pela GFSI, onde esses requisitos são mandatórios. Cada vez mais esses temas vêm sendo exigidos como pré-requisitos para homologação como co-packer, para atendimento a requisito de cliente, entre outros. Buscando a produção de alimentos seguros e a proteção contra a exposição negativa da marca, as empresas, além das ferramentas de prevenção contra contaminações não intencionais, como Boas Práticas de Fabricação (BPF) e Análise de Perigos e Pontos Críticos de Controle (APPCC), também devem implementar programas contra contaminações intencionais como Food Fraud e Food Defense.

Mas vamos lá, como realizar uma boa avaliação de food fraud e food defense?

É simples. O processo de avaliação inicia-se com a identificação das ameaças e vulnerabilidades significativas. É importante realizar esta avaliação desde o recebimento de matéria prima até o produto final, passando por todas as etapas e levantando a avaliando cada característica existente no processo.

Abaixo cito alguns exemplos de ameaças e fraudes:

TIPOS DE AMEAÇA E FRAUDE
Adulteração com motivação econômica
Contaminação Maliciosa
Extorsão
Espionagem
Falsificação
Crime cibernético
Ocultação
Substituição
Diluição
Rotulagem incorreta

O segredo para realizar uma boa avaliação é pensar como um criminoso e entender seu comportamento. Tente levantar as possíveis perguntas que servirão como guia orientativo à equipe de mitigação:

  • Quem são aqueles que podem querer nos atacar?
  • Quais os meios que eles poderão utilizar para realizar este ataque?
  • Como a organização pode impedir que isso aconteça?
  • E qual impacto desse ataque para a segurança dos alimentos e consumidores?

Leve sempre em consideração os aspectos internos e externos. As ações criminosas são a combinação de alguns aspectos como: motivação, oportunidade e medidas de controle inadequadas.

Faça uma avaliação de risco com base na identificação das ameaças e vulnerabilidades levantadas. A metodologia e a matriz de risco utilizada ficam a critério da organização.

AVALIAÇÃO DO RISCO
PROBABILIDADE SEVERIDADE

A equipe de mitigação, já treinada, deve realizar uma avaliação com base em histórico, acessos (instalações, sistema, matéria prima, embalagens, produtos), relacionamento (interno e externo), detectabilidade, entre outros.

É importante a preparação das equipes com capacitação, reciclagem, escolha dos integrantes (opte por colaboradores que possuam disponibilidade), experiência no processo, pois uma boa avaliação está totalmente vinculada a esse levantamento inicial.

Após o mapeamento, temos que definir as medidas de controle que tratarão os riscos levantados. Nem sempre as medidas de controle dependem de um investimento financeiro. Avalie o que já existe e que possa ser usado a favor da organização.

O que é simples também funciona. Exemplo: controle de acesso de visitantes na guarita, entrada no processo fabril somente mediante acompanhamento, identificação de visitante/terceiro por crachá ou touca de coloração diferente, comunicação interna eficiente (mural, e-mail, telefone), acesso restrito para áreas chaves, uso de cadeados nas áreas de químicos, funcionários fixos nos setores com maior risco, uso de senhas em sistemas e painéis de controles, último check de amostragem no produto final (checando itens como litografia/arte, código de barras, codificação, fechamento adequado, controle de peso e processos em geral,  entre outros), maior rigor na aprovação e homologação dos fornecedores.

Vale ressaltar que as medidas de controle identificadas funcionarão melhor quando estiverem integradas ao SGSA da empresa para serem atualizadas e revisadas periodicamente. Os planos de mitigação devem ser documentados, monitorados, verificados e validados para garantir a eficiência da implementação.

Leia também

Como implementar Food Defense?

3 min leituraCada vez mais os temas food fraud e food defense (fraude de alimentos e defesa dos alimentos) ganham destaque no setor de alimentos e bebidas, principalmente após a publicação da […]

Thais Santos<span class="bp-verified-badge"></span> Thais Santos
Posted on
Boas práticas de fabricação,Dicas Vencedoras,Food Safety no Mundo,FSSC 22000,Normas de certificação
3 min leitura
3 min leitura
0

Food Defense – O caso da JBS e uma reflexão sobre TI e TO

3 min leitura

Todos nós fomos surpreendidos com a notícia no início do mês de Junho sobre o ataque cibernético sofrido pela JBS (veja a reportagem aqui). A JBS, uma das maiores produtoras de carne bovina e suína do mundo, foi vítima de um grande ataque cibernético no fim de semana do Memorial Day (31/05/21), levando ao fechamento de fábricas na América do Norte e Austrália.

Em 2 de junho, o FBI divulgou um comunicado atribuindo o ataque ao REvil, um grupo de língua russa que fez algumas das maiores demandas de ransomware nos últimos meses. Ransomware é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido. Caso isso não ocorra, arquivos podem ser perdidos e até mesmo publicados.

Em 9 de junho, a subsidiária da JBS nos Estados Unidos informou que pagou o equivalente a US$ 11 milhões em resgate após o ataque hacker à sua operação no país. A empresa afirmou que a maioria de seus frigoríficos estava em plena operação no momento do pagamento. Em comunicado, a JBS apontou que a decisão de pagar o resgate foi tomada após consultar especialistas em segurança digital. O objetivo, segundo a companhia, foi reduzir problemas relacionados à invasão e evitar o vazamento de dados.

Ataques de hackers são cada dia mais comuns e estão, na maior parte das empresas certificadas em uma norma reconhecida pelo GFSI, mapeados nos Planos de Food Defense – já falamos sobre isso aqui no Food Safety Brazil.

A Revista Food Quality & Safety, na ocasião do evento da JBS, conversou com Stephen Streng, analista de defesa de alimentos do Food Protection and Defense Institute da University of Minnesota em St. Paul, e a fala dele pode nos trazer vários insights, inclusive relacionados à cultura de segurança de alimentos.

“As melhores práticas de segurança cibernética e controles de segurança para sistemas de TO [tecnologia operacional] e TI são bem conhecidos e há uma tonelada de recursos disponíveis”.

“O maior problema é assumir o compromisso de implementá-los, pois isso custa tempo e dinheiro. Esperançosamente, com a recente onda de ciberataques amplamente divulgada, as empresas começarão a ver que custará mais não dar atenção e recursos adequados à segurança cibernética. ”

“A maioria dos processadores e fabricantes de alimentos tem uma grande cultura de segurança de alimentos. Eles precisam incorporar a segurança cibernética porque, especialmente quando se trata de TO, a segurança cibernética insatisfatória é um problema de segurança de alimentos.”

A reportagem completa você encontra aqui.

Ao ler isso eu me perguntei se nós, profissionais da indústria de alimentos aqui no Brasil, sabemos o que é TO. Você já ouviu falar? Entenda aqui.

Ao pesquisar mais sobre o assunto, encontrei alguns dos riscos relacionados à segurança de TO que as empresas de alimentos e bebidas enfrentam. Estes incluem:

  • Infecção por malware (caso JBS) – sem os controles de segurança adequados, ambas as ameaças direcionadas e não direcionadas têm a liberdade de manobra de ambientes de TI para TO. O potencial transbordamento de um ataque de malware para redes TO pode ser caro – interrompendo a produção e criando problemas de segurança e conformidade;
  • Ameaça de acesso remoto de terceiros – fornecedores externos acessam remotamente as redes de TO das fábricas para fazer a manutenção das máquinas existentes, incluindo a realização de correção de erros e leituras de desempenho. Isso expõe os sistemas e controladores no chão de fábrica a um possível comprometimento se os sistemas da parte autorizada forem infectados com malware, suas credenciais de acesso forem roubadas ou se eles não aderirem às práticas recomendadas de segurança. Também é importante ter visibilidade do uso não autorizado e inadequado do acesso;
  • Alteração na operação do controlador em instalação remota – as instalações de tratamento de água, que garantem água potável para o processo de fabricação, normalmente estão fisicamente isoladas da planta. Espera-se que os sistemas que administram essas instalações operem da mesma maneira todos os dias. Qualquer mudança pode indicar uma ameaça de contaminação da água, mas a maioria das empresas não tem visibilidade granular desses sistemas para entender e explicar as mudanças. Ataques cibernéticos à estações de tratamento de água nos Estados Unidos têm acontecido nos últimos anos. Veja a reportagem sobre esses casos aqui.

Diante de tudo isso, fica a pergunta: será que os nossos planos de Food Defense estão realmente adequados quando falamos de ataques cibernéticos? Quais são as possíveis ações de mitigação? O pessoal de TI da sua empresa faz parte da equipe de Food Defense? Os sistemas de TO utilizados pela sua empresa foram mapeados e/ou contemplados dentro da sua avaliação de Food Defense? Os sistemas de TI e TO da sua empresa convergem de forma adequada?

A grande verdade é que quando falamos de segurança de alimentos nos dias atuais, podemos usar Shakespeare: “Há mais coisas entre o céu e a terra do que sonha a nossa vã filosofia”.

3 min leituraTodos nós fomos surpreendidos com a notícia no início do mês de Junho sobre o ataque cibernético sofrido pela JBS (veja a reportagem aqui). A JBS, uma das maiores produtoras […]

Virgínia Mendonça<span class="bp-verified-badge"></span> Virgínia Mendonça
Posted on
Food Safety no Mundo,Inovações e novidades
3 min leitura
3 min leitura
1

Food Defense, segundo a PAS 96 de 2017 (traduzida)

3 min leitura

Para definir uma sistemática de avaliação dos possíveis perigos aos produtos, ocasionados por contaminações intencionais (atos maliciosos – sabotagem, terrorismo ou vandalismo), e estabelecer as medidas de proteção necessárias para minimizar estes possíveis ataques, identificando, mapeando e determinando a forma de controle do acesso às áreas particularmente vulneráveis ou sensíveis através de uma metodologia de Avaliação de Ameaças e Controle de Pontos Críticos (Treat Assessment and Critical Control Points), a PAS 96, em sua 4ª (atual) edição, é uma ferramenta.  A TACCP é uma das avaliações sistemáticas das ameaças em processos para identificar pontos vulneráveis e a implementação de medidas corretivas para melhorar a resiliência contra ataques maliciosos por indivíduos ou grupos.

Neste guia, aqui traduzido da PAS 96:2017 (PAS significa: processo de desenvolvimento mais rápido do que um completo padrão de consenso britânico; um documento credível, para facilitar o processo de construção de consenso com as partes interessadas; pode ser produzido para especificações do produto, códigos de conduta, diretrizes, vocabulários; é um documento que fornece uma referência para avaliação e tem o potencial a ser desenvolvido para a promoção no processo de padrões formais a nível nacional, europeu ou internacional, ou seja, é um caminho para a produção de normas e introdução ao mercado muito rapidamente, sem o custo e o gasto de tempo de envolver um comitê), aborda a Prevenção Contra Bioterrorismo nas Indústrias de Alimentos, Bebidas e sua Cadeia de Abastecimento. Além de cases históricos, há as origens (as ameaças podem vir de: pessoas sem ligação com a organização, fornecedores e terceiros e alienados ou pessoas com desafeto pessoal), assim como os objetivos de um programa de Food Defense que são:

  • Reduzir a probabilidade de ataques mal-intencionados;
  • Reduzir as consequências de um ataque;
  • Proteger a reputação da organização;
  • Tranquilizar os clientes e público que medidas estão em vigor para proteger os alimentos;
  • Responder às expectativas internacionais, e apoiar o trabalho dos aliados e parceiros comerciais.

Aborda também a identificação das ameaças (letras a seguir) e de agressores (números a seguir):

  1. Contaminação Maliciosa;
  2. Extorsão;
  3. Espionagem;
  4. Crime cibernético.
  1. Extorsionário;
  2. oportunista;
  3. extremista;
  4. indivíduo irracional;
  5. indivíduo descontente;
  6. hacker;
  7. criminoso profissional.

Na Avaliação de Ameaças e Medidas de Controle são considerados locais onde as instalações possam ser invadidas; pontos onde um perigo possa ser intencionalmente introduzido, em especial onde houver exposição de produtos; sistemática de controle de acesso à empresa e aos diferentes setores da empresa e também se deve considerar o histórico de ocorrências quando existente. O foco está nas pessoas, uma vez que os atos maliciosos são sempre iniciados por indivíduos ou grupos com intenção de prejudicar a empresa ou contaminar os produtos propositadamente. Para tal há uma matriz de risco sugerida de proporcionalidade destas medidas de controle:

E a partir do risco, reclassifica-se a medida de proteção, determinando a sensibilidade da área, da seguinte maneira:

  • RISCO BAIXO OU ACEITÁVEL: necessária medida de controle “normal”. A área não é considerada sensível.
  • RISCO ACEITÁVEL: necessária medida de controle “aumentada”. A área pode ser classificada como sensível.
  • RISCO ALTO OU MUITO ALTO: necessária medida de controle “excepcional”. A área é considerada obrigatoriamente sensível.

Nos casos em que o risco for moderado, alto ou muito alto e a área for classificada como sensível, avaliar a necessidade de implementação de novas medidas de proteção, a fim de minimizar as ameaças, incluindo incentivar todos os colaboradores para identificar e reportar qualquer atitude suspeita ou visitantes que estejam circulando pela planta sem estarem acompanhados de um responsável da empresa.

Há que se revisar o estudo sempre que novas ameaças forem identificadas ou se algum ato malicioso efetivamente ocorrer, assim, rever o estudo de gerenciamento de ameaças. Caso um ato malicioso seja identificado de fato, considerar o caso como crise e tratar conforme o procedimento de Gestão de Crises.

Para relembrar tudo o que já discutimos por aqui, pela relevância do tema, acessem também este apanhado a seguir:

https://foodsafetybrazil.org/food-defense-e-food-fraud-voce-ja-fez-prova-de-acesso-sua-instalacao/

https://foodsafetybrazil.org/traducao-guia-do-fda-que-trata-de-estrategias-de-mitigacao-em-food-defense/

https://foodsafetybrazil.org/food-defense-em-embalagens-suscetiveis-de-alteracoes/

https://foodsafetybrazil.org/food-defense-garantia-de-qualidade-leite/

https://foodsafetybrazil.org/sabia-que-nova-iso-220002018-inclui-food-fraud-e-food-defense/

https://foodsafetybrazil.org/guia-de-food-defense-da-fssc-22000-em-portugues/

https://foodsafetybrazil.org/auxilio-com-algumas-referencias-sobre-food-defense-e-food-fraud/

https://foodsafetybrazil.org/documentos-orientacao-sobre-defesa-alimentar/

https://foodsafetybrazil.org/food-defense-bioterrorismo-e-biovigilancia-na-industria-de-embalagens/

https://foodsafetybrazil.org/versao-2017-guia-pas-96-food-defense/

https://foodsafetybrazil.org/food-defense-os-10-mandamentos-na-defesa-dos-alimentos/

https://foodsafetybrazil.org/como-implementar-food-defense/

https://foodsafetybrazil.org/food-defense-fda-emite-regulamento-final-para-estrategia-de-mitigacao-em-adulteracao-intencional-de-alimentos/

https://foodsafetybrazil.org/treinamentos-de-food-defense-e-consultor-em-servicos-de-alimentacao-em-fortaleza/

https://foodsafetybrazil.org/food-defense-protecting-the-global-food-system-from-intentional-adulteration-neal-fredrickson/

https://foodsafetybrazil.org/dicas-para-elaborar-um-procedimento-de-food-defense-uma-ameaca-real/

https://foodsafetybrazil.org/falhas-em-food-defense-podem-levar-a-nao-conformidades-maiores-em-auditoria-de-seguranca-de-alimentos/

https://foodsafetybrazil.org/painel-sobre-food-defense/

https://foodsafetybrazil.org/material-instrutivo-sobre-food-defense-no-site-do-fda/

https://foodsafetybrazil.org/material-instrutivo-sobre-food-defense-no-site-do-fda/

https://foodsafetybrazil.org/video-sobre-food-defense/

https://foodsafetybrazil.org/a-cerimonia-da-salva-rudimentos-de-food-defense/

https://foodsafetybrazil.org/temas-em-food-defense-controles-de-acesso-a-armazens/

https://foodsafetybrazil.org/food-defense-protecao-contra-a-contaminacao-intencional/

https://foodsafetybrazil.org/crimes-ciberneticos-nas-industrias-alimenticias/

https://foodsafetybrazil.org/os-perigos-da-comidas-delivery/

https://foodsafetybrazil.org/novos-documentos-mitigacao-fraude-defesa-alimentar/

https://foodsafetybrazil.org/orientacao-mitigacao-fraude-alimentar-defesa-alimentar/

https://foodsafetybrazil.org/base-de-dados-de-estrategias-de-mitigacao-da-defesa-alimentar/

https://foodsafetybrazil.org/diretrizes-para-controle-de-acesso/

https://foodsafetybrazil.org/haccp-taccp-vaccp-entenda-a-diferenca-entre-estas-ferramentas/

https://foodsafetybrazil.org/agroterrorismo-uma-ameaca-a-cadeia-de-fornecimento-de-alimentos/

https://foodsafetybrazil.org/novos-documentos-de-orientacao-sobre-mitigacao-de-fraude-alimentar-e-defesa-alimentar-i/

https://foodsafetybrazil.org/pode-existir-ligacao-entre-terrorismo-e-crime-organizado-e-a-industria-de-alimentos/

https://foodsafetybrazil.org/publicacao-do-pas-962014/

https://foodsafetybrazil.org/e-quando-os-generos-alimenticios-funcionam-como-transporte-de-narcoticos-e-para-considerar-como-perigo/

https://foodsafetybrazil.org/bioterrorismo-estamos-preparados/

 

3 min leituraPara definir uma sistemática de avaliação dos possíveis perigos aos produtos, ocasionados por contaminações intencionais (atos maliciosos – sabotagem, terrorismo ou vandalismo), e estabelecer as medidas de proteção necessárias para […]

Cíntia Malagutti<span class="bp-verified-badge"></span> Cíntia Malagutti
Posted on
Normas de certificação,Traduções
3 min leitura
Crime_cibernetico_industria_Thiago_Mendonça
2 min leitura
0

Crimes cibernéticos nas indústrias alimentícias

2 min leitura

Segundo o 2021 Global Threat Report, o índice de crime cibernético aumentou mais de 123% de outubro de 2020 a fevereiro de 2021, apesar de grande parte deles não ser de conhecimento público. A indústria 4.0 é uma realidade irreversível e, devido a isso, conhecer o mundo virtual e suas ameaças se tornou uma estratégia de sobrevivência. Mas como as indústrias alimentícias se tornaram alvo e como se proteger desses ataques?

À medida que as empresas financeiras, de energia e saúde investiram em segurança da informação após inúmeras ocorrências de crime cibernético, o setor industrial passou a ser a vítima de acesso mais fácil, como falado por Stephen Streng no relatório FPDI de 2019. Um exemplo foi a cervejeira Lion do grupo Kirin com operações na Nova Zelândia e Austrália, que teve seu sistema invadido em junho de 2020, interrompendo a produção e o fornecimento de seus produtos na região.

Os ataques hackers na indústria de alimentos podem ter diversas motivações como roubo de dados, exposição pública, corrupção ou falsificação de informações. Por trás dessas motivações, o agente pode ser um hacker criminoso com objetivos financeiros, um funcionário insatisfeito ou mesmo um ativista alimentar extremista com intensões idealistas.

Os dados da indústria que apresentam potencial valor são fórmulas de produtos ou mesmo processos produtivos patenteados. Porém, a perda de dados em geral representa um grande impacto financeiro. Esse tipo de dados, como um plano HACCP ou estudos de novos produtos, se torna alvo de hackers, que podem criptografar arquivos e solicitar resgate pela devolução, processo conhecido como ransomware.

Como apresentado por Roger Woehl, diretor técnico da SafetyChain Software na Global Food Safety Resource, as ameaças cibernéticas não são muito diferentes dos riscos com que a indústria alimentícia lida diariamente – os perigos físicos, químicos e biológicos – podendo ser aplicadas as mesmas ferramentas para avaliá-las e estabelecer as medidas de mitigação.

Diante disso, é de extrema importância considerar essa ameaça no gerenciamento de risco, levando em conta os seguintes passos:

  • Incluir o time de TI na equipe de gerenciamento de crises;
  • Listar as ameaças de dados e informações no levantamento de riscos;
  • Após cruzar as informações na matriz de risco, determinar as medidas de mitigação;
  • Definir o protocolo de ações em situações de emergência;
  • Simular um teste do sistema.

Para mais dicas sobre como desenvolver um bom plano de gerenciamento de risco, clique aqui. Sob uma outra perspectiva, leia as sugestões de prova de acesso, físico ou digital, para o plano de food defense.

Cada vez mais informatizados, tanto os sistemas de grandes ou pequenas indústrias estão sujeitos a esta ameaça. Portanto, a prevenção mediante a avaliação dos riscos e o investimento em medidas de segurança mais sofisticadas devem ser preocupações da estrutura de alto nível de todas as empresas. Proteger as suas informações é melhor do que tentar recuperá-las!

2 min leituraSegundo o 2021 Global Threat Report, o índice de crime cibernético aumentou mais de 123% de outubro de 2020 a fevereiro de 2021, apesar de grande parte deles não ser […]

Thiago Mendonça<span class="bp-verified-badge"></span> Thiago Mendonça
Posted on
Food Safety no Mundo
2 min leitura
4 min leitura
1

Resumo da palestra “Fraude na indústria de produtos de origem animal” (NEHTPOA – UFRB) – Parte 1

4 min leitura

Fui convidado pelo NEHTPOA (Núcleo de Estudos em Higiene e Tecnologia de Produtos de Origem Animal) da UFRB (Universidade Federal do Recôncavo da Bahia) a palestrar no dia 10 de Setembro sobre “Fraude na Indústria de Produtos de Origem Animal”. O objetivo deste post é resumir os principais tópicos abordados no evento, divididos em parte 1 e parte 2.

Primeiramente vamos saber “o que é fraude?”. Gosto de um conceito da norma IFS FOOD:

“Fraude Alimentar é a substituição deliberada e intencional, a alteração de rotulagem e adulteração ou falsificação de alimentos, matérias-primas ou embalagens colocadas no mercado com a finalidade de ganho econômico.” (grifo nosso)

Atenha-se a essas duas palavras: INTENCIONAL + GANHO (VANTAGEM) ECONÔMICO, afinal para uma ação ser categorizada como fraude é necessário que essas duas coisas andem juntas. Primeiro, costumo dizer que ninguém comete fraude “sem querer querendo” mas é necessário que exista a intenção e segundo, o fraudador não quer adulterar ou falsificar algo para ter prejuízos econômicos, mas sim para obter vantagem econômica indevida sobre o consumidor.

Observe a tabela abaixo com uma divisão e exemplificação dos quatro tópicos elementares para a gestão da qualidade e segurança dos produtos alimentícios, sob a ótica de adulterações acidentais ou intencionais:

4 min leituraFui convidado pelo NEHTPOA (Núcleo de Estudos em Higiene e Tecnologia de Produtos de Origem Animal) da UFRB (Universidade Federal do Recôncavo da Bahia) a palestrar no dia 10 de […]

Humberto Vinícius Faria da Cunha<span class="bp-verified-badge"></span> Humberto Vinícius Faria da Cunha
Posted on
Aprendi Hoje
4 min leitura
3 min leitura
8

Food Defense e Food Fraud: Você já fez a prova de acesso à sua instalação?

3 min leitura

Quando falamos de planos de Food Defense e Food Fraud, estamos falando basicamente de “prevenção” e não de “reação”.

Você avaliou bem as suas vulnerabilidades e ameaças e há uma boa chance de prevenir acontecimentos com base nas medidas implementadas, certo? Certo.

Mas pergunto: você realmente testou os seus planos? A sua fábrica é um alvo fácil ou um alvo difícil?

Veja: se para mim é fácil entrar na sua fábrica, caminhar pelos arredores, e ninguém se aproxima pedindo uma identificação, a sua fábrica pode ser um alvo fácil. Se alguém liga para a fábrica e fala: “eu estive com o seu produto e pus um contaminante fatal em algum lugar do seu armazém de ingredientes” – qual seria a sua resposta? Se você trabalha com transportadoras homologadas e sistema de agendamento de caminhões, você sabe antecipadamente o nome do motorista que chegará com o caminhão em questão? Você realmente checa essa informação? Em caso de devolução de produto, retrabalho e ou reprocesso, que tipo de medida de controle você estabelece para garantir que ninguém colocou um contaminante intencional que virá a ser misturado com o produto em produção?

É aí que entram os planos de prevenção.

Estes questionamentos nos ajudam a realmente medir o grau de profundidade com o qual estes assuntos foram tratados. Auditores do FDA costumam perguntar às empresas: “como vocês testaram o seu plano de segurança?” – já pensando na prova de penetração ou de acesso.

Aliás, você sabe o que é uma prova de acesso (ou de penetração)? Prova de penetração é um teste no qual uma pessoa não autorizada tenta obter acesso a uma área sensível.

Vou dar dois exemplos de prova de penetração que considero muito legais:

1. Você envia uma pessoa desconhecida, bem vestida, com um jaleco sobre a roupa, por um trajeto entre a área de recepção/portaria da empresa até a área de pesagem de ingredientes. Uma vez lá, ela permanecerá por até vinte minutos, a menos que seja questionada por um funcionário. Ela então irá embora. Se o intruso for desafiado, ele alegará ser um novo consultor de segurança de alimentos ou gerente de conta do controle de pragas ou novo gerente de recursos humanos e tentará permanecer na área. No relatório do teste de penetração, devem ser registrados os nomes de pessoas que estarão trabalhando nas áreas afetadas no momento do desafio e avaliado se elas foram treinadas em food defense/food fraud. Deve conter ainda uma descrição do que a equipe deve fazer neste cenário e quais procedimentos devem ser seguidos. Os critérios de fracasso e sucesso devem ser documentados, bem como o que acontecerá se os procedimentos de food defense/food fraud funcionarem 100%  e o que acontecerá se os procedimentos funcionarem apenas parcialmente; e finalmente, como o cenário pode progredir se houver uma falha completa de procedimentos e sistemas.

Por exemplo:

a) Se o “intruso” for capaz de permanecer na área de pesagem de ingredientes por 20 minutos sem ser contestado por um funcionário, isso pode ser considerado uma falha completa do sistema de food defense/fraud.

b) Se o intruso for questionado, mas puder convencer o funcionário a permitir que ele permaneça na área sem supervisão, isso pode ser considerado uma falha parcial.

c) Se o funcionário optar por ficar com o intruso para “ficar de olho nele”, isso pode ser considerado um resultado melhor do que deixar o intruso sozinho.

Execute o desafio! Faça com que um membro da equipe de confiança observe a uma distância discreta. Descreva no relatório o que aconteceu. Convoque uma reunião da equipe de food defense/food fraud e analise os resultados do teste de desafio. Realize análises de causa-raiz e estabeleça as ações corretivas para quaisquer falhas no sistema. Tome medidas para evitar que um cenário como este volte a ocorrer, com base nas análises de causa-raiz.

2. Você simula um ataque cibernético para uma avaliação extensiva da vulnerabilidade de seus sistemas digitais? Essa prova é mais difícil de ser realizada internamente e dependerá da área de T.I da sua empresa. Você pode achar pouco provável que isso ocorra, não é mesmo? Mas já tivemos casos aqui no Brasil em que uma empresa perdeu todos os registros dos últimos 6 meses em função de um ataque de hackers. Atualmente existem empresas especializadas no mercado para fazer este tipo de teste.

E aí? Você está preparado para aplicar completamente os planos de Food Defense e Food Fraud? Vale a reflexão e é aquele velho ditado: “Melhor prevenir do que remediar”.

Espero que tenham gostado e até a próxima! 🙂

Referências

https://www.fda.gov/media/84376/download

https://www.fdanews.com/ext/resources/files/10-14/10-20-14-OIGReport.pdf?1518192066

https://www.foodfraudadvisors.com/beyond-vulnerability-food-defense/

3 min leituraQuando falamos de planos de Food Defense e Food Fraud, estamos falando basicamente de “prevenção” e não de “reação”. Você avaliou bem as suas vulnerabilidades e ameaças e há uma boa […]

Virgínia Mendonça<span class="bp-verified-badge"></span> Virgínia Mendonça
Posted on
Dicas Vencedoras
3 min leitura
2 min leitura
2

Tradução: Guia do FDA que trata de estratégias de mitigação em Food Defense

2 min leitura

O plano de Defesa dos Alimentos ou Food Defense, em inglês, é um termo que vem ganhando cada vez mais atenção entre os profissionais de segurança de alimentos e, mais uma vez, o Blog Food Safety Brazil traz uma ótima leitura desse tema para todos nós: a tradução do guia do FDA para Estratégias de mitigação para proteger os alimentos contra adulteração intencional. Veja o original em inglês aqui.

Vale lembrar o conceito do termo Food Defense, que quer dizer proteger o alimento de adulterações intencionais. Adulterações que podem ser ocasionadas por alguns motivos, como: colaboradores insatisfeitos, terrorismo, sabotagem, etc. Uma das grandes dificuldades nesse tema é exatamente prever como o agressor pensa, e quais os meios de ele atingir seu objetivo. Esse guia elucida muitas questões sobre o tema e tem como objetivo oferecer auxílio para o desenvolvimento e implementação de um plano de defesa dos alimentos contra a adulteração intencional.

O primeiro capítulo do guia traz os conceitos do que é um plano de Defesa de Alimentos, e quais tópicos devem fazer parte desse plano:

  • Avaliação da vulnerabilidade;
  • Estratégias para atenuação para cada etapa crítica;
  • Monitoramento;
  • Procedimentos de ações corretivas;
  • Procedimento de verificação.

Além disso, ajuda a responder questões como quem deve participar da elaboração desse plano e de seu desenvolvimento e supervisão.

Os requisitos gerais para a avaliação de vulnerabilidade, que fornece um mecanismo para identificar, priorizar e concentrar recursos na prevenção para minimizar as vulnerabilidades ficam no capítulo 2, esclarecendo pontos importantes como o planejamento para a análise, métodos apropriados, identificação de etapas críticas, incluindo uma abordagem mais simples e com menos recursos através do método KAT ( Key Activities Type – Principais Tipos de Atividades), que identifica vulnerabilidades significativas em etapas críticas do processo. Os três elementos fundamentais na análise de vulnerabilidade também são tratados aqui, de forma clara e orientativa.

  • potencial impacto na saúde pública
  • acesso físico ao produto
  • capacidade do agressor contaminar

No terceiro capítulo  podemos ver algumas estratégias de mitigação para as etapas críticas de processo, entre elas: minimizar acessibilidade do agressor e redução da capacidade do agressor, seja por medidas operacionais ou através do uso de tecnologia.

O gerenciamento de componentes de estratégias de mitigação fica no quarto capítulo, dando uma visão de como e o que monitorar e verificar no plano de Defesa dos Alimentos.

Ou seja, esse guia é um documento extremamente importante e completo nesse tema, indispensável para quem quer aprender mais e repleto de informações e direcionamentos para um plano robusto de Defesa dos Alimentos.

Um grande abraço e boa leitura!

CLIQUE AQUI PARA BAIXAR O GUIA.

Clique aqui para participar da consulta pública sobre ele, que vai até 14/08/2020.

Arthur Barbieri é Supervisor de Garantia da Qualidade, bacharel em engenharia e segurança do trabalho.

Veja outras traduções realizadas:

Food Safety Brazil publica tradução do Guia de Cultura de Segurança de Alimentos do GFSI

Preparação para enfrentar Pandemia de Coronavírus na Indústria de Alimentos (tradução)

 

Tradução: Guia para validação de medidas de controle de segurança de alimentos

2 min leituraO plano de Defesa dos Alimentos ou Food Defense, em inglês, é um termo que vem ganhando cada vez mais atenção entre os profissionais de segurança de alimentos e, mais […]

Convidados<span class="bp-verified-badge"></span> Convidados
Posted on
Traduções
2 min leitura

Autores e seus conteúdos

  1. avatar for Aline Rezende RodriguesAline Rezende Rodrigues
  2. avatar for Ana Silvia Mattos GonçalvesAna Silvia Mattos Gonçalves
  3. avatar for André PontesAndré Pontes
  4. avatar for Caio FaciolliCaio Faciolli
  5. avatar for Camila ChadadCamila Chadad
  6. avatar for Carla Lima GomesCarla Lima Gomes
  7. avatar for Cíntia MalaguttiCíntia Malagutti
  8. avatar for Cintia ReisCintia Reis
  9. avatar for ConvidadosConvidados
  10. avatar for Cristina ConstantinoCristina Constantino
  11. avatar for Diego Campelo dos SantosDiego Campelo dos Santos
  12. avatar for Diogo XimenesDiogo Ximenes
  13. avatar for Fernanda SpinassiFernanda Spinassi
  14. avatar for Flavio QuadraFlavio Quadra
  15. avatar for Humberto Vinícius Faria da CunhaHumberto Vinícius Faria da Cunha
  16. avatar for Jacqueline NavarroJacqueline Navarro
  17. avatar for Jose Luiz BarianiJose Luiz Bariani
  18. avatar for José MirandaJosé Miranda
  19. avatar for Juliana LanzaJuliana Lanza
  20. avatar for Juliana MaierJuliana Maier
  21. avatar for Juliane DiasJuliane Dias
  22. avatar for Leonardo AlvesLeonardo Alves
  23. avatar for Leonardo MarcoviqLeonardo Marcoviq
  24. avatar for Lucas de SouzaLucas de Souza
  25. avatar for Marco Túlio BertolinoMarco Túlio Bertolino
  26. avatar for Marcos AmorimMarcos Amorim
  27. avatar for Marcos PozzanMarcos Pozzan
  28. avatar for Maria BearzottiMaria Bearzotti
  29. avatar for Marieli RossetoMarieli Rosseto
  30. avatar for Nealina VieitezNealina Vieitez
  31. avatar for Palova DieterPalova Dieter
  32. avatar for PatrocinadorPatrocinador
  33. avatar for Tania LopesTania Lopes
  34. avatar for Vanessa CostalungaVanessa Costalunga

Conteúdo para segurança de alimentos

Compartilhar
Pular para a barra de ferramentas