copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

PAS 96 : 2017

bebidas de ataque deliberado

Guía para la protección y defensa de los alimentos y
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

La publicación y la información de copyright

El aviso de copyright BSI se muestra en este documento indica que el documento fue emitido el pasado.

© The British Standards Institution 2017. Publicado por BSI Normas Limited 2017.

ISBN 978 0 580 98 099 2

ICS 67.020

Prohibida la reproducción sin permiso BSI excepción de lo permitido por la ley de derechos de autor.

historia de la publicación

Primero publicado en marzo de 2008 Segunda edición de

marzo 2010 Tercera edición de octubre 2014 Cuarta (actual)

2017 edición de noviembre

 PAS 96: 2017

Contenido

Prefacio .................................................. .................................................. ii

Introducción .................................................. .............................................. iv

1 Alcance .................................................. .................................................. .... 1

2 Términos y definiciones .................................................. ........................... 1

3 Tipos de amenaza .................................................. ...................................... 4

4 Comprender el atacante .................................................. ................. 8

5 Evaluación de la Amenaza Puntos Críticos de Control (TACCP) ................................ 10

6 Evaluación .................................................. ............................................ 13

7 controles críticos .................................................. ..................................... dieciséis

8 Respuesta a un incidente .................................................. ....................... 18

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

9 Examen de las disposiciones de protección de alimentos ............................................ 19

Anexidades

Anexo A casos de estudio (informativo) TACCP ................................................ 20 Anexo B (informativo)

Las fuentes de información e inteligencia sobre riesgos emergentes al suministro de alimentos ..................................................
.................. 41 Anexo C (informativo) enfoques complementarios de protección de alimentos y bebidas ..................................................
.................................................. 43 Anexo D (Informativo) 10 Pasos para la seguridad cibernética: una
responsabilidad a nivel de placa) .................................................. ............................................ 44
Bibliografía .................................................. .............................................. 45

Lista de Figuras
Figura 1 - la cadena alimentaria .................................................. ................ 2
Figura 2 - proceso TACCP Esquema .................................................. ............ 11 Figura 3 - matriz de
puntuación de riesgo .................................................. .................. 15 Figura identificación A.1 Amenaza
........................................... ...................... 22
Figura A.2 - priorización de amenazas .................................................. ........... 28 Figura A.3 -
Evaluación de la vulnerabilidad .................................................. ..... 30 Figura A.4 - flujo de trabajo
FryByNite .................................................. ............ 31 Figura A.5 - Amenaza priorización ..................................................
........... 35 Figura A.6 - Amenaza priorización .................................................. ........... 40 Figura B.1 -
Difusión mundial de información e inteligencia sobre los nuevos riesgos a los alimentos ..................................................
............................. 42

Lista de mesas
Tabla 1 - Evaluación del riesgo de puntuación .................................................. ............ 15 Tabla 2 -
Enfoques para la reducción del riesgo .................................................. .. 16 Tabla 3 - Tamper evidencia ..................................................
...................... 17 Tabla 4 - Seguridad del personal .................................................. ..................... 17 Tabla
A.1 - Información de la amenaza .................................................. ............... 21 Tabla A.2 - identificación
de amenazas .................................................. ............. Evaluación de amenazas - A.3 Tabla 23 ..................................................
................. informe de evaluación de amenazas 20170602 - 26 de A.4 poder ........................................ 29
Cuadro A.5 - Información de la amenaza .................................................. ................ Evaluación de
amenazas - A.6 Tabla 32 .................................................. ................. 33 Tabla A.7 - Registro Amenaza ..................................................
....................... 36 Cuadro A.8 - Las posibles fuentes de actividad maliciosa que afectan F. Armer y hijas
Ltd .................................................. ............................................ Evaluación de amenazas - A.9 Tabla 38 ..................................................
.................. 39

© The British Standards Institution 2017 yo

 PAS 96: 2017

Prefacio
Este PAS fue patrocinado por el Departamento de Asuntos de Medio Ambiente, Alimentación y
Rurales (DEFRA) y la Food Standards Agency (FSA). Su desarrollo fue facilitado por las Normas BSI
limitado y que fue publicada bajo licencia de The British Standards Institution. Que entró en vigor el
16 de noviembre 2017.

Se agradece a las siguientes organizaciones que participaron en el Este PAS no debe ser considerado como un estándar británico. Será retirada
desarrollo de esta PAS como miembros del grupo de dirección: cuando se publique su contenido en, o como, un estándar británico.

• Agrico UK Limited
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

El proceso de PAS permite una guía que se desarrolló rápidamente con el fin de
• Federación Británica de Alimentos Congelados (BFFF)
satisfacer una necesidad inmediata en la industria. Un PAS se puede considerar
• Campden BRI para su posterior desarrollo como un estándar británico, o constituyen parte de la
• Crowe Clark Whiteh yo ll LLP entrada del Reino Unido en el desarrollo de una norma europea o internacional.

• Danone

• Departamento de Asuntos de Medio Ambiente, Alimentación y Rurales (DEFRA)

• Food Standards Agency

superación
• GIST Limited
Este PAS reemplaza PAS 96: 2014, que se retira.
• Europa McDonald

• Centro Nacional de Seguridad Cibernética (NSCS)

• Sodexo Limited Información sobre este documento

• Tesco Reino Unido Esta es una revisión completa de la PAS 96: 2014, e introduce los siguientes
• tulipán Limited cambios principales:

• University College de Londres • referencias normativas e informativas se han actualizado;

• Willis Towers Watson

• subcláusula 3.7 Cyber-crimen ha sido revisado;
El reconocimiento también se da a los miembros de un panel de • subcláusula 6.2.4 añadido para cubrir las vulnerabilidades relacionadas con los ataques
revisión más amplia que fueron consultados en el desarrollo de esta cibernéticos;
PAS.
• dos nuevos estudios de caso de ficción se han añadido como los incisos A.5 y A.6
para ilustrar los problemas de seguridad cibernética;
La British Standards Institution conserva la propiedad y derechos de autor de
esta PAS. Normas BSI limitado ya que el editor de la PAS se reserva el
derecho de retirar o modificar la presente PAS a la recepción de • Anexo B actualiza;

asesoramiento autorizado que es apropiado hacerlo. Este PAS será revisado • Anexo D añadió que cubre 10 pasos a la seguridad cibernética;
a intervalos no superiores a dos años, y todas las modificaciones derivadas • Se han realizado algunas modificaciones en la redacción.
de la revisión se publicó como un PAS modificada y publicidad en las
normas de actualización.

ii © The British Standards Institution 2017

 PAS 96: 2017

El uso de este documento

A modo de guía, esta PAS toma la forma de orientaciones y recomendaciones. No

debe ser citado como si se tratara de una especificación o un código de prácticas
y demandas de cumplimiento no se pueden hacer a la misma.

convenciones de presentación

La orientación en este estándar se presenta en romano (es decir, en

posición vertical) tipo. Las recomendaciones se expresan en frases en las
que el director verbo auxiliar es “debe”.

Comentario, explicación y material informativo en general se presentan en

letra cursiva más pequeño, y no constituyen un elemento normativo.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

consideraciones contractuales y legales

Esta publicación no pretende incluir todas las disposiciones necesarias de

un contrato. Los usuarios son responsables de su correcta aplicación.

El cumplimiento de un PAS no puede conferir inmunidad frente a las obligaciones

legales.

© The British Standards Institution 2017 iii

 PAS 96: 2017

Introducción
La industria alimentaria ve la seguridad de sus productos como su principal En él se explica el proceso TACCP, se describen los pasos que pueden disuadir a
preocupación. Con los años, la industria y los reguladores han desarrollado un atacante o dar la detección temprana de un ataque, y utiliza estudios de casos
sistemas de gestión de seguridad alimentaria que significa que grandes brotes ficticios (véase el anexo A) para mostrar su aplicación. En términos generales,
de intoxicación alimentaria son ahora bastante inusual en muchos países. Estos TACCP coloca gerentes de empresas alimentarias en la posición de un atacante
sistemas suelen utilizar Análisis de Peligros y Puntos Críticos de Control para anticipar su motivación, la capacidad y la oportunidad de llevar a cabo un
(APPCC) que son aceptados a nivel mundial. 1) ataque, y luego les ayuda a diseñar protección. También ofrece otras fuentes de
información e inteligencia que pueden ayudar a identificar las amenazas
HACCP ha demostrado ser eficaz contra la contaminación accidental. emergentes (véase el anexo B).

los principios del HACCP sin embargo, no se han utilizado de forma rutinaria
para detectar o mitigar los ataques deliberados contra un sistema o proceso. El proceso TACCP asume y se basa en un negocio operación eficaz del sistema
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tales ataques incluyen contaminación deliberada, intrusión electrónica, y el existente, ya que muchas precauciones tomadas para garantizar la seguridad de
fraude. actos deliberados pueden tener consecuencias para la seguridad los alimentos es probable que también disuadir o detectar actos deliberados.
alimentaria, pero pueden dañar a las organizaciones de otras maneras, como También complementa los procesos de gestión de riesgos de negocio y de
dañar la reputación comercial o extorsionar. gestión de incidencias existentes.

El factor común detrás de todos estos actos deliberados son las personas. Estas El enfoque de esta PAS es en la protección de la integridad y la salubridad de los
personas pueden estar dentro de un negocio de comida, pueden ser empleados alimentos y su suministro. Cualquier atacante intención, ya sea desde el interior de
del proveedor de la empresa alimentaria, o pueden ser extraños completas sin un negocio de comida o su cadena de suministro o externo a ambos, es probable
conexión con el negocio de comida. La cuestión clave es su motivación, que puede que intentar eludir o evitar los procesos de gestión de rutina. Debe ayudar a mitigar
tener como objetivo causar daño a la salud humana, la reputación del negocio, o las empresas alimentarias cada una de estas amenazas, pero el enfoque también
hacer ganancias financieras a expensas de la empresa. En cualquiera de estas puede ser utilizado para otras amenazas de negocio.
situaciones es en interés de la empresa alimentaria para protegerse de este tipo de
ataques.

Ningún proceso puede garantizar que los alimentos y el suministro de alimentos

no son el objetivo de la actividad delictiva, pero el uso de PAS 96 puede hacer que
El propósito de PAS 96 es guiar a los gerentes de empresas alimentarias a través de sea menos probable. Se tiene la intención de ser una guía práctica y utilizar
enfoques y procedimientos para mejorar la capacidad de resistencia de las cadenas fácilmente y así está escrito en el lenguaje cotidiano y se va a utilizar en un
de suministro a fraude u otras formas de ataque. Su objetivo es asegurar la sentido común en lugar de manera legalista.
autenticidad y la seguridad de los alimentos, reduciendo al mínimo la posibilidad de
un ataque y mitigar las consecuencias de un ataque exitoso.

PAS 96 describe Amenaza Puntos Críticos de Control Evaluación (TACCP), una

metodología de la gestión de riesgos, que se alinea con HACCP, pero tiene un
enfoque diferente, que puede necesitar el aporte de los empleados de diferentes
disciplinas, tales como recursos humanos, compras, seguridad y tecnología de la
información.

1) Más información y orientación con respecto a HACCP se pueden encontrar en la

publicación del Codex Alimentarius, Principios Generales de Higiene de los Alimentos

[ 1].

iv © The British Standards Institution 2017

 PAS 96: 2017

1 Alcance 2 Términos y definiciones

Este PAS proporciona orientación sobre la prevención y mitigación de amenazas para la A los efectos de esta PAS, se aplican los siguientes términos y
alimentación y el suministro de alimentos. En él se describe una metodología de la gestión de definiciones.
riesgos, evaluación de la amenaza Puntos Críticos de Control (TACCP), que puede ser

adaptada por las empresas alimentarias de todos los tamaños y en todos los puntos en las

cadenas de suministro de alimentos. Mientras que las preocupaciones por la seguridad e 2.1 seguridad cibernética
integridad de la comida y la bebida son de suma importancia y gran parte del PAS se centra en
protección de los dispositivos, servicios y redes - y la información sobre
ellos, es necesario hacer hincapié en que su ámbito de aplicación abarca todas las amenazas ''
ellos - desde el robo o daño
y la protección de todos los elementos del suministro de alimentos. Esto incluye la viabilidad de

negocios dentro de la cadena de suministro.

{FUENTE: NCSC Glosario [2]}

2,2 defensa alimentos

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Se pretende que sea de utilidad para todas las organizaciones, pero es de particular utilidad

para los gerentes de pequeñas y medianas empresas de alimentos de tamaño sin fácil procedimientos adoptados para garantizar la seguridad de los alimentos y
acceso a asesoramiento especializado. bebidas y sus cadenas de suministro de ataque malicioso e ideológicamente
motivado que conduce a la contaminación o la interrupción de suministro

NOTA La seguridad alimentaria término se refiere a la confianza con la que las

comunidades ven la comida que está disponible para ellos en el futuro. Excepto en el
sentido limitado de que un ataque exitoso puede afectar a la disponibilidad de
alimentos, la seguridad alimentaria no se utiliza y está fuera del alcance de este
PAS.

fraude 2.3 de alimentos

acto u omisión deshonesto, en relación con la producción o suministro de

alimentos, que está destinado para beneficio personal o para causar pérdidas a
otra persona 2)

NOTA 1 Aunque hay muchos tipos de fraude alimentario los dos tipos
principales son:

1) la venta de comida, que es apto y potencialmente perjudiciales, tales

como:

• reciclaje de subproductos animales de nuevo en la cadena alimentaria;

• el embalaje y la venta de carne de vacuno y aves de corral con un origen

desconocido;

• venta de bienes a sabiendas que están más allá de su "fecha de caducidad;

2) La Agencia de Normas Alimentarias del Reino Unido discute el crimen de alimentos y

comida en el fraude:

https://www.food.gov.uk/enforcement/thenational-food-crime-unit/what-is-food-crime-and-food-fraud

[3 ].

© The British Standards Institution 2017 1

 PAS 96: 2017

2) la descripción errónea deliberada de los alimentos, tales como: 2.6 peligros

• productos sustituidos con una alternativa más barata, por ejemplo, el
algo que puede causar la pérdida o el daño que surge de un evento de
salmón de piscifactoría vendido como salvaje, y el arroz Basmati
origen natural o accidental o es resultado de la incompetencia o la ignorancia
adulterada con variedades más baratas;
de las personas involucradas
• hacer declaraciones falsas sobre la fuente de los ingredientes, es
decir, su geográfica, vegetal o animal.
2.7 Análisis de Peligros y Puntos Críticos de Control (HACCP)
NOTA 2 fraude alimentario también puede implicar la venta de la carne de animales
que han sido robados y / o ilegalmente sacrificados, así como animales de caza
sistema que permite identificar, evaluar y controlar peligros significativos para
salvajes como ciervos que pueden haber sido escalfados.
la inocuidad de alimentos

{FUENTE: Codex Alimentarius. Principios Generales de Higiene de los

Alimentos [ 1]}
2.4 Protección de alimentos

procedimientos adoptados para prevenir y detectar ataques fraudulentos en los

alimentos 2.8 privilegiada

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

individuo dentro o asociado con una organización y con acceso a sus activos,
pero que pueden hacer mal uso que el acceso y presentar una amenaza para
suministro 2,5 comida
sus operaciones
elementos de lo que comúnmente se llama una cadena de suministro de alimentos

NOTA Un ejemplo de una cadena de suministro de alimentos se da en la

Figura 1. Figura 1 no pretende ser exhaustiva.

Figura 1 - Una cadena de suministro de alimentos

Río arriba

Agua montaje de Distribución

productos

Almacenamiento

la preparación y

conservación de

alimentos

Agroquímicos
Al por menor

siembra-Cultivos

Agricultura

Alimentación animal
fabricación
Cliente Servicio de comida
ingrediente
Inseminación principal
artificial

Los materiales de Pescar

Deposito de
Consumidor
basura

embalaje

Río abajo

2 © The British Standards Institution 2017

 PAS 96: 2017

la seguridad del personal 2.9 2.11 Evaluación de la Amenaza Puntos Críticos de Control

procedimientos que permiten confirmar la identidad de un individuo,

(TACCP)

calificaciones, experiencia y derecho al trabajo, y para monitorear la la gestión sistemática de los riesgos a través de la evaluación de amenazas,
conducta como empleado o contratista identificación de vulnerabilidades y la aplicación de controles a los materiales
NOTA 1 No debe confundirse con la 'seguridad personal'. y productos, compras, procesos, instalaciones, personas, redes de
distribución y sistemas de negocios por un equipo de expertos y de confianza
NOTA 2 principios de seguridad de personal se utilizan para asegurar la fiabilidad
con la autoridad para implementar cambios en los procedimientos
de personal dentro de una organización, pero se pueden aplicar al personal de los
proveedores dentro de los procesos de acreditación de vendedor.

2.10 amenaza

algo que puede causar la pérdida o el daño que surge de la mala

intención de la gente

NOTA Amenaza no se utiliza en el sentido de comportamiento amenazador

o promesa de consecuencia desagradable de un incumplimiento de una
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

demanda malicioso.

© The British Standards Institution 2017 3

 PAS 96: 2017

3 Tipos de amenaza

3.1 Consideraciones generales durante muchos años. 6) No está claro si las hamburguesas de ternera en realidad

contenían suficiente para adaptarse a cualquier regulación oficial.

actos deliberados contra los alimentos y el suministro de alimentos toman varias

formas. Cláusula 3 describe las características de las principales amenazas a la

autenticidad y la seguridad de los alimentos

caso 4
- adulteración por motivos económicos (EMA) y la contaminación
malicioso, y explica la naturaleza de otras amenazas, en particular el En 2014 la Junta Lechera de Kenya afirmó que los vendedores ambulantes estaban
poniendo en riesgo la vida mediante la adición de conservantes (formalina y peróxido de
rápido crecimiento de mal uso de técnicas digitales.
hidrógeno) en un intento (probablemente inútil) para extender la vida útil de la leche. 7)

3,2 adulteración Económicamente motivado (EMA) caso 5

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

El personal en un empacador de carne Europea consideró, erróneamente,

que podrían evitar un producto que se está llevando condenado como la
NOTA Los detalles de muchos otros casos están disponibles en la base de datos de
fiebre aftosa, cubriéndola con desinfectante.
Fraude de Alimentos de la Convención de la Farmacopea de Estados Unidos en

http://www.foodfraud.org/ [4].

La motivación de EMA es de carácter financiero, para ganar un aumento de los

Caso 1 ingresos por la venta de un producto alimenticio de una manera que engaña a
En 2016, los funcionarios de aduanas en Nigeria confiscaron 2,5 los clientes y consumidores. Esto puede ser por cualquiera de hacer pasar un
toneladas de arroz que se sospecha fue hecha de plástico. 3) material más barato como uno más caro (véase el caso 1), o puede ser que un
ingrediente menos costoso se utiliza para reemplazar o extender el más caro
(ver los casos 2 y 3).

caso 2

El aceite de oliva ha sido un objetivo frecuente de la adulteración, a menudo por otros

La evitación de la pérdida también puede ser un incentivo para la adulteración
aceites vegetales. En 2017, las autoridades italianas interrumpieron un anillo de crimen
(ver casos 4 y 5). suministro limitado de un material clave puede animar a un
organizado que se exportaba aceite de oliva falsa a los Estados Unidos. 4) Del mismo
productor de improvisar para completar un pedido en lugar de declarar de
modo, las autoridades brasileñas informaron que un porcentaje muy elevado de los
entrega corto para el cliente.
aceites de oliva analizadas no cumplían con los estándares de calidad requeridos por su
etiquetado. 5)

La intención de EMA no es para causar enfermedad o muerte, sino que puede

ser el resultado. Este fue el caso en 2008 cuando se utilizó melamina como
caso 3 fuente de nitrógeno para aumentar de manera fraudulenta el contenido de
La policía española ha acusado a un fabricante hamburguesa de carne de cerdo proteína medido de leche, lo que resulta en más de 50 000 bebés hospitalizados
y la soja utilizando picada para aumentar el contenido de carne percibido de sus y seis muertes después de haber consumido la fórmula infantil contaminada. 8)
productos

6) Más información está disponible en: https: // www.

euroweeklynews.com/3.0.15/news/on-euro-weekly-news/spainnews-in-english/144405-police-uncover-major
[8].
3) Más información está disponible en: http://www.bbc.co.uk/ noticias /

mundo-África-38391998 [5]. 7) Más información está disponible en: http: // www.

4) Más información está disponible en: https: // www. standardmedia.co.ke/article/2000107380/naivasha-hawkersusing-formalin-to-preserve-milk
oliveoiltimes.com/olive-oil-business/italy-arrests-33-accusedolive-oil-fraud/55364 [9].
[6]. 8)Para más detalles sobre este caso adulteración ver la publicación de la OMS y
5) estudio adicional caso se puede encontrar: https: // www. la FAO, aspectos toxicológicos de la melamina y ácido cianúrico
oliveoiltimes.com/olive-oil-business/brazil-reveals-widespreadolive-oil-fraud/56395 http://www.who.int/foodsafety/publications/ melamina-cianúrico-ácido / en / [10].
[7].

4 © The British Standards Institution 2017

 PAS 96: 2017

El factor común en muchos casos de EMA es que el adulterante es ni un peligro que más se distribuye al público si la compañía no cumplió con sus
para la seguridad de los alimentos, ni fácilmente identificable, ya que esto sería demandas.
contrario al objetivo del atacante. adulterantes comunes 9) incluir agua y azúcar;
ingredientes que pueden utilizarse adecuadamente y declaran pero de uso caso 9
abusivo fraude alimentario.
En 2007, una panadería encontró montones de cacahuetes en la fábrica. Se retiró del

producto y cerrado por una semana larga y profunda limpia para restablecer su condición

de libre de tuerca.
EMA es probable que sea más eficaz para un atacante, y por lo tanto presentar una
amenaza mayor para un negocio de comida, aguas arriba en la cadena de
La motivación para la contaminación malintencionada puede ser que cause localizado
suministro de alimentos (véase la figura 1) cerca de la producción de ingredientes
(véase el caso 6) o generalizada (véase el caso 7) enfermedad o muerte.
primarios. Una adulteración éxito (desde el punto de vista del atacante) continúa sin
ser detectado. EMA puede necesitar una información privilegiada, pero podría ser
revelado por la verificación, por ejemplo, la auditoría financiera podría revelar:
En el caso 7, el atacante no quería que la contaminación para ser
detectados antes de que se consume, por lo tanto el contaminante tenía
que ser una toxina efectiva con poco efecto sobre la palatabilidad de la
• compras que son inexplicable por recetas, tales como colorantes Sudán, que comida.
no tienen lugar en la fabricación de especias; o
La motivación en caso 8 era publicidad. La opinión pública habría estado en
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• diferencias entre las cantidades vendidas y las cantidades compradas, contra de los atacantes si el daño había sido causado a los miembros del

tales como carne picada y carne bovina vendido comprados, la carne de público, pero el proveedor no podía correr ese riesgo.

caballo para compensar la diferencia.

Los materiales que podrían ser utilizados por un atacante obtener publicidad, o para
extorsionar dinero, se encuentran con más facilidad que las que se necesitan para
causar daño generalizado. El caso de alergenos (véase el caso 9) muestra el daño,
3,3 contaminación malicioso
el impacto y costo que pueda ser causado a un negocio con poco riesgo para el
caso 6 atacante.

En 2005, una de las principales panadería británica informó de que varios clientes
habían encontrado fragmentos de vidrio y agujas de coser en el interior del envoltorio
de los panes. 10) es más probable que cause daño a la salud de un ataque a cultivos o
ingredientes primarios contaminación cerca de punto de consumo o
venta, como en el caso 7, (aguas abajo en la Figura 1).
caso 7

En 1984, la secta Rajneeshee en Oregon trató de afectar el resultado de una

elección local por contaminación de los alimentos en diez barras de ensaladas
diferentes, lo que resulta en 751 personas afectadas por intoxicación por
3.4 La extorsión
salmonela. 11)

caso 10
caso 8 En 1990, un ex oficial de policía fue condenado por extorsión después de la

En 2013, un proveedor importante refrescos se vio obligado a retirar producto contaminación de los alimentos para niños con el vidrio y exigiendo dinero
por parte del fabricante multinacional. 12)
de un mercado clave cuando se envió una botella que había tenido su
contenido reemplazados con ácido mineral. Los atacantes incluyen una nota
que indica
caso 11
9) Para más información sobre adulterantes ver la base de datos de la Farmacopea de los En 2008, un hombre fue encarcelado en Gran Bretaña después de haber sido condenado

Estados Unidos Versión Convención fraude alimentario por amenazar con bombardear un gran supermercado y contaminar sus productos. 13)

2.0 en: http://www.foodfraud.org/#/food-fraud-databaseversion-20 [11].

10) Para más detalles sobre este caso de contaminación intencionada ver el archivo
Food Standards Agency en: http: // webarchive.
nationalarchives.gov.uk/20120206100416/http://food.gov.uk/ noticias / Archivo de 12) Para más detalles sobre este caso alimentos manipulación ver la publicación Q

Noticias / 2006 / dic / Kingsmill [12]. Food en: http://www.qfood.eu/2014/03/1989-glassin-baby-food/ [14].

11) Para más información, véase la publicación American Medical Association,

un brote en la comunidad grande de salmonelosis causada por la 13) Para más detalles sobre este caso de extorsión ver el artículo de The Guardian en:

contaminación deliberada de Bares restaurante ensalada [13]. http://www.theguardian.com/uk/2008/jan/28/ukcrime [15].

© The British Standards Institution 2017 5

 PAS 96: 2017

La motivación de extorsión por parte de un individuo o grupo es financiera, 3.6 La falsificación

para obtener dinero de la organización víctima. Dicha actividad es atractivo
para la mente criminal cuando el producto, como alimentos para bebés (véase caso 14
el caso 10), es sensible o cuando una empresa se ve tan rico (véase el caso En 2013, los agentes del orden incautaron 9 000 botellas de vodka falso
de Glen de una fábrica ilegal. dieciséis)
11).

caso 15
Un pequeño número de muestras se puede utilizar para mostrar la empresa
En 2011, 340 botellas de una famosa marca australiana de vino fueron
que el atacante tiene la capacidad y es suficiente para causar preocupación
capturados, tras las quejas de mala calidad para el propietario, que no tenía
pública y el interés de los medios.
ningún vínculo con Australia. 17)

La motivación para la falsificación es el beneficio económico, por el fraude de imitación

3.5 El espionaje
fraudulenta bienes inferiores como las marcas establecidas y de buena reputación.

caso 12 Tanto el crimen organizado y de la pequeña empresa puede causar pérdidas

financieras y daños a su reputación. El primero, por ejemplo, puede utilizar las
Una consultora de negocios utiliza el robo de la propiedad intelectual
tecnologías de impresión sofisticados para producir etiquetas de los productos que
de un producto de aperitivo innovadora ficticia como un ejemplo de
espionaje comercial. 14) son indistinguibles de los auténticos. Este último puede robar paquetes auténticos o
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

incluso rellenar recipientes de un solo uso para la reventa.

caso 13

En julio de 2014, Reuters informó que una mujer fue acusado en los
EE.UU., con el intento de robar patentado Los criminales organizados pueden tratar de imitar el contenido de los alimentos de cerca para
la tecnología de semillas de Estados Unidos como parte de un plan para el contrabando de tipos retrasar la detección e investigación. delincuentes de poca monta pueden ser tentados por una
de maíz especializada para su uso en China. 15)
'ganancia rápida' y estar menos preocupados en la seguridad de los alimentos.

La principal motivación de espionaje es para los competidores que desean obtener una

ventaja comercial para acceder a la propiedad intelectual. Pueden infiltrarse en el uso de

información privilegiada para informar, o pueden atacar de forma remota a través de los

sistemas de tecnología de la información. Por otra parte, las organizaciones pueden tratar

de atraer a los ejecutivos para revelar información confidencial o utilizar la grabación

encubierta para capturar este tipo de material, o pueden simplemente robar el material, tal

como sugiere el caso 13.

14) Para más información sobre este caso ficticio está disponible de Murray
Associates en: https: // contraespionaje.
worldsecuresystems.com/tscm-the-missing-business-schoolcourse.html [16]. dieciséis) ) Para más información sobre este ejemplo de la falsificación ver:

http://thecounterfeitreport.com/product/322/ [18].
15) Para obtener más información, visite: http://www.grainews.ca/daily/ chino-mujer 17)Para más información sobre este caso de la falsificación ver
detenida-en-trama-nos-maíz-tecnología-robar--[17]. http://www.news.com.au/finance/offshore-raids-turn-up-fakeaussie-jacobs-creek-wines/story-e6frfm1i-122602
[19].

6 © The British Standards Institution 2017

 PAS 96: 2017

3.7 La ciberdelincuencia caso 19

En 2016 el Departamento de Agricultura de Estados Unidos FBI y alertó a los

caso 16 agricultores a su creciente vulnerabilidad a ataques cibernéticos a través de su uso
En 2014, el fraude financiero Acción del Reino Unido aconseja gerentes de de la tecnología de agricultura de precisión. 22)
restaurantes que estar alerta ya que los estafadores están tratando de apuntar a
sus clientes de una nueva estafa telefónica. Llamar por teléfono a los restaurantes
afirman que hay un problema con su sistema de pagos con tarjeta, el restaurante Tal ataque podría ser cibernético permitido el espionaje industrial, o la
se le dijo a redirigir el pago con tarjeta a un número de teléfono proporcionado por piratería - el acceso no autorizado a sistemas informáticos, tal vez con
el estafador. 18) intención maliciosa.

caso 20
tecnologías de la información y las comunicaciones modernas ofrecen nuevas
En 2016 un gran supermercado descubrió que las escalas en sus autoservicio
oportunidades y rápido aumento de negligencia. En caso de que el
registro de salida habían sido corrompidos para permitir denegación de servicio
defraudador 16 utiliza la ingeniería social para tratar de defraudar a los
distribuido (DDoS) en los sitios web públicos.
negocios y consumidores. Es común que el atacante para tratar de explotar la
ignorancia individual de las tecnologías involucradas. El fraude en este caso es
'ciber-enabled', que es una estafa conocida facilitada por las comunicaciones
DDoS puede ser una verdadera molestia para las empresas, y dar lugar a pérdidas
electrónicas. En total, en Inglaterra y Gales para el año hasta septiembre de
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

reales cuando el sitio de la compañía es una plataforma de comercio importante. El

2016, la Oficina Nacional de Estadísticas informó alrededor de 3,6 millones
'Internet de las cosas' (IO) se vuelve más y más importante; Informe sobre las
fraudes y casi 2 millones de casos de abuso de la informática. 19)
amenazas conjunta NCSC / NCA 23) expone la vulnerabilidad de los dispositivos
conectados a Internet (aparentemente inocuos) y su mal uso por parte de
delincuentes.

caso 17 El robo de identidad es quizás más familiar para el público, pero las
En 2016, los informes sugirieron que los delincuentes habían hackeado cuentas organizaciones puede ser consciente de que su identidad sea robada para permitir
Deliveroo para pedir comida en las tarjetas de las víctimas. 20) fraude en las adquisiciones, en el que los bienes están ordenados en su nombre,
pero desvían a los locales defraudadores dejando el proveedor engañado y el

caso 18 comprador para llevar el coste supone y el litigio.

En 2015, con sede en Michigan Biggby café reportó una violación de base de
datos con el posible robo de información de los clientes derivados de las
aplicaciones de tarjetas de fidelidad. 21)

El fraude en ambos casos 17 y 18 podría llevarse a cabo de forma

remota a través de Internet con pocas posibilidades de detección y la
justicia para el autor.

18) Para más información sobre este restaurante fraude

https://www.financialfraudaction.org.uk/news/2014/08/13/ ver la estafa de

alerta-restaurantes-y-comensales orientada-en-nueva-estafa / [20].

19)ONS Conjunto de datos: El crimen en Inglaterra y Gales: tablas experimentales: Tabla
E1: El fraude y el mal uso del ordenador por la pérdida (de dinero o bienes) - número y
la tasa de incidentes y el número y porcentaje de víctimas de https://www.ons.gov. uk /
peoplepopulationandcommunity / crimeandjustice / conjuntos de datos /
crimeinenglandandwalesexperimentaltables [21].
22) La industria privada PIN Notificación 160331-001 Smart Farming Puede aumentar
20) Para más información ver: https: // negocio-reportero. cibernético se dirigen específicamente al sector de la agricultura y Alimentos de EE.UU.

co.uk/2016/11/23/cyber-criminals-use-hacked-deliverooaccounts-order-food-victims-cards/
https://info.publicintelligence.net/FBISmartFarmHacking.pdf ver [24].

[22].
21) Para más información, véase: http: //www.canadianbusiness. com / negocio-noticias / con 23) La amenaza cibernética a Reino Unido Empresas en https://www.ncsc.gov. uk / noticias /

sede en Michigan-Biggby-café-reportsdatabase-brecha-posible-robo-de-cliente la información NCSC-y-NCA-amenaza-informe-provee de profundidad analysisevolving-amenaza [25].

[23].

© The British Standards Institution 2017 7

 PAS 96: 2017

4 Comprender el atacante

4.1 Generalidades clientes o auditores, o de muestreo ad hoc para el análisis pueden disuadir a
sus acciones.
El éxito de un ataque deliberado a la comida o el suministro de alimentos
depende de varias cosas:
Un proveedor que no pueden correr el riesgo de falta de entrega a un
una) ¿El atacante tiene la motivación y la unidad cliente puede correr el riesgo de que no se detectó la adulteración de vez
para superar los bloques obvias y menos obvias a sus acciones? en cuando. El éxito en una ocasión puede que sea más fácil para intentar
Si los bloques parecen masiva y parece poco probable éxito, una repetición. Este oportunista puede convencerse de que la
muchos posibles atacantes buscarían un blanco más fácil. adulteración es legítimo, por ejemplo, el pollo en una salchicha de cerdo
seguiría siendo carne.

segundo) ¿El atacante tiene la capacidad para llevar

a cabo el ataque? Un grupo es más probable encontrar los recursos y
aprender las habilidades necesarias.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

do) ¿El atacante tiene la oportunidad de llevar a cabo

4.4 El extremista
¿el ataque? Un ataque físico necesita acceso físico al objetivo, sino un El extremista lleva su causa o campaña tan en serio que distorsionan su
ataque cibernético que sólo necesite acceso a una computadora. contexto y pasar por alto cuestiones más amplias. La dedicación a su causa
puede no tener límites y su determinación para el progreso que puede ser
re) Sería el atacante ser disuadido por la posibilidad de grande.
detección y / o las sanciones potenciales?
Extremistas lo desea, puede causar daño y son propensos a disfrutar de la publicidad
después del evento. Puede que no importa, y puede ser una ventaja, si ellos mismos

4.2 El extortionist se vean perjudicados. El riesgo de fracaso es un impedimento, pero el riesgo de

captura después de que el evento no es. Por lo general son ingeniosos e innovadores
El extorsionista quiere obtener beneficios financieros de un ataque, pero no
en la elaboración de formas de atacar.
quiere ser atrapado, y se concentra en evitar la detección. Su objetivo es más
probable que sea un negocio de alto perfil con mucho que perder de publicidad
negativa. Pueden trabajar solos y ser ingeniosos, reservado e interesada. Los Algunos grupos temáticos individuales pueden querer interrumpir las operaciones
ataques cibernéticos en todo el mundo a través de 'ransomware' han de negocio y reputación, sino que temer un daño masivo para el público podría
demostrado tanto la facilidad con extorsionadores ahora pueden atacar a dañar su causa y conducirlos a perder apoyo.
múltiples víctimas y lo difícil que es para llevarlos ante la justicia. 24) Algunos
individuos pueden afirmar que son capaces de tomar medidas contra un
negocio, mientras que carecen de la capacidad para llevarlo a cabo; la empresa
puede juzgar la reclamación como no es creíble, pero todavía decidir responder
4.5 El individuo irracional
de manera apropiada.
Algunas personas no tienen ningún motivo racional para sus acciones. Sus
prioridades y preocupaciones se han distorsionado por lo que no son capaces de
tener una visión equilibrada del mundo. Algunos pueden haber diagnosticado
clínicamente problemas de salud mental.

4.3 El oportunista
Este individuo puede ser disuadido fácilmente mediante sencillos pasos
El oportunista puede mantener una posición influyente dentro de una operación que les impiden acceder a su objetivo o hacer una fácil detección.
para ser capaz de evadir los controles internos. Pueden tener algunos
conocimientos técnicos, pero su principal activo es el acceso. Es probable que se
desanime por la posibilidad de detección, por lo que las visitas no anunciadas por

24) Para más información ver la amenaza cibernética a Reino Unido Empresas, pg 7

disponibles en: https://www.ncsc.gov.uk/news/

NCSC-y-NCA-amenaza-informe-proporciona profundidad-análisis-evolvingthreat [25] .

8 © The British Standards Institution 2017

 PAS 96: 2017

4.6 El individuo contrariedad Tradicionalmente, este tipo de atacante tiene información y experiencia en tecnología de

comunicaciones que pueden causar daño comercial. Sin embargo, como se advirtió en el
El individuo descontento cree que una organización ha sido injusto con
Reino Unido Conjunto NCSC / NCA informe sobre las amenazas [25], “Las líneas entre
ellos y busca venganza. Por ejemplo, pueden ser un empleado agraviado
esos ataques que cometen siguen a desdibujarse, con grupos delictivos imitando estados
o ex empleado, proveedor o cliente. Pueden tener un conocimiento
...... y actores más avanzados que utilizan con éxito fuera de la plataforma '' software
experto de la operación y acceder a ella.
malicioso para lanzar ataques “. 25) Esto puede suponer una amenaza creciente para la

seguridad alimentaria a medida que aumenta la actividad de Internet.

Este atacante es probable que sea un individuo y no como parte de un grupo. Si una
información privilegiada, que podrían ser peligrosos, pero son más propensos a
querer causar vergüenza y pérdida financiera que daño al público. Si no es una
información privilegiada, este individuo es más probable que reclamar o presumir de
4.8 El profesional del crimen
haber hecho algo que realmente ser capaz de hacerlo.
El crimen organizado se puede ver el fraude alimentario como un delito relativamente
simple, con grandes ganancias en perspectiva, pocas posibilidades de aprehensión, y
sanciones modestas si es condenado. El comercio mundial de alimentos en los que se

4.7 Los delincuentes cibernéticos y otros agentes maliciosos mueven los materiales de alimentos, a menudo con poca antelación, a través de las
fronteras de la zona de aplicación parece alentar el criminal profesional. El anonimato de
digitales
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Internet y la posibilidad de intrusión en los sistemas electrónicos a distancia hace que la

Los delincuentes cibernéticos apuntan a subvertir los controles sobre los sistemas de delincuencia informática cada vez más atractivo para los criminales profesionales.
información y de las comunicaciones informatizadas con el fin de evitar que trabajar
con eficacia, a robar o dañar los datos que desempeñen, y / o para interrumpir
negocio en Internet. Su motivación puede ser criminal o incluso política, pero también
puede ser de demostrar su experiencia y capacidad para vencer a cualquier sistema Pueden ser disuadidos por una estrecha colaboración entre las operaciones de
de protección diseñado para detenerlos. alimentos y autoridades nacionales e internacionales de policía.

25) NCSC y NCA La cibernética amenaza a Reino Unido Empresas disponible en:

https://www.ncsc.gov.uk/news/ncsc-and-nca-threatreport-provides-depth-analysis-evolving-threat

[25].

© The British Standards Institution 2017 9

 PAS 96: 2017

5 Evaluación de la Amenaza Puntos Críticos de Control (TACCP)

5.1 temas generales 5,2 TACCP proceso

TACCP debe ser utilizado por las empresas alimentarias como parte de sus procesos más En la mayoría de los casos TACCP debe ser una actividad de equipo, ya que es la
amplios de gestión de riesgos, o como una forma de comenzar a evaluar los riesgos de mejor manera de llevar habilidades, especialmente las habilidades de gestión de
forma sistemática. personas, juntos. Para muchas pequeñas empresas el trabajo en equipo no es factible y
que puede ser el trabajo de una persona. El equipo TACCP puede y debe modificar el
TACCP tiene como objetivos: proceso TACCP para satisfacer mejor sus necesidades y adaptarlo a otras amenazas

• reducir la probabilidad (probabilidad) de un ataque deliberado; como sea necesario para hacer frente a cuatro preguntas subrayando:

• reducir las consecuencias (impacto) de un ataque;

• proteger la reputación de la organización;

una) Que quieran atacarnos?
• tranquilizar a los clientes, prensa y al público que son medidas
segundo) ¿Cómo podrían hacerlo?
proporcionadas en el lugar para proteger los alimentos;
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

do) ¿Dónde estamos vulnerables?

• satisfacer las expectativas internacionales y apoyar el trabajo de los
socios comerciales; y re) ¿Cómo podemos detenerlos?

• demuestran que se toman las precauciones razonables y la debida diligencia

El diagrama de flujo (véase la Figura 2) se describe el proceso TACCP y se
se ejerce en la protección de los alimentos.
centra en la adulteración deliberada y contaminación. Para más información
sobre cada elemento del proceso TACCP expuesta en la Figura 2 se da en
por, en términos generales:
la lista numerada correspondiente [véase 5.2, 1) - 5.2, 15)].
• identificar las amenazas específicas a los negocios de la empresa;

• evaluar la probabilidad de un ataque al considerar la motivación del

atacante prospectivo, la vulnerabilidad del proceso, la oportunidad y la
capacidad que tienen de llevar a cabo el ataque y la certeza de la
información en la que se basa la evaluación;

• evaluar el impacto potencial teniendo en cuenta las

consecuencias de un ataque con éxito;

• juzgar la prioridad que debe darse a diferentes amenazas mediante la

comparación de su probabilidad e impacto;

• priorización de las amenazas basadas en el riesgo, y comunicar una priorización tales

través de los socios comerciales para la aceptación de riesgo compartido;

• decidir sobre los controles necesarios y proporcionados para desalentar

el atacante y dar notificación temprana de un ataque; y

• el mantenimiento de los sistemas de información y de inteligencia para permitir la

revisión de las prioridades.

profesionales del sector de alimentos desea reducir al mínimo las posibilidades de pérdida de

la vida, la mala salud, pérdidas financieras y daños a la reputación de la empresa de que un

ataque podría causar.

TACCP no puede dejar de individuos u organizaciones que afirman que han

contaminado los alimentos, pero puede ayudar a juzgar si esa afirmación es
probable que sea cierto. Dicha reclamación, si se juzga sea creíble, y cualquier
incidente real debe ser tratada como una crisis. La organización tiene que tomar
medidas para mantener las operaciones en funcionamiento e informar a los
involucrados.

10 © The British Standards Institution 2017

 PAS 96: 2017

Figura 2 - Esquema proceso TACCP

Forma horizonte de 15 monitor 14 Revisión y 13 Decidir y poner en

equipo exploraciones y los revisar práctica necesaria

TACCP riesgos emergentes controles

1 Evaluar la nueva 11 Probabilidad v 12 Identificar que

información Impacto • Prioridad podría llevar a
fuera

10 Determinar si los 9 Identificar que los puntos de

procedimientos de control suministro están

organización detectará la amenaza más crítico

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

amenazas a
y evaluar las
operación 2 Identificar
las amenazas a la
3 Identificar y evaluar

8 Considere impacto
de las amenazas
4 Decidir
identificadas
Producto - Sistema

Seleccionar producto

5 Identificar y evaluar 6 diagrama de flujo Devise 7 Identificar al personal clave

las amenazas a de la cadena de y vulnerable

producto suministro de productos puntos

NOTA 1 Un enfoque alternativo es el riesgo CARVER + choque que se describe en el Anexo C.

NOTA 2 La figura 2 está destinado a ser una ilustración únicamente indicativo.

Un equipo TACCP de pie debe estar formado, lo que podría incluir a las • comunicaciones; y
personas con la siguiente experiencia: • comercial / marketing.
• seguridad; NOTA 1 El equipo puede incluir representantes de proveedores y
• recursos humanos; clientes clave.
• tecnología de los Alimentos; NOTA 2 Para una organización pequeña puede tener una persona para cubrir todas

• Ingeniería de Procesos; estas funciones.

• producción y operaciones; NOTA 3 Mientras que el equipo de HACCP puede proporcionar un punto de partida
adecuado, el equipo de la continuidad del negocio podría ser un mejor modelo. El
• compras y adquisiciones;
equipo TACCP es típicamente un grupo establecido y permanente capaz de revisar
• distribución y logística; continuamente sus decisiones.
• tecnologías de la información;

© The British Standards Institution 2017 11

 PAS 96: 2017

Dado que el proceso TACCP puede cubrir el material sensible y podría ser 10) evaluar la probabilidad de procedimientos de control de rutina
de ayuda para un atacante potencial, todos los miembros del equipo no la detección de una amenaza;

sólo deben tener conocimiento de los procesos reales, sino también NOTA 7 Por ejemplo, el análisis de rutina de laboratorio podría
confiable, discreta y consciente de las implicaciones del proceso. detectar agua añadida o grasas y aceites inusuales; gestión eficaz de
la compra sería desafiar las órdenes de compra inusuales.

El equipo TACCP debe:

11) anotar la probabilidad de la amenaza sucediendo, partitura
1) evaluar toda la información nueva que ha llegado a su el impacto que tendría, y trazar los resultados para mostrar la
atención; prioridad que debe darse (véase 6.3), y revisar si esta evaluación
2) identificar a los individuos y / o grupos que pueden ser una de riesgos parece mal;
amenaza para la organización y sus sistemas, especialmente los
NOTA 8 Se puede necesitar un poco de pensamiento lateral. El equipo
sistemas electrónicos, y evaluar su motivación, capacidad y
TACCP podría preguntar, “Si estábamos tratando de socavar nuestro
determinación;
negocio, lo que sería la mejor manera?” Se puede considerar cómo un
3) identificar a los individuos y / o grupos que pueden ser una amenaza para atacante selecciona materiales de ataque:
la operación específica (por ejemplo, locales, fábrica, sitio);

• ava ilability;
4) diferenciar las amenazas de productos de otras amenazas:
• costo;
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

una) en busca de amenazas no son del producto, vaya a la Cláusula 11;

• toxicidad;
segundo) en busca de amenazas de productos, seleccione un producto que es
• forma física; y / o
representante de un proceso particular;
• seguridad en el uso, por ejemplo pesticidas en las granjas y agredir he materiales
NOTA 4 Por ejemplo, un producto adecuado sería típico de una de sabor en las fábricas pueden ser contaminantes convenientes.
línea de producción particular y podría ser uno que es más
vulnerable.
12) donde la prioridad es alta, identificar quién tiene
5) identificar a los individuos y / o grupos que pueden querer orientar el
acceso no supervisado al producto o proceso y si son dignos de
producto específico;
confianza, y si esa confianza se pueden justificar;
6) dibujar un diagrama de flujo de proceso para el producto de
pero no limitado por, 'la granja al tenedor', incluyendo, por ejemplo, la
13) identificar, registrar de forma confidencial, de acuerdo y
preparación doméstica. El diagrama de flujo entero debe ser visible a la
poner en práctica medidas preventivas proporcional (controles
vez. Particular atención se debe prestar a partes menos transparentes
críticos). El equipo TACCP debe tener un reporte confidencial y
de la cadena de suministro que podría merecer un gráfico subsidiaria;
procedimiento de grabación que permite una acción de gestión de
decisiones, pero no expone los puntos débiles a los que no tienen
necesidad de conocer (ver estudios de caso en el anexo A);
7) identificar tanto los puntos vulnerables donde un atacante
podría esperanza de éxito y las personas que tendrían acceso 14) determinar los mecanismos de revisión y revisará la
a un examen de cada paso del proceso; la evaluación TACCP; y

NOTA 9 Revisión de la evaluación TACCP debería tener lugar después de

8) identificar las posibles amenazas apropiados para el producto en cada
cualquier alerta o al año, y en los puntos donde surgen nuevas amenazas
etapa y evaluar el impacto que el proceso puede tener en la mitigación de
o cuando hay cambios en las buenas prácticas.
las amenazas;

NOTA 5 adulterantes modelo incluyen bajo costo ingredientes alternativos a

15) mantener una vigilancia rutinaria de oficial y la industria
componentes de alta calidad; contaminantes modelo podría incluir agentes
publicaciones que dan una advertencia temprana de los cambios que pueden
altamente tóxicos, productos químicos industriales tóxicos, materiales
convertirse en nuevas amenazas o cambiar la prioridad de las amenazas existentes,
nocivos fácilmente disponibles y sustancias inapropiadas como alergenos o
incluyendo más temas locales a medida que desarrollan.
étnicamente productos alimenticios insanos.

NOTA 10 Un esbozo de algunos sistemas de información y de

NOTA 6 Por ejemplo, la limpieza puede eliminar el contaminante, el
inteligencia se da en el Anexo B.
tratamiento térmico puede destruirlo, y otros componentes de los
alimentos puede neutralizarla.

9) seleccionar los puntos del proceso donde la amenaza tendría el

mayor efecto, y en los que mejor podrían ser detectados;

12 © The British Standards Institution 2017

 PAS 96: 2017

6 Evaluación

NOTA Las siguientes listas no pretenden ser exhaustivas de todas las preguntas • Son materiales peligrosos, que podrían ser valiosos para grupos hostiles,
que se le puede pedir para evaluar una amenaza. almacenados en el sitio?

• Un gran número de personas (incluyendo el público en general)

utilizando la ubicación?

• ¿Alguno de los empleados tienen motivos para sentirse descontentos signos o

6.1 Evaluación de amenazas
mostrar la insatisfacción?

El producto, las instalaciones y la organización y sus sistemas de • Son mecanismos de auditoría interna independiente?
información puede ser objetivo de un ataque de una serie de grupos e
• Tienen un papel clave sido ocupadas por el personal durante muchos años con poca
individuos (véase el numeral 4),
supervisión?
y cada elemento debe evaluarse por separado. El equipo debe considerar
TACCP proveedores bajo tensión financiera, empleados alienados y ex
Para la organización:
empleados, grupos de un solo tema, competidores comerciales,
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• ¿Estamos bajo la propiedad extranjera de las naciones implicadas en el conflicto

organizaciones de medios de comunicación, organizaciones terroristas,
internacional?
criminales y grupos de presión locales.
• ¿Tenemos una celebridad o el director ejecutivo de alto perfil o
propietario?
Comúnmente, una cadena de suministro corta que implica un menor número de personas puede • ¿Tenemos una reputación de tener vínculos significativos, clientes,
ser menos riesgoso que una cadena de suministro más tiempo. proveedores, etc., con regiones inestables del mundo?

El equipo TACCP podría hacer las siguientes preguntas para evaluar una
• Nuestras marcas son objeto de controversia por algunos?
amenaza: Para el producto:
• Es lo que nuestros clientes o suministrar a los clientes de alto perfil o eventos?

• ¿Ha habido significativos aumentos de los costos que han afectado a este
• Es la organización que participan en el comercio de controversia?
producto?
• Han competidores comerciales sido acusados ​de espionaje o sabotaje?
• ¿Este producto tiene particular importancia religiosa, ética o moral
para algunas personas?

• Este producto podría ser utilizado como un ingrediente en una amplia gama de Para los sistemas de información:
alimentos populares?
• Qué charla medios sociales sugieren que podríamos ser el blanco de
• ¿El producto contiene ingredientes o de otro material de la intrusión digital?
origen del extranjero?
• Son nuestros Control de Supervisión y Adquisición de Datos (SCADA) y otros
• Se están convirtiendo en los principales materiales menos disponibles (por ejemplo, de la sistemas de control también es utilizado por otras organizaciones que podrían ser
pérdida de cosechas) o alternativas abundante (por ejemplo, de la sobreproducción)? los principales objetivos?

• ¿Ha habido aumentos inesperados o disminuciones en la demanda? El examen de las respuestas a estas preguntas puede dar una
comprensión de los efectos de un ataque exitoso y la probabilidad de
que tenga lugar. Esto informa a un juicio sobre el nivel proporcional de
• Son materiales de bajo coste sustitutos disponibles?
protección requerido.
• Ha aumentado la presión sobre los márgenes comerciales de los proveedores?

Para las instalaciones:

• Son los locales ubicados en una zona sensible política o 6.2 Identificación de vulnerabilidades
socialmente?
NOTA En esta sección EMA, la contaminación intencionada y ataque cibernético se
• Hacer el acceso a los locales de acciones o servicios clave con los vecinos
utilizan como ejemplos de enfoques para la evaluación de la vulnerabilidad.
controvertidos?

• Son nuevos reclutas, especialmente agencia y personal de temporada, apropiadamente

seleccionados?
6.2.1 Generalidades
• Son los servicios a los locales protegidos de manera adecuada?
Las distintas organizaciones tienen diferentes necesidades de negocio y
• Se utilidades externas adecuadamente protegidos? operan en diferentes contextos. El equipo TACCP puede juzgar cuál es el
enfoque y las preguntas son apropiadas y proporcionadas a las amenazas
que identifican.

© The British Standards Institution 2017 13

 PAS 96: 2017

6.2.2 adulteración Económicamente motivado (EMA) • ¿Alguno de los empleados tienen un resentimiento contra la

Una característica típica de EMA (ver 3.2) es la sustitución de un elemento de bajo organización?

coste en lugar de un coste relativamente alto componente / ingrediente. El equipo • El aburrimiento es el personal, la disciplina, el reclutamiento es un problema?

TACCP necesita estar alerta a la disponibilidad de tales alternativas. Un ejemplo

en el que esto puede ocurrir es cuando se afirma el valor añadido, 6.2.4 ataques cibernéticos

Las preguntas que el equipo TACCP puede hacer incluyen:

por ejemplo, orgánico, no-GM, cultivado localmente, gama libre o con
• Tiene la Junta aprobó el NCSC de 10 pasos a la seguridad cibernética [ 27]
denominación de origen protegida. El atacante es probable que tengan fácil
y establecido procedimientos apropiados? (Ver Anexo D)
acceso a los equivalentes de menor valor, que son casi indistinguibles.

• ¿Son todas las TI / SI proyectos objeto de una evaluación del riesgo de

NOTA Más orientación sobre fuentes de información e inteligencia sobre la
intrusión electrónica?
probabilidad de fraude alimentario se proporciona en el Anexo B.
• Son colegas probabilidades de tener en cuenta y reportar las comunicaciones

electrónicas sospechosas (por ejemplo, correos electrónicos, SMS)?

El equipo TACCP tiene que estar seguro de que sus propias operaciones y las de
sus proveedores están en manos de confianza. Esto se puede lograr mediante el
• Es un material altamente sensible a cabo el separada, soportar los sistemas
asesoramiento oficial sobre la seguridad personal. 26)
informáticos por sí solos?
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• Se utilizan contraseñas de forma segura, y de acuerdo con la orientación

NCSC? 27)
Las preguntas que el equipo TACCP podría hacer incluyen:
• Son las condiciones relacionadas con el manejo de las cuentas
• ¿Usted confía en gerentes y sus proveedores de sus proveedores
electrónicas cuando un miembro del personal se une, se mueve o deja el
gerentes?
empleo eficaz?
• Hacen los principales proveedores utilizan prácticas de seguridad personal?
• Son cualquier localidad enlaces Wi-Fi sin cifrar o accesibles por los usuarios
• ¿Los proveedores piensan que hacemos un seguimiento de su funcionamiento y externos?
analizar sus productos?
• Son de fabricación u otros sistemas operativos interconectados con los
• Que los proveedores no son auditados de forma rutinaria?
sistemas de tecnología de la información?
• Somos suministrada a través de las cadenas remotas, oscuros? • Son procesos permitido seguros de Internet? Por ejemplo, podría procesar
• ¿Cómo los proveedores disponen de cantidades excesivas de materiales de parámetros pueden cambiar sin la debida autorización? Podrían estar dañados
desecho? los registros basados ​en la nube?

• ¿Somos conscientes de accesos directos para el proceso que nos podría afectar? • Son los procedimientos de copia de seguridad de datos efectiva?

• Están operadores notificados y consciente de los cambios en la producción o

• Son nuestro personal y los de los proveedores invitados a reportar las preocupaciones (la de otra configuración de funcionamiento, por ejemplo, a formulaciones de
denuncia de irregularidades)? productos?

• Son registros de acreditación, los certificados de conformidad y analiza los • Se puede acceder de forma remota los sistemas de producción?

informes independientes? • Son sistemas de operaciones esenciales segregadas de la red

corporativa de la compañía y de la Internet?
6.2.3 contaminación malicioso • Es de origen externo (datos de correo electrónico, Internet o medios extraíbles)
Las preguntas que el equipo TACCP podría pedir tanto de sus propias verificado en busca de malware antes de ser importados?
operaciones y la de sus proveedores incluyen:

• Se realizan auditorías de seguridad alimentaria rigurosa y actualizada? • Hace acceso remoto a los sistemas de la empresa requiere autenticación de
• Son los procedimientos de seguridad personal en el uso? múltiples factores y es el punto de acceso limitado?

• ¿El acceso al producto restringido a aquellos con una necesidad de negocio?

• Hacer los sistemas informáticos esenciales han puesto a prueba, copias de seguridad fuera de

línea?
• Hacer recipientes de almacenamiento tienen de cierre antimanipulación?
• Son la continuidad del negocio y recuperación de desastres para los planes de TI y
• ¿Hay oportunidades para el acceso por parte de simpatizantes de los grupos
sistemas de producción en su lugar y efectiva?
individuales de emisión?

26) Para más información sobre la seguridad personal se puede encontrar en la página web

del IREC en http://www.cpni.gov.uk/advice/Personnelsecurity1/ [26]. 27) NCSC guía está disponible en: https://www.ncsc.gov.uk/ orientación /

contraseña-guía-simplificando-su-enfoque [28].

14 © The British Standards Institution 2017

 PAS 96: 2017

6.3 Evaluación del riesgo La probabilidad de que ocurra una amenaza puede ser juzgado por considerar:

Las organizaciones necesitan entender las amenazas que enfrentan, sino que
• si un atacante podría lograr sus objetivos si tiene éxito;
debe centrarse la atención en los más prioritarios. Para cada amenaza
identificada equipo TACCP considera y da una puntuación de la probabilidad
de cada amenaza y pasando por su impacto (ver Tabla 1). • si un atacante podría tener acceso al producto o proceso;

• si un atacante sería disuadido por las medidas de protección;

tabla 1 - La evaluación de riesgos de puntuación

• si un atacante preferiría otros objetivos; y

Probabilidad de amenaza Puntuación Impacto
• si un ataque se detecta antes de que tuviera ningún impacto.
sucediendo

Muy alta probabilidad 5 Catastrófico

El impacto podría ser evaluado en términos financieros como en términos de la
antigüedad del personal necesario para tratar con él.
Tienen muchas posibilidades 4 Mayor

algunos oportunidad 3 Significativo La puntuación de riesgo presentado por cada amenaza se puede mostrar en un gráfico

simple. Una matriz de puntuación de riesgo ejemplo se presenta en la Figura 3.

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Puede pasar 2 Algunos

Poco probable que suceda 1 Menor

NOTA 1 Este es un ejemplo matriz de puntuación, las organizaciones pueden elegir

informes 6.4 TACCP
su propio esquema de clasificación. Cuatro estudios de casos ficticios que muestran cómo el proceso TACCP puede ser

NOTA 2 Probabilidad de que suceda una amenaza podría ser juzgado, por aplicado y adaptado para satisfacer mejor las necesidades de una empresa

ejemplo, durante un período de 5 años. individual se dan en el Anexo A. Se presentan como los registros formales de la
investigación TACCP y pueden ser utilizados para demostrar que el negocio ha
NOTA 3 Impacto podría considerar la muerte o lesiones, costo, daño a la
tomado todas las medidas razonables precauciones que deben ser víctimas de un
reputación y / o la percepción del público y los medios de comunicación de estas
ataque.
consecuencias.

figura 3 - matriz de puntuación de riesgo

5 Una amenaza

4 amenaza C
Impacto

3 amenaza B

2 amenaza E

1 amenaza D

1 2 3 4 5

Probabilidad

Riesgo muy alto Una amenaza

Alto riesgo amenaza B

Riesgo moderado amenaza C

Riesgo bajo amenaza D

riesgo insignificante amenaza E

NOTA Esta es una matriz de puntuación de riesgo ejemplo, las organizaciones pueden elegir diferentes criterios para las diferentes categorías de riesgo.

© The British Standards Institution 2017 15

 PAS 96: 2017

7 controles críticos

NOTA Tablas 2, 3 y 4 no están destinados a ser exhaustiva de todos El acceso a las personas ¿Pertinente?
los controles que pueden ser considerados relevantes o proporcional a ¿Proporcionado?
reducir un riesgo.
12 control de acceso Chip y PIN

13 Los vestuarios, separada

7.1 Control de Acceso
ropa personal de ropa de trabajo
Si un atacante potencial no tiene acceso a su objetivo, luego de que el ataque no
puede tener lugar. No es posible o deseable para evitar cualquier acceso, pero
las medidas físicas puede limitar el acceso a ciertos individuos y los que tienen El acceso a los sistemas electrónicos ¿Pertinente?

una necesidad legítima. Algunos enfoques para la reducción del riesgo de que el ¿Proporcionado?

equipo TACCP pueda considerar que son proporcionadas y relevante para su

14 El control de rutina y
negocio se enumeran en la Tabla 2.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

aplicación de las directrices

NCSC [28]

15 Las pruebas de penetración por

Tabla 2 - Enfoques para la reducción del riesgo
profesionales externos

Acceso a los locales ¿Pertinente? dieciséis entrenamiento de rutina en cibernética

¿Proporcionado? principios de seguridad (por ejemplo cibernético

esenciales [29] o BS ISO 27000 series)

1 El acceso a las personas en viaje de negocios

solamente

Control de visitantes ¿Pertinente?

2 estacionamiento de vehículos fuera del
¿Proporcionado?
perímetro

17 Solo por cita

3 Locales dividido en zonas para restringir el

acceso a las personas con una necesidad de 18 Prueba de identidad requiere

negocio
19 acompañado a lo largo
4 cerco perimetral visible e integral
20 La identificación positiva del personal
y visitantes
5 sistema de alarma perimétrica
21 monitoreo CCTV / grabación
6 CCTV monitoreo / grabación de las áreas de sensibles
vulnerabilidades del perímetro
Otros aspectos ¿Pertinente?
El acceso a los vehículos ¿Pertinente? ¿Proporcionado?
¿Proporcionado?
22 manejo seguro del correo
7 puntos de acceso monitoreados
23 Restricciones sobre portátil
8 vías de acceso trafficcalmed equipos electrónicos y la
cámara

9 entregas programadas 24 Limitaciones en el acceso a

los servicios de red
10 documentación comprobado
antes de su ingreso

11 entregas perdidas investigados

dieciséis © The British Standards Institution 2017

 PAS 96: 2017

7.2 Detección de manipulación NOTA Otras orientaciones sobre la seguridad personal y la población se
encuentra disponible en: http://www.cpni.gov.uk/ consejos / Personal-seguridad1 /
almacenamiento mucho materia prima, algunos de almacenamiento del producto, la mayoría de los
[26]. En particular, las empresas alimentarias pueden hacer uso de la publicación
vehículos de distribución y todos los alimentos envasados ​pueden ser a prueba de manipulación.
del IREC, Gestión Integral del Riesgo Empleado (Homer) [30].
En caso de que un atacante obtener acceso, da evidencia de manipulación alguna posibilidad de

que el ataque se puede detectar a tiempo para evitar el impacto.

Tabla 4 - Personal de Seguridad

Algunas aproximaciones a los aspectos de evidencia de manipulación que el
equipo TACCP puede sentir son proporcionadas y relevante para su negocio se Las comprobaciones previas de empleo ¿Pertinente?

enumeran en la Tabla 3. ¿Proporcionado?

1 Prueba de identidad
Tabla 3 - Alterar evidencia
2 La prueba de las cualificaciones

La detección de manipulación ¿Pertinente?

¿Proporcionado? 3 La verificación de los contratistas

1 sellos numerados en silos de 4 papeles más sensibles

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

almacenamiento a granel identificado con el reclutamiento

adecuado
2 sellos numerados en tiendas de etiquetas y
paquetes etiquetados En curso de seguridad personal ¿Pertinente?

¿Proporcionado?
3 sellos eficaces en los paquetes de venta al por menor
5 El personal de papeles críticos
4 sellos numerados en motivado y supervisado
materiales peligrosos
6 la denuncia de irregularidades

5 Cerrar el control de existencias de materiales arreglos

clave
7 El personal temporal supervisado
6 De grabación de los números de precinto en los

vehículos de reparto 8 Las personas capaces de trabajar solo

7 nombres de usuario y contraseñas

seguras para el acceso electrónico 9 cultura de seguridad favorable 28)

Fin de acuerdos contractuales ¿Pertinente?

8 La comunicación de acceso no autorizado de los ¿Proporcionado?

sistemas cibernéticos
10 tarjetas y claves de acceso e ID
recuperado

7.3 Asegurar la seguridad personal 11 Las cuentas de equipo o cerrados

suspendido
orientación al personal de seguridad se utiliza para mitigar las amenazas internas
a la organización. Sus principios también pueden ser utilizados por las empresas
12 entrevista de despido
alimentarias para juzgar si el personal clave dentro de las organizaciones
evalúa las implicaciones de seguridad
proveedoras de bienes y servicios se puede confiar para cumplir con las
especificaciones y procedimientos, y para trabajar en el mejor interés de ambos
el proveedor y el cliente. Algunos enfoques de la seguridad personal, asegurando
que el equipo TACCP pueda considerar que son proporcionadas y relevante para
su negocio se enumeran en la Tabla 4.

28) Para más información sobre la cultura de seguridad está disponible a partir de: IREC en

https://www.cpni.gov.uk/developing-security-culture [31].

© The British Standards Institution 2017 17

 PAS 96: 2017

8 Respuesta a un incidente

8.1 Gestión de una crisis de protección de los alimentos En general, el mejor momento para aprender cómo gestionar una crisis no está en la
crisis, planificación de forma avanzada y ensayo de los procedimientos es esencial.

protección de los alimentos y los procedimientos de defensa tienen por objeto reducir el

riesgo de un ataque, pero no puede eliminarlo, por lo que la respuesta a emergencias y

protocolos de continuidad de negocio son esenciales.

8.2 Gestión de un ciberataque
La velocidad de respuesta puede influir en gran medida el daño causado por un

protección de los alimentos puede sentarse dentro de un sistema de gestión de crisis ataque cibernético por lo que el mantenimiento de la conciencia colega puede ser

de negocios (véase BS 11200), y es probable que compartan sus objetivos generales: crucial. La complejidad y variedad de ataques pueden ser tan grandes que la
selección de un contratista especializado (por adelantado del incidente) puede
beneficiar a muchas organizaciones.
• para reducir al mínimo los daños físicos y financieros a los consumidores,
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

clientes, empleados y otros;

• colaborar con las autoridades de investigación y ejecución (por ejemplo, la Unidad

Pensamientos acerca de la respuesta a incidentes cibernéticos están disponibles de
Nacional de Alimentación del crimen en el Reino Unido);
CREST (Consejo de Ética registrada Auditores de Seguridad) [32]. El apoyo también

• para ganar apoyo público para la organización; puede estar disponible en calidad de miembro de la seguridad cibernética Asociación de

• para reducir al mínimo el costo - financiera, la reputación y el personal Intercambio de Información (CISP) [33].

- del incidente;

• para prevenir la re-ocurrencia; y

• para identificar a los delincuentes.

8.3 La planificación de contingencia para la recuperación de los
ataques
Donde la contaminación es implícita, cuarentena y tal vez retirada y
recuperación de producto podría esperarse. principios de gestión de continuidad de negocio dan buena resistencia a
reaccionar y recuperarse de un ataque. Consejos sobre la mejor manera de
En los casos que implican la acción penal, policías de las unidades de delitos desarrollar y poner en práctica la recuperación de su organización en respuesta
graves deben participar en la primera oportunidad para evitar cualquier a un incidente perturbador se proporciona en BS ISO 22313.
pérdida de pruebas.

NOTA Algunos ejemplos de los contactos con la policía son la Agencia

Nacional del crimen y la unidad antisecuestro y extorsión; otros también se
proporcionan en el Anexo B.

18 © The British Standards Institution 2017

 PAS 96: 2017

9 Examen de las disposiciones de protección de alimentos

Todos los cambios que podrían afectar a la evaluación TACCP, tales como las Un informe conciso de la revisión debe tener solamente una circulación limitada.
infracciones y posibles infracciones de seguridad o autenticidad, debe ser
reportado inmediatamente a la líder del equipo TACCP que decide si se necesita
una revisión completa. El equipo TACCP debe revisar periódicamente las disposiciones de protección de
alimentos en línea con otras políticas de la empresa.

El equipo TACCP debe supervisar los sitios web oficiales de actualizaciones en las NOTA El informe TACCP y cualquier documento de revisión son
evaluaciones nacionales de amenazas y de información sobre los riesgos comercialmente sensible y confidencial. Fiables altos directivos con una
emergentes (véase el anexo B). La situación local puede ser revisada con 'necesidad de saber' y los agentes requieren acceso. Las organizaciones
frecuencia y brevemente contra los cambios en las condiciones relativas a los pueden considerar publicación de una descripción genérica para uso
locales. interno y / o para presentar a los auditores externos. Dicha visión evita
detalle que podría ser de valor para un atacante. Los auditores externos
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

deben respetar la naturaleza sensible del proceso TACCP.

© The British Standards Institution 2017 19

 PAS 96: 2017

Anexo A casos de estudio

(informativo) TACCP

NOTA Estos estudios de casos son completamente ficticios y cualquier parecido con • el Jefe de Auditoría Interna tiene la responsabilidad delegada para
las organizaciones reales es pura coincidencia. la seguridad y prevención de fraude;

• el equipo TACCP también recibió contribuciones de otros

administradores en temas especializados; y
A.1 Generalidades
• este estudio de caso hace uso de la información en el informe de experto grupo
En este anexo se presenta cuatro estudios de casos para ilustrar cómo el asesor: Las lecciones que pueden aprenderse de la carne de caballo incidente
proceso TACCP se puede adaptar, operado y reportado por diferentes 2013 [34].
organizaciones para reflejar su situación de negocios. Se escriben como
registros formales de la evaluación de riesgos y no intentan cualquier
contexto documentación de la empresa.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Un estudio de caso es una cadena nacional de comida rápida, y el estudio de caso B es

una pequeña empresa con un propietario / gerente que se encarga de todos los

asuntos estratégicos y operativos personalmente.

Estudio de caso C y D estudio de caso se pretende poner de relieve los problemas de seguridad

cibernética que se enfrentan las empresas alimentarias innovadoras. Estudio de caso C es una

iniciativa de alimentos por un Internet establecida, pero no a los alimentos, operador. Estudio de

caso D es una empresa profesional de alimentos con el objetivo de aprovechar las oportunidades

digitales.

En todos los casos el proceso TACCP ha cambiado deliberadamente de la

descrita en la cláusula 5 para animar a los usuarios de esta PAS a adoptar un
enfoque de mente abierta.

A.2 Estudio de caso A

Un estudio de caso presenta un ejemplo de informe siguiendo el trabajo de

investigación del equipo de TACCP en Burgers4U, una cadena nacional de comida
rápida. Los supuestos realizados son los siguientes:

• Burgers4U es una cadena de comida rápida ficticia con la propuesta única de

venta (USP) que elabora sus propias hamburguesas. A nivel nacional es un
importante operador pero no tiene negocios internacionales;

• la hamburguesa estándar se considera que es típico de la gama:

estándar, jumbo, de vegetales, queso, y chile;

• el Director de Operaciones de Burgers4U conduce Planificación de

Emergencia de la empresa y el Comité de Continuidad de Negocio;

20 © The British Standards Institution 2017

 PAS 96: 2017

TACCP Un estudio de caso

Empresa: BURGERS4U

Ubicación: Todos los puntos de venta de la calle

Producto: hamburguesa de comida para llevar Estándar

TACCP equipo: Director de Operaciones Jefe Director

Técnico (Presidente) Gerente de Recursos
Humanos Contratación Director de
Auditoría Interna

Tabla A.1 - Información de la amenaza

No hay amenazas a la empresa y info- método de operación posible comentarios

sistemas de:

UNA derechos de los animales El vandalismo o sabotaje Poca evidencia de actividad

actual
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

segundo hacktivistas denegación de servicio distribuido ataque (DDoS) en El desarrollo de perfil de la empresa pueden

el sitio web provocar ataques

do los compradores de la compañía Fraude; colusión con los proveedores Establecido equipo que trabaja de forma
autónoma

re Los criminales la falsificación; apropiación indebida de los El aumento del riesgo como fortalece

envases la marca

No hay amenazas a las poblaciones de: método de operación posible comentarios

mi Los partidarios de las empresas locales Publicidad adversa; 'La culpa por Algunos lugares reportan altos niveles de
asociación' con la comida rápida interés de la prensa

F personal de la empresa con exceso de trabajo, el contaminación Petty; posible Algunos escasez de personal donde
desencanto podría conducir a la alianza con los contaminación intencionada grave hay poca educación post-18; y en
extremistas terroristas (por ejemplo) lugares con una reputación
extremista

sol grupos monotemáticos infestación deliberada de Locales Algunos precedentes recientes

H Personal de primera línea Robo; connivencia con los clientes rigurosa auditoría en su lugar; gestores de
saldo de confianza (Personal controles de
seguridad)

No hay Amenazas a producto de: método de operación posible comentarios

yo Proveedores de carne EMA - proteína no animal, o carnes nonbeef, Carne de vacuno se especifica y se espera que,

carne sustitución a pesar de que no se reivindica en la publicidad

J Personal de primera línea la cocción insuficiente deliberada de Patty Rotas minimizar la probabilidad de
colusión
K Personal de primera línea La venta de hamburguesa demasiado tiempo

después de envolver

L grupo ideológicamente motivado contaminación malicioso del nivel oficial amenaza sin
componente cambios

NOTA Los informes de prensa de preocupaciones acerca de la autenticidad de alimentos son pertinentes.

© The British Standards Institution 2017 21

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

22
Figura A.1 - la identificación de amenazas

24 Fuente
comienzo
consumibles

23 Fuente de
PAS 96: 2017

envasado

01 Selección de 25 Fuente salmuera 26 Enviar a 27 Ambient

panadería & adornar Burgers4U almacenamiento

10 Select
04 Fuente de harina 11 Fuente
abbatoir planta /
Y ingredientes carne
de corte
menores
27 Ambient 28 Entregar al 29 Órdenes

almacenamiento restaurante de recuperación

agua 02 13 Enviar a
12 carnicería
Mains Burgers4U

03 Almacenamiento de agua, 15 Pesas 32 Mover a 33 Preparar 34 Wrap

almacenamiento 14 Chill
ajustar la condimentos etc. cocina hamburguesa hamburguesa

temperatura

05 Mix, dividir,
probar los 17 Pique la empanada 16 Pesas carne 36 Recibir 35 de

bollos, pasteles lotes de carne picada orden almacenamiento caliente

06 frío, congelación, 18 pattys del 19 pattys 37 suministro 38 Recibir

bollos paquete Formulario Freeze orden efectivo

31 de

almacenamiento en frío

08 De Paquete de 20 39 Eliminar los

07 paletizar 21 paletizar
almacenamiento en frío a casos desperdicios

09 Entregar a 22 De 29 Órdenes 30 Entregar al

Fin
Burgers4U almacenamiento en frío de recuperación restaurante

© The British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas

Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

no Contaminación proceso de

01A Seleccionar panadería Varios personal eventual Staff de Contratos - - - - -

producción requieren
protocolos de

© The British Standards Institution 2017

seguridad
personal

01B Seleccione panadería Fraude Colusión Los compradores Pequeño - - - 2 3

02 Agua de la red contaminación depósitos de Los ingenieros El control toxinas solubles Puede inhibir la Puede fallar 1 1
malicioso almacenamiento a granel de servicios efectivo del levadura; puede pruebas

acceso afectar manipulación sensoriales

de la masa

03 almacenar el agua; Como anteriormente depósitos de Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente 1 1
ajustar almacenamiento de lotes

temperatura

04 harina de fuente sustitución Poco ventaja de - - - - - - -

+ menor fraudulenta costos a
ingredientes defraudador

05 Mezcla, dividir, probar contaminación operación de mezclado operativa mezclador El personal capacitado la toxina en Puede inhibir la Puede fallar 1 1
los bollos, pasteles malicioso por lotes especializada y con experiencia polvo levadura; puede pruebas

afectar manipulación sensoriales

de la masa

06 Fresco, congelado, - - - - - - - - -
bollos paquete

07 paletizar - - - - - - - - -

08 Almacenamiento en frio - - - - - - - - -

09 Entregar a - - - - - - - - -
PAS 96: 2017

Burgers4U

23
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

24
Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

no Contaminación proceso de
PAS 96: 2017

10A Seleccionar matadero / Fraude Colusión Los compradores Pequeño - - - 3 5

de despiece

10B Seleccionar matadero sustitución La mala segregación Los conductores de identificación animal La carne de Despreciable pruebas 2 3
planta / de corte fraudulenta de las especies reparto; el personal única registró fuentes más aleatorias pueden

de proceso baratas detectar a menos

que la colusión

11 fuente carne sustitución La mala segregación dirección y el La carne de Despreciable pruebas 4 3

fraudulenta de las especies personal Proceso fuentes más aleatorias pueden

baratas detectar a menos

que la colusión

12 Carnicería sustitución La mala segregación dirección y personal La carne de Despreciable pruebas 2 3

fraudulenta de las especies proceso de fuentes más aleatorias pueden

baratas detectar a menos

que la colusión

13 Entregar a Secuestro de la responsabilidad del - - - - - - -

Burgers4U envío proveedor

14 almacenamiento refrigerado - - - - - - - - -

15 Pesar contaminación Manual de dirección y personal rigurosas toxinas en Puede no despreciable 1 3

condimentos, etc. malicioso operación proceso de normas de polvo pruebas

higiene sensoriales

dieciséis Pesar carne para carne Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

picada anteriormente

17 lotes de carne picada Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

empanada anteriormente

© The British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

no Contaminación proceso de

18 pattys del formulario Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como anteriormente Como arriba Como arriba Como

anteriormente

© The British Standards Institution 2017

19 pattys congelación - - - - - - - - -

20 Paquete de casos - - - - - - - - -

21 paletizar - - - - - - - - -

22 Almacenamiento en frio - - - - - - - - -

23 Fuente Malversación; la seguridad del conductores de Pequeño - - - 2 4

embalaje falsificación depósito con la entrega de

proveedor la agencia

24 Fuente - - - - - - - - -
consumibles

25 Fuente salmuera + la sustitución de - - marcas - - - - -

guarnición ingredientes establecidas;
contratos
fiables

26 Entregar a - - - - - - - - -
Burgers4U

27 Ambiente de almacenamiento - - - - - - - - -

28 Entregar al - - - - - - - - -
restaurante

29 recoger pedidos - - - - - - - - -

30 Entregar al - - - - - - - - -
restaurante

31 Almacenamiento en frio - - - - - - - - -
PAS 96: 2017

25
32 Mover a la cocina malicioso Fuera de las horas; sin storestaff noche Tamper casos pattys '' Spiked Pequeño Ninguna 1 3
sustitución supervisión evidentes
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.2 - la identificación de amenazas ( continuado)

26
Paso Paso de proceso Amenaza Acceso vulnerabilidad Mitigación Mezcla; Impacto del QA / QC Probabilidad Impacto

no Contaminación proceso de
PAS 96: 2017

33 preparar hamburguesas la cocción insuficiente trabajador solitario El personal del fabricación - - Ninguna 1 2
deliberada restaurante seguridad
alimentaria rigurosa

34 hamburguesa envoltura - - - - - - - - -

35 almacenamiento en caliente - - - - - - - - -

36 Orden recibida - - - - - - - - -

37 para la oferta Vendiendo demasiado El director del - procedimientos de - - - 2 2

tiempo después de envolver restaurante bajo seguridad personal

presión de

desperdicio

38 recibir efectivo Robo El personal del El personal del mostrador automatizado - - - 4 1

restaurante cajas registradoras;

rigurosa auditoría

39 Disponer de apropiación indebida de residuos; contenedores externos Público la eliminación diaria - - - 1 2

falsificación desbloqueados

NOTA El símbolo '-' indica 'no aplicable' o 'no significativo'.

Tabla A.3 - Evaluación de amenazas

Amenaza Descripción paso vulnerables Probabilidad Impacto acción protectora

UNA El vandalismo o sabotaje todas las localizaciones 1 2 mantener la vigilancia

segundo Ataque DDoS en el sitio web Márketing 3 3 Garantizar la seguridad cibernética buenas prácticas

C: 01B Fraude; colusión con los proveedores Seleccione panadería 2 3 rotación en el trabajo <5 años

© The British Standards Institution 2017

C: 10A Seleccionar matadero planta / de corte 3 5 Auditoría interna
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.3 - Evaluación de amenazas ( continuado)

Amenaza Descripción paso vulnerables Probabilidad Impacto acción protectora

D: 23 la falsificación; apropiación indebida de los fuente envases 2 4 requerimiento al proveedor; nuevo proveedor si no hay mejoría en
envases la seguridad después de 6 meses

D: 39 Eliminar los residuos 1 2 Ninguna otra acción

© The British Standards Institution 2017

mi La publicidad adversa: 'La culpa por Corporativo 2 1 Revisión de la estrategia de relaciones públicas

asociación' con la 'comida rápida'

F: 32 contaminación Petty; Mover a la cocina 1 3 Parte utilizada casos a ser la seguridad sellada por el gerente

Posible contaminación
intencionada grave

sol infestación deliberada de Locales restaurantes 1 2 mantener la vigilancia

H: 38 Robo: la colusión con los clientes recibir efectivo 4 1 Ninguna otra acción

I: 10B EMA - proteína no animal, o carnes nonbeef, Seleccionar matadero planta / de corte 2 3 Más fuerte gestión de proveedor: auditoría técnica,
carne sustitución muestreo regular de pruebas / ad hoc, facilitar
I: 11 fuente carne 4 3 whistleblowing

I: 12 Carnicería 2 3

J: 33 la cocción insuficiente deliberada de Patty preparar hamburguesas 1 2 Ninguna otra acción

K: 37 La venta de hamburguesas demasiado tiempo para la oferta 2 2 Ninguna otra acción

después de envolver

L: 02 contaminación malicioso del Agua de la red 1 1 Ninguna otra acción

componente
L: 03 almacenar el agua; ajustar la temperatura 1 1

L: 05 Mezcla, dividir, probar los bollos, pasteles 1 1

L: 15 Pesar condimentos etc. 1 3 El personal clave para cumplir con las normas de seguridad

personal
PAS 96: 2017

27
 PAS 96: 2017

Figura A.2 - priorización de amenazas

C: 10A

5
D: 23

C: 01B I:
F: 32
Impacto

10B I: segundo I: 11
L: 15
12
4321

AD:
39 GJ:
K: 37
33
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

mi H: 38

1 2 3 4 5
Excluye (1,1) amenazas
Probabilidad

Conclusiones A.3 La página web Burgers4U no es un instrumento de venta principal, pero juega un
papel importante la comercialización. El Jefe de Auditoría Interna se encarga de
TACCP dio un registro amenaza de amenazas, 19, 9 de ellas bajo
lidiar con el Departamento de Sistemas de negocios para asegurar la adecuada
control satisfactorio.
financiación de los procedimientos de seguridad informática en general y contra
ataques de denegación de servicio en particular. Consejos y ofertas para servicios
Fraude en la selección de la planta matadero / corte es la mayor amenaza
de respuesta cibernéticos pueden buscarse (por ejemplo, de proveedores
para Burgers4U. En marcha penas de costes y daños a la reputación
aprobados CREST). Se prevé ninguna reducción en la evaluación (3,3).
significativa que pudiera resultar. Estrechamente vinculadas son las amenazas
de especies o sustitución proteína no carne. Dentro del equipo TACCP, el
Gestor Técnico se encarga de la aplicación de medidas de protección con el
objetivo de reducir la amenaza a (2,3) dentro de los 12 meses. Esta acción es
El Director Técnico es monitorear las fuentes oficiales y de la industria
probable que también mitigar otras amenazas de abastecimiento.
de información e inteligencia sobre los riesgos emergentes y decidir con
el presidente del equipo TACCP si se debe convocar al grupo antes de
su programada 6 reunión de rutina mensual.

Como marca con una creciente reputación por la calidad y la integridad, la

amenaza de los aumentos de los productos falsificados. El proveedor
tradicional de material de embalaje impresa no reconocer esto y tiene
A.4 Estudio de caso B
medidas de seguridad físicas inadecuadas en su lugar. Como socio de otra
manera fiable, el Gerente de Compras se encarga de desafiar el proveedor Estudio de caso B se presenta un ejemplo de informe de evaluación de la
para remediar la situación o encontrar una alternativa. Esta amenaza se amenaza de Bridgeshire Cheese Company. Fue preparado, solos en ausencia
debe evaluar como (1,3) o mejor dentro de los 6 meses. de otros colegas ejecutivos, por
A. Bridgeshire el Socio Director, y resume su evaluación individual de las
amenazas que enfrenta. Bridgeshire Cheese Company es una pequeña
familyfarm ficticia de propiedad y operación orgánica venta productora de
queso a tiendas especializadas y empresas de servicios de alimentos.

Tabla A.4 representa un ejemplo de informe de evaluación de amenazas. Figura A.3

representa un diagrama de flujo evaluación de la vulnerabilidad.

28 © The British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.4 - Informe de Evaluación de amenazas 20170602

Amenaza Desde Amenaza Vulnerabilidad UNA) Mitigación Consecuencia Impacto La acción protectora probabilidad
no

1 proveedores suministro no leche 'de relleno'; Todos los productos de los Pérdida de la condición 5 2 Requerir certificado de conformidad para
orgánico Comprado-en terneros; proveedores acreditados orgánica todas las compras especiales

semen SEGUNDO)

© The British Standards Institution 2017

2 Vecinos enfermedades del ganado Derechos de paso a Bioseguridad La pérdida de la manada y / o 3 2 Instalar depósito para evitar la
sobre-reaccionar a generalizada través de la granja cumple con las cobertura de seguro descarga de efluente cuando el viento
'molestia mejores prácticas desde el SW
efluentes'

3 El personal BCC contaminación Las operaciones manuales, sin Todo el personal son enfermedad localizada 2 1 Ninguna otra acción
malicioso supervisión (proceso en gran miembros de la familia o posible

medida selfcontrolling) socios de confianza a

largo plazo; Todos los

lotes se prueban el sabor

4 granjas adyacentes Ensayos de GM pastos perímetro campaña de Pérdida de la condición 4 3 La acción cooperativa con la asociación

cultivos organización de orgánica comercial para presionar los funcionarios

acreditación elegidos

5 criminales El robo de distribución del producto, vehículo Pequeño Valor de los bienes; La 2 3 Reemplazar con vehículo más
oportunistas menudo no tripulado y pérdida de la reputación moderno en primera oportunidad
desbloqueado de fiabilidad

6 Los delincuentes cibernéticos ataque remoto La manipulación de la 'de la Proveedor es de peligrosidad del producto de 5 1 Mantener el análisis de control de

Nube en clavija' sistema SCADA para tranquilizador debajo de procesamiento calidad por separado seguir el consejo
proceso de reducir el tiempo de NCSC
producción pasteurización / temperatura
controlado

UNA) Ver Figura A.3 para la evaluación completa proceso de vulnerabilidad.

SEGUNDO) Otros productos se obtienen habitualmente a partir de larga data empresas acreditadas.
PAS 96: 2017

29
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

30
Figura A.3 - Evaluación de vulnerabilidad

fuente
comienzo
fertilizantes la cría de Las operaciones

ganado de limpieza
PAS 96: 2017

Fuente de ganado

Fuente

alimentar el suelo
sala de ordeño
promotor de Fuente operaciones

hierba

seed Fuente

otros materiales Guarde la leche

agrícolas incluidos el

semen
pasteurizar la leche

leche Chill

Guarde la leche suero

Por lotes, el temperamento, suero de leche

inocular, separada
Fuente Fuente incubar

cuajo 'top-up'
Cuajada

Fuente leche de

limpieza culturas Formar quesos e Tienda, invertir Muestra para el

Fuente inocular hasta el estiércol sabor

materiales de

embalaje Wrap, etiqueta,

Parte
Fuente paquete

Almacén Distribuir Venta Fin

© The British Standards Institution 2017

 PAS 96: 2017

Estudio de caso A.5 C FryByNite tiene como objetivo ofrecer comida caliente recién hecha a la puerta
de los clientes dentro de los 30 minutos de recibir una orden web o teléfono. El
FryByNite es una nueva empresa, el servicio nacional de entrega de comida
producto estándar es de pescado y patatas, con cada vehículo de salida que
caliente de una importante compañía de comercio general basado en Internet. La
lleva freidoras programables. El producto crudo se ordena través de Internet
compañía es líder mundial en su campo de software y gestión de la logística, pero
desde una red de puntos de venta de comida rápida contratados. Estos preparan
es nuevo en las operaciones comerciales de alimentos. Se reconoce su debilidad
la comida y cargarlo en las cestas de fritura usados ​por el vehículo de suministro.
en los alimentos y tiene un especialista en alimentos consultor en el contrato por la
Un sistema de posicionamiento global (GPS) estima el tiempo a las instalaciones
duración de la puesta en marcha y consolidación de las fases de FryByNite.
del cliente e inicia el proceso de fritura. Cuando esté listo, las cestas de fritura se
retiran de forma automática y la comida se envasa y se mantiene caliente para
que el cliente recibe la comida caliente recién cocido en mejores condiciones que
si hubieran visitado la salida de sí mismos. (Véase la Figura A.4)

Ejemplo producto: pescado frito y patatas fritas para entrega a domicilio (como es típico
del menú)
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Figura A.4 - flujo de trabajo FryByNite

Inicio: A. Recibir fin de

sitio web o por teléfono

B. confirmar los detalles de la cuenta C. Pinpoint orden proveedor y lugar D. contacto en mejores condiciones FBN

y recibir el pago más cercano Van

E. FBN Van a proveedor y F. La programación remota de FBN Van

recoger fin freidoras

H. llegar al cliente y entregar G. Carga de materias primas a la

freidora

conductor I. FBN J. Weekly, drene freidoras y

Fin
confirma la entrega reemplazar aceite

© The British Standards Institution 2017 31

 PAS 96: 2017

TACCP Equipo: Director de Recursos Humanos

(Presidente)
Director de Sistemas de Información
alimentos Consultor técnico jefe de
seguridad

información de la amenaza

NOTA Como un nuevo FryByNite 'marca' está cubierto por la celebración de los
procedimientos de gestión de riesgos de la empresa y de planificación de contingencia.
Por tanto, el TACCP aborda los aspectos operativos de la nueva empresa.

Cuadro A.5 - Información de la amenaza

No hay actores de amenazas Las amenazas a la empresa de: método de operación comentarios
posible

1 hacktivistas El fallo de sistema de pedidos ataque DDoS Protegidos por los sistemas de toda la
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

basado en la web compañía y la experiencia

2 Estados nacionales La pérdida de la navegación El exceso de compromiso y / o No hay control sobre los actores

basada en GPS mantenimiento inadecuado por los amenaza, sino una fuerte protección

operadores de satélites. contractual con los operadores

3 extorsionistas Exfiltración de datos sensibles Correos electrónicos de phishing a los funcionarios Ransomware fácilmente
disponibles

4 Insiders El robo de IP El acceso no autorizado a los

privilegios administrativos

Las amenazas a la del producto:

5 proveedores Comida envenenada manejo inadecuado de producto

agraviadas

6 Competidores Comida envenenada El incumplimiento de régimen de De corte de energía, o la subversión

cocción van de los controles de los procesos

7 El personal Comida envenenada contaminación malicioso el personal de inspección de

perjudicada seguridad en su sitio

Las amenazas a las operaciones de:

8 Los criminales Ataque en el vehículo / conductor Atraco por dinero en efectivo Signos: “No hay dinero que tuvo lugar en este

vehículo” en su sitio

9 vándalos daño Petty al vehículo el oportunismo no las zonas de mayor riesgo en el sistema

planificada al azar de navegación vía satélite observaron

10 Los defraudadores Pérdida de ingreso El uso de los datos personales robados para

crear una cuenta falsa

32 © The British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.6 - Evaluación de amenazas

amenaza paso Amenaza Vulnerabilidad Mitigación Adulterante / Comentario Probabilidad Impacto

nº Contaminante

UNA DDoS ( 1) A1 Alta - sitio público sistemas corporativos dan - Molestia; pérdida de 4 2
la alerta temprana ventas; clientes
molestos

© The British Standards Institution 2017

UNA insuficiencia interbancaria ( 2) A2 sistema de transferencia Mantener estrechos vínculos - Pequeña posibilidad de pérdida 2 4
electrónica de fondos es un con los operadores de importante

objetivo primordial cibernética, sistemas

pero bien protegido

segundo cuenta B1 punto de entrega ficticio Consultar nuevas cuentas - Derrochador de tiempo 1 1
fraudulenta ( 10) en la configuración

do Proveedor no C1 Bases de datos de retraso Estrecha colaboración con los - 1 1

disponible proveedores

do Producto C2 Batter puede ser Proveedores examinados Químicos tóxicos; bacterias Proveedor no conoce la 1 4
contaminación ( 5) objetivo para la operación de HACCP formadoras de esporas identidad del cliente, a
( 6) (7) menos que la colaboración

do Producto C3 fraude alimentario Como C2 Intercambio de especies La reputación y la 3 2

sustitución ( 5) oportunista regulación

re insuficiencia GPS D1 Señal debil Enlace con los - planes de contingencia 1 1

proveedores de

telecomunicaciones

F La corrupción del F1 La nueva tecnología: Las pruebas han - Incendio o una posible 3 5
sistema de control con probables inconvenientes revelado la capacidad de recuperación comida cocida
malware ( 1)
( 4)

sol la cocción insuficiente G1 filetes de gran tamaño Los límites de tamaño - productos no comestibles 1 1
PAS 96: 2017

33
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.6 - Evaluación de amenazas ( continuado)

34
amenaza paso Amenaza Vulnerabilidad Mitigación Adulterante / Comentario Probabilidad Impacto

nº Contaminante
PAS 96: 2017

sol Producto G2 operación manual sin selección de Químicos tóxicos; bacterias 2 4

contaminación ( 4) supervisión personal formadoras de esporas

H Los retrasos en la ruta H1 el tráfico inesperado o Las actualizaciones - La compensación si la comida no 3 1

obras viales automáticas de navegación vía satélite comestible

H Asalto en el personal ( 8) H2 Algunos clientes La formación del personal en la - Una de las principales 2 5
difíciles y áreas. prevención de conflictos preocupaciones en algunas áreas

H Daños al vehículo ( 9) H3 Vehículo sin las zonas de mayor riesgo en - en gran medida las molestias 1 2
supervisión durante el sistema de navegación vía

el parto satélite observaron

J una eliminación inadecuada de J1 El personal bajo presión Sustitución 'nuevo por - daños a la reputación 1 2
los aceites usados ​( 7) en busca de atajos viejo'

J El uso de aceite incorrecto J2 El personal en virtud de los Sustitución 'nuevo por Otros aceites comestibles Aceites Temas: el etiquetado; alergia; 1 4
errores que buscan atajos o viejo' integridad; toxicidad; seguridad
minerales químicos orgánicos tóxicos
cubriendo presión contra incendios

© The British Standards Institution 2017

 PAS 96: 2017

Figura A.5 - priorización de amenazas

4 A1
Probabilidad

3 H1 C3 F1

2 G2 A2 H2
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

B1 G1
1 J1 H3 C2 J2
C1 D1

1 2 3 4 5
Impacto

© The British Standards Institution 2017 35

 PAS 96: 2017

Cuadro A.7 - Registro de Amenazas

Amenaza Valoración Descripción Además Responsabilidad Comentario

(L, I) acción
defensiva

F1 (3,5) La corrupción de sistema de Revisión diaria por Director de Info Objetivo (2,3) dentro de un año.
control de proceso para las fases puesta en Tech
freidoras marcha y
consolidación.
Construir contacto
con el proveedor de
software.

A1 (4,2) DDoS - sitio web Construir contacto Director de Info En marcha. riesgo de amenaza poco

NCSC. Realizar un Tech probable que cambie.

seguimiento de la charla
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

medios de comunicación social.

H2 (2,5) Asalto en el personal Evaluar el uso de Director de Info Con el Director de Recursos
cámaras corporales Tech Humanos

C3 (3,2) la sustitución de productos Introducir muestreo Consultor de tecnología de Target (1,2)

fraudulentos de producto abierta los alimentos

bajo nivel

A2 (2,4) el fracaso de transferencia de Continuar los Director de Info cobertura de seguro adecuada.
fondos entre bancos protocolos Tech
actuales.

G2 (2,4) la contaminación del Introducir Director de Recursos Target (1,4)

producto malicioso rutinas curso Humanos
de seguridad
personal.

H1 (3,1) Los retrasos en la ruta Continuar los Bajo el control proporcional.

protocolos
actuales.

J1 (1,2) una eliminación inadecuada de los Revisar y promover Director de Recursos Target (1,1) dentro de un año.
aceites usados 'nuevo por viejo' Humanos
modelo.

H3 (1,2) Daños al vehículo Continuar los Bajo el control proporcional.

protocolos
actuales.

36 © The British Standards Institution 2017

 Cuadro A.7 - Registro de Amenazas ( continuado)

Amenaza Valoración Descripción Además Responsabilidad Comentario

(L, I) acción
defensiva

C2 (1,4) la contaminación del Incluir el manejo de Consultor de tecnología de riesgo de amenaza poco probable que

producto malicioso productos químicos no los alimentos cambie.

alimentarios en la

homologación de

proveedores.

J2 (1,4) El uso de aceite incorrecto Construir la Director de Recursos riesgo de amenaza poco probable que

tecnología en la Humanos cambie.

formación inicial.

B1 (1,1) cuenta fraudulenta No se requieren - Bajo el control proporcional.

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

mas acciones.

C1 (1,1) Proveedor no Revisar la Director de Recursos -

disponible formación del Humanos
administrador de

base de datos.

D1 (1,1) insuficiencia GPS No se requieren - Bajo el control proporcional.

mas acciones.

G1 (1,1) productos poco No se requieren - Bajo el control proporcional.

cocinados mas acciones.

Comentario
1. Como un nuevo desarrollo del equipo TACCP planea reunirse mensualmente

para examinar los acontecimientos.

2. En todo el equipo ha identificado 15 amenazas de las que siete

requieren una acción protectora sustantiva.

3. El control remoto de la operación de fritura crea la oportunidad para las

nuevas amenazas (F1) que recibirían la atención de alto nivel y prioridad
de la organización.

4. Las precauciones, es decir, una formación adecuada, desde el lanzamiento de la

iniciativa han mantenido la probabilidad de asalto en el personal bajo, pero es necesario

seguir trabajando.

5. altos directivos de la empresa matriz continúan su política de evitar

una imagen pública de alto perfil que ayuda a reducir la posibilidad de
FBN ser un objetivo.
 PAS 96: 2017

A.6 D Estudio de caso Ahora, la compañía ha llevado a cabo un movimiento masivo en la

automatización y el control remoto de ambas operaciones de cultivo y el paquete
F. Armer y hijas Ltd es una compañía agrícola establecida con una reputación
interno. Se ha comprometido a la utilización de la vigilancia vehículo aéreo no
envidiable de 'buenas prácticas'. El negocio ha evolucionado y crecido desde sus
tripulado (UAV) de los cultivos para mejorar la gestión del riego, aplicación de
orígenes como una granja familiar mixto suministro de su población local con
pesticidas, fertilizantes y otros tratamientos, y la cosecha. Se pretende integrar
productos de temporada a través de su arancel hortícola amplio presente. La
plenamente la refrigeración, limpieza, limpieza y embalaje de los productos. Su
actividad principal es 'fresco como frescas se pueden' suministro de verduras
objetivo es reducir significativamente aún más el tiempo de campo a despachar.
para la venta al por menor. Algunos cereales de frutas y especialistas
complementan la producción de hortalizas. Existe un interés creciente en el
suministro a las operaciones de servicio de alimentos.

Como parte de esta iniciativa y que no se detiene a cabo, los Administradores

han contratado un especialista en seguridad de la información de consultoría
para llevar a cabo un ejercicio de TACCP relacionada específicamente con los
El negocio es administrado sobre una base del día a día a las nietas del
nuevos sistemas de información. La gestión de riesgos del negocio convencional
fundador de la granja, el padre de la F. Armer que nombró a la empresa y sigue
está bien establecida. La intención es que tienen controles proporcionados en su
siendo su presidente. Emplea un pequeño equipo para ejecutar la fábrica de
lugar.
limpieza y el embalaje altamente mecanizada, sino que depende en gran
medida de los contratistas agrícolas para el trabajo agrícola, el uso de personal
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

temporal para cubrir los períodos pico. Se ha comprometido a verificación

externa de sus procesos y procedimientos y recibe informes a modo de ejemplo
a partir de organismos de acreditación y múltiples clientes por igual. Estos
procedimientos incluyen un método eficaz para la gestión de riesgos.

Tabla A.8 - Las posibles fuentes de actividad maliciosa que afectan F. Armer y hijas Ltd

Mayor amenaza de: Peligrosidad media de: amenaza más bajo de:

hacktivistas ex empleados alienados que buscan Competidores

venganza

Sabotajes a la infraestructura de Los terroristas que buscan publicidad defensores del medio ambiente
soporte de TI

extorsionistas Contratistas

Los delincuentes robar innovadora IP

38 © The British Standards Institution 2017

 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Tabla A.9 - Evaluación de amenazas

Amenaza Sistema Amenaza Vulnerabilidad Mitigación Comentario Probabilidad Impacto

No.

TN1 Electrónico La falta de líneas telefónicas La operación puede ser lento, pero no arreglos personales fuertes con 2 3
el pedido de los (si el tiempo, accidente, el ha fallado en 5 años los compradores de llamada
clientes sabotaje, la incompetencia) para móviles es un recurso

© The British Standards Institution 2017

TN2 Electrónico La corrupción de datos La intervención de personas no Grandes variaciones con respecto a 2 2
el pedido de los durante la transferencia autorizadas los volúmenes previstos de

clientes confirmación le sugerirán

TN3 Levantamiento Mal funcionamiento de la La interrupción de la operación de limpieza / vivienda Secure, La entrada manual 4 4
procesamiento de transferencia de datos embalaje que lleva a pérdida importante, la tamperevident para retrasará la operación de
pedidos para el escasez de productos y el tiempo de equipos embalaje en un grado
paquete de la casa inactividad inaceptable

TN4 El aumento de la carga del Corrupción de datos Las principales sanciones escala de los transportistas contratados 2 3
vehículo y documentos de envíos rechazados poco probable que tenga en

entrega cuenta las discrepancias

TN5 UAV Cámaras y sensores fallan El control remoto de dispositivo puede actualizaciones de software Tanto daño causado y el 3 2
monitoreo de los en detectar problemas ser asumida por los actores maliciosos instalados de rutina robo del dispositivo podría
cultivos emergentes ser incentivos para la
negligencia

TN6 sistema de Pública de adquisición de un rescate El acceso remoto por los directores a Independiente de copia de seguridad Clave para la 2 2
registros de finca por parte de delincuentes través de Internet ofrece oportunidades diaria reduciría las pérdidas práctica operativa
equipo para los delincuentes y acreditación
externa

TN7 Sistemas de Sabotaje de controles Alto costo instrumentos altamente Actualización y ingeniero de servicio 1 5
control electrónicos sofisticados no se pueden duplicar, mantenimiento es contratado en la llamada
industrial por lo que no funcionamiento = no riguroso 24/7
PAS 96: 2017

productivo

39
 PAS 96: 2017

Figura A.6 - priorización de amenazas

5

TN3
Probabilidad

TN5 TN4 F1
4321

TN6 TN1 G2 A2 H2
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

TN2 TN7

1 2 3 4 5
Impacto

Comentario

1. La empresa ha adoptado plenamente 'fabricación totalmente integrado' como

su camino hacia la eficiencia y el servicio al cliente, pero todavía no es
plenamente consciente de las vulnerabilidades que están implicados. La
consultoría especialista en seguridad de la información se ha contraído más para
completar la evaluación de amenazas y recomendar controles proporcionados.

2. Por lo que es posible, duplicar los sistemas han de funcionar hasta

que se complete la evaluación.

3. Apoyo y asesoramiento de ncsc.gov.uk se utiliza para sensibilizar a los

contratistas clave y personal de confianza.

4. Revisión que tendrá lugar en un mes.

40 © The British Standards Institution 2017

 PAS 96: 2017

Anexo B (informativo)
Las fuentes de información e inteligencia sobre riesgos emergentes al suministro de
alimentos

B.1 Generalidades B.2 Información y los niveles de inteligencia

La Organización Mundial de la Salud (a través de INFOSAN) y la Organización para Figura B.1 ilustra la difusión mundial y el intercambio de información e
la Agricultura y la Alimentación (a través de EMPRES y el SMIA) de las Naciones inteligencia sobre los nuevos riesgos a los alimentos que pueden ser usados
Unidas para coordinar los esfuerzos globales para identificar nuevos riesgos y poner ​para actualizar las evaluaciones TACCP. Cinco niveles se pueden utilizar
en práctica medidas de control para minimizar su impacto.
para describir los diferentes niveles de intercambio de información, siendo 1
el más bajo y 5 el más alto: Nivel 1 - Organización para la Alimentación; Nivel
2 - Local; Nivel 3 - Nacional; Nivel 4 - Europeo; Nivel 5 - Internacional.
Que difunden información a las organizaciones nacionales de alimentos como la
Food Standards Agency en el Reino Unido. Estas organizaciones nacionales de
alimentos pueden ponerlo a disposición de las empresas alimentarias, normalmente
a través de asociaciones de comercio, pero en realidad es un proceso de 2 vías.
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

NOTA Los servicios de suscripción que proporcionan información útil

también incluyen:

• HorizonScan que supervisa las cuestiones globales de integridad de los

alimentos, ver: https://horizon-scan.fera.co.uk/;

• Fraude de alimentos de base de datos de la Convención de la Farmacopea de

Estados Unidos, ver: https://www.foodfraud.org/;

• US-CERT - Estados Unidos ordenador Preparación del equipo ver

https://www.us-cert.gov/.

© The British Standards Institution 2017 41

 PAS 96: 2017

Figura B.1 - difusión mundial de información e inteligencia sobre los riesgos emergentes para la comida que se puede utilizar para
actualizar las evaluaciones TACCP

INTERNACIONAL

EMPRES: Sistema de prevención de emergencia de Seguridad Alimentaria

(Organización para la Agricultura y la Alimentación)

INFOSAN: Red Internacional de Autoridades de Inocuidad de

Alimentos (Food & Agriculture Organization /
Organización Mundial de la Salud)

SMIA: Sistema de alerta temprana mundial de la información y

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

EUROPEO

RASFF: Sistema de alerta rápida para alimentos y piensos

(Comisión Europea)/
AESA: Autoridad Europea de Seguridad Alimentaria

Europol: Agencia Europea de Aplicación de la Ley Coopoeration

NACIONAL

Asociaciones de comercio / organismos profesionales /

Asociaciones de Investigación / Gobierno Nacional

LOCAL

La autoridad local / policía / Medios de

comunicación locales / Otras empresas del sector alimentario

organización para la Alimentación

NOTA Para más información sobre estas fuentes internacionales se puede encontrar en la siguiente: INFOSAN http: // www.
who.int/foodsafety/areas_work/infosan/en/ [35], EMPRES http://www.fao.org/foodchain/empres-prevention-andearly-warning/en/ [36] y GIEWS http:
// www. fao.org/giews/english/index.htm [37].

42 © The British Standards Institution 2017

 PAS 96: 2017

Anexo C (informativo)
enfoques complementarios de protección de alimentos y bebidas

C.1 CARVER + Amortiguación plan de acción de 5 puntos C.2 UE

CARVER + Shock es una herramienta de priorización ofensiva que ha sido En respuesta al fraude de la carne de caballo en 2013, la Comisión Europea
adaptado para su uso en el sector de la comida americana. Al igual que estableció en su lugar el plan siguiente punto 5 [39].
TACCP, Carver + choque implica una organización de juego 'Equipo Rojo',
donde los miembros del equipo se ponen en el lugar del atacante potencial y 1) Desarrollar sinergias entre las fuerzas
preguntar: autoridades, garantizan un rápido intercambio de información sobre violaciónes

intencionales de las reglas de la cadena alimentaria, promover la participación de

Europol en las investigaciones.

Si quería causar daño, o hacer más dinero, o ganar publicidad, o
tomar ventaja de la situación de otra manera:
2) Asegúrese de que las normas sobre pasaportes para caballos se hacen cumplir

correctamente, que los pasaportes se entregan sólo por las autoridades

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• ¿Que debería hacer? competentes y que las bases de datos nacionales se crean.
• Cuando lo haría?

• Cuando lo haría? 3) Exigir que las sanciones financieras por intencional

violaciónes de las normas de la cadena alimentaria se establecerán a niveles
En efecto utilizan los militares herramienta objetiva para juzgar debilidades mediante suficientemente disuasorias, y que los planes de control de los Estados
la evaluación de sus: miembros incluyen controles sin previo aviso.

do riticality

UNA ccesibilidad 4) Adoptar normas de etiquetado de origen obligatorio de la carne

(Oveja, cabra, cerdo, aves de corral, caballo, conejo, etc.) y entregar un informe
R ecognizability
en el otoño de 2013 sobre la posible ampliación de etiquetado de origen
V ulnerabilidad
obligatorio a todo tipo de carne utilizada como ingrediente en los alimentos.
mi fecto

R ecoverability 5) Presente y evaluar los resultados de los controles

Actualmente lleva a cabo en los países de la UE.
Más información sobre CARVER + Shock es disponible de Carver + Primer
Choque [38].

Federación bebida C.3 Reino Unido y Alimentos

El Reino Unido Alimentos y bebidas (FDF) Guía de Federación el 'autenticidad

Alimentación: cinco pasos para ayudar a proteger su empresa contra el fraude

alimentario [40], la continuación de la guía del FDF 'Abastecimiento Sostenible: cinco

medidas para la gestión de riesgos de la cadena de suministro'[32] y proporciona

información sobre:

1) mapeo de la cadena de suministro;

2) la identificación de impactos, riesgos y oportunidades;

3) evaluación y priorización de sus hallazgos;

4) la creación de un plan de acción; y

5) la implementación, el seguimiento, la revisión y la

comunicación.

© The British Standards Institution 2017 43

 PAS 96: 2017

Anexo D (informativo)
10 pasos a la seguridad cibernética: una responsabilidad a nivel de placa 29)

NOTA En este anexo se desarrolló a partir de material fuente proporcionado por el D.1.3 gestión proactiva del riesgo cibernético a nivel de la Junta es crítica
Centro Nacional de Seguridad Cibernética (NSCS).

1) El valor de impacto del riesgo de cuota de la seguridad cibernética,

fusiones, fijación de precios, de reputación, cultura, personal, información,

Las preguntas clave D.1 para CEOs y las juntas control de procesos, la marca, la tecnología y las finanzas. Estamos
seguros de que:
Protección de los activos de información D.1.1 clave es crítica
• hemos identificado nuestros activos de información clave y
1) ¿Qué tan seguro estamos de que la mayor parte de nuestra empresa
evaluado a fondo su vulnerabilidad al ataque?
información importante se gestiona y está a salvo de las amenazas
informáticas?
• la responsabilidad por el riesgo cibernético se ha asignado de manera
2) ¿Está claro que la Junta es probable que sean clave
adecuada? Es en el registro de riesgos?
objetivos?
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

• tenemos una política de seguridad de la información escrita en el

3) ¿Tenemos una imagen completa y precisa de:
lugar, que está defendido por nosotros y apoyado a través de la
• el impacto en la reputación, la acción de nuestra empresa o de la formación del personal regular? Estamos seguros de toda la plantilla
existencia sensible si la información interna o cliente en poder de la entiende y lo sigue?
empresa fueron a perderse o ser robado?

• el impacto en el negocio si nuestros servicios en línea fueron

interrumpidas por un período corto o sostenido?

D.1.2 La exploración que podrían comprometer nuestra

información y por qué

1) ¿Recibimos la inteligencia ordinaria del Jefe

Oficial de Información / Jefe de Seguridad sobre quién puede ser la
orientación de nuestra empresa, sus métodos y sus motivaciones?

2) Cómo animamos a nuestro personal técnico para entrar

en el intercambio de información compartidos con otras empresas de nuestro
sector y / oa través de la economía con el fin de punto de referencia, aprender
de otros y ayudar a identificar las amenazas emergentes?

29) Para más información sobre la seguridad cibernética, véase: https://www.ncsc.gov.uk/guidance/10-steps-board-level-responsibility [42].

44 © The British Standards Institution 2017

 PAS 96: 2017

Bibliografía

publicaciones Normas BS ISO / IEC 27001, Tecnología de la información - Técnicas de seguridad -

Sistemas de gestión de seguridad de la información
Para las referencias con fecha, sólo se aplica la edición citada. Para las
- Requisitos
referencias sin fecha se aplica la última edición del documento de referencia
(incluyendo cualquier modificación).
otras Normas

BS 10501, Guía para la implementación de controles de fraude de compras

Gestión de riesgos

BIP 2153, La gestión de riesgos de la manera ISO 31000

BS EN ISO 22000, sistemas de gestión de seguridad alimentaria - Requisitos para

BS 31100, La gestión del riesgo - Código de prácticas y orientaciones
cualquier organización en la cadena alimentaria
para la aplicación de la norma ISO 31000 BS
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

BS EN 31010, La gestión del riesgo - las técnicas de evaluación de riesgos

Otras publicaciones y sitios web
[1] Codex Alimentarius. CODEX CAC / RCP 1-1969: Principios
BS ISO 31000, gestión de riesgos - Principios y directrices generales de higiene de los alimentos. Roma: Codex Alimentarius, 2003.

PD ISO / TR 31004, La gestión de riesgos - Orientación para la implementación de la [2] CENTRO NACIONAL CIBERSEGURIDAD. Glosario. Disponible a
norma ISO 31000 partir de: https://www.ncsc.gov.uk/glossary [vista de julio de 2017].

Gestión de crisis
[3] FOOD estándares de la Agencia. Disponible en: https: //
BS 11200, Gestión de crisis - Orientación y buenas prácticas
www.food.gov.uk/enforcement/the-national-foodcrime-unit/what-is-food-crime-and-food-
[vista de julio de 2017].

Gestión de Continuidad de Negocio

BS ISO 22301, sistemas de gestión de continuidad de negocio [4] Base de Datos de Fraude de Alimentos de los Estados Unidos Convención de la

- Los requisitos y directrices Farmacopea. Disponible a partir de: http://www.foodfraud.org/ [vista de julio de 2017].

BS ISO 22313, La sociedad de seguridad - Sistemas de gestión de continuidad

de negocio - Orientación [5] BBC. ' plástica del arroz' secuestrado en Nigeria. BBC, 2016.
Disponible en: http://www.bbc.co.uk/news/worldafrica-38391998 [vista

Suministro de Seguridad de la Cadena de julio de 2017].

BS ISO 28000, Especificación para sistemas de gestión de seguridad para la

[6] OLIVA TIMES aceite. Italia detiene a 33 acusados ​de fraude en el aceite de
cadena de suministro
oliva. Aceite de Oliva Times, 2017. Disponible en: https: //
www.oliveoiltimes.com/olive-oil-business/italy-arrests33-accused-olive-oil-fraud/55364
BS ISO 28002, sistemas de gestión de la seguridad para la cadena de suministro -
[vista de julio de 2017].
Desarrollo de la capacidad de recuperación en la cadena de suministro - Requisitos con
orientación para su uso
[7] OLIVA TIMES aceite. Brasil revela el fraude generalizado aceite de oliva. Aceite
de Oliva Times, 2017. Disponible en: https: //
PD CEN / TR 16412, seguridad de la cadena de suministro (SCS) - Guía de buenas
www.oliveoiltimes.com/olive-oil-business/brazil-revealswidespread-olive-oil-fraud/56395
prácticas para los operadores de pequeñas y medianas empresas
[vista de julio de 2017].

Seguridad de información
[8] EURO WEEKLY NEWS. La policía descubren fraude mayor de alimentos carne de
BS ISO / IEC 27000, Tecnología de la información - Técnicas de seguridad - vacuno en España. Noticias Euro Weekly, 2017. Disponible en:
Sistemas de gestión de seguridad de la información https://www.euroweeklynews.com/3.0.15/news/ de euros a la semana-noticias /
- Descripción y vocabulario España-noticias-en-Inglés / 144405-

© The British Standards Institution 2017 45

 PAS 96: 2017

policía-destape-importante-beef-comida-fraude-en-España [vista de julio de 2017]. [17] Gillam, CAREY. Mujer china detenidos en trama para robar la tecnología
de maíz de Estados Unidos. Kansas City: Grainews. Disponible a partir de:
http://www.grainews.ca/daily/chinesewoman-arrested-in-plot-to-steal-us-corn-technology
[9] ANTONY Gitonga. Naivasha vendedores ambulantes que utilizan formol para [vista de julio de 2017].
conservar la leche. Estándar de papel. Disponible a partir de:
http://www.standardmedia.co.ke/ artículo / 2000107380 / Naivasha vendedores

ambulantes que utilizan formalina-topreserve leche [vista de julio de 2017]. [18] INFORME falsificados. Cómo identificar la falsificación de vodkas
de Glen. Alejandría, 2014. Disponible en:
http://thecounterfeitreport.com/product/322/ [vista de julio de 2017].
[10] ORGANIZACIÓN MUNDIAL DE LA SALUD y la AGRICULTURA Y LA
ALIMENTACIÓN DE LAS NACIONES UNIDAS. Aspectos toxicológicos de
ácido cianúrico y melamina: Informe de una reunión de expertos de la OMS [19] NewsCore. incursiones en alta mar aparecen los vinos falsos Creek
en colaboración con la FAO. La OMS y la FAO, 2009. Disponible en: del australiano Jacob. Australia, 2011. Disponible en:
http://www.who.int/foodsafety/fs_management/ http://www.news.com.au/finance/offshoreraids-turn-up-fake-aussie-jacobs-creek-wines/storye6frfm1i-1
Exec_Summary_melamine.pdf, [vista de julio de 2017]. [vista de julio de 2017].

[11] US Pharmacopeial CONVENCIÓN. fraude alimentario base de datos [20] FINANCIERA FRAUDE DE ACCIÓN Reino Unido. Restaurantes y
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

versión 2.0. Disponible mediante suscripción en: comensales dirigidos en la nueva estafa. Londres. Disponible a partir de:
http://www.foodfraud.org/#/food-fraud-databaseversion-20, [vista de julio http://www.financialfraudaction.org.uk/cms/assets/1/ estafa% 20alert% 20-%
de 2017]. 20restaurants% 20web% 20% 20doc.pdf enlace [vista de julio de 2017].

[12] FOOD estándares de la Agencia. Actualización sobre la manipulación

malintencionada con pan Kingsmill. Food Standards Agency, 2006. [21] Nacional de Fraude AUTORIDAD. indicador de fraude anual. Autoridad
Disponible en: http: // webarchive. Nacional de Fraude, 2013. Disponible en:
nationalarchives.gov.uk/20120206100416/http://food. https://www.gov.uk/government/uploads/system/ uploads / attachment_data
gov.uk/news/newsarchive/2006/dec/kingsmill [vista de julio de 2017]. / archivo / 206552 / NFA-anual-fraudindicator-2013.pdf [vista de julio de
2017].

[13] TOROK, THOMAS J. MD, Tauxe, ROBERT V. MD, MPH, WISE, [22] SMITH, MATT. Los delincuentes cibernéticos uso hackeado Deliveroo
ROBERT P. MD, MPH; Livengood, JOHN R cuentas para pedir comida en las tarjetas de las víctimas. Daily Telegraph, 2016.
MD, SOKOLOW, ROBERT, MAUVAIS, STEVEN, BIRKNESS, Kristen A, Disponible en:
Skeels, MICHAEL R PhD, MPH, Horan, MPH JOHN M MD, Foster, https://businessreporter.co.uk/2016/11/23/cyber-criminals-use-hackeddeliveroo-accounts-order-food-vic
LAURENCE R, MD, MPH. [Julio 2017].
Un gran brote en la comunidad de salmonelosis causada por la contaminación
intencional de las barras de ensaladas restaurante.
American Medical Association, 1997. Disponible en: [23] Associated Press. con sede en Michigan Biggby café informa
http://www.cdc.gov/phlp/docs/forensic_epidemiology/ adicionales% incumplimiento de base de datos, es posible robo de información de los
20Materials / Artículos / Torok% 20et% 20al.pdf [vista de julio de 2017]. clientes. Empresa canadiense, 2015. Disponible en:
http://www.canadianbusiness.com/business-news/-Biggby-café con sede en
Michigan-informes-databasebreach-posible-robo-de-cliente-información [vista
[14] Q LOS ALIMENTOS. La manipulación de alimentos: [1989] cristal en alimentos para de julio de 2017].
bebés. Alemania. Disponible en: http: //www.qfood. eu / 2014/03/1989-vidrio-en-alimentos para

bebés / [vista de julio de 2017].

[24] FEDERAL Oficina de Investigación CYBER división. PIN Número

[15] La ORR, JAMES. Chantajista encarcelado por amenazas de bomba 160331-001 Smart Farming Puede Aumentar cibernético se dirigen
Tesco. The Guardian, 2008. Disponible en: http: // específicamente al sector de la agricultura 3 y Alimentos de EE.UU. 1.
www.theguardian.com/uk/2008/jan/28/ukcrime [vista de julio de 2017]. marzo de 2016. Disponible en:
https://info.publicintelligence.net/FBISmartFarmHacking.pdf [vista de
julio de 2017].
[16] MURRAY, KEVIN D. escuchas electrónicas y espionaje
industrial. Nueva York: Murray Associates. Disponible en: https: // [25] National Cyber ​CENTRO DE SEGURIDAD y nacionales ORGANISMO crimen. La
contraespionaje. amenaza cibernética a Reino Unido Empresas. Disponible a partir de:
worldsecuresystems.com/tscm-the-missing-businessschool-course.html https://www.ncsc.gov.uk/news/ NCSC-y-NCA-amenaza-informe-provee de
[vista de julio de 2017]. profundidad analysisevolving-amenaza [vista de julio de 2017].

46 © The British Standards Institution 2017

 PAS 96: 2017

[26] Centro para la Protección de la infraestructura nacional. Personal [37] INFORMACIÓN GLOBAL sistema de advertencia y (SMIA).
de Seguridad. Londres: IREC. Disponible a partir de: Disponible de: http://www.fao.org/ SMIA / Inglés / index.htm [Vista de
http://www.cpni.gov.uk/advice/ Personal-seguridad1 / [vista de julio de julio de 2017].
2017].
[38] Food and Drug Administration. Carver + choque Primer - Una visión general
[27] CENTRO NACIONAL CIBERSEGURIDAD. 10 Pasos para la seguridad del método de Carver, más de choque para las evaluaciones de vulnerabilidad del
cibernética. NCSC, 2016. Disponible en: https: // sector alimentario. FDA,
www.ncsc.gov.uk/guidance/10-steps-cyber-security [vista de julio de 2017]. 2009. Disponible a partir de: http://www.fda.gov/downloads/ Alimentos /
FoodDefense / FoodDefensePrograms / UCM376929. pdf [vista de julio de
2017].
[28] CENTRO NACIONAL CIBERSEGURIDAD. Contraseña Orientación: La
simplificación de su enfoque. Disponible a partir de: [39] ALIMENTOS Y BEBIDAS FEDERACIÓN. autenticidad de los alimentos: cinco
https://www.ncsc.gov.uk/guidance/password-guidancesimplifying-your-approach medidas para ayudar a proteger su empresa contra el fraude alimentario. Londres:
[vista de julio de 2017]. FDF, 2013. Disponible en: https: // www. fdf.org.uk/food-authenticity.aspx [vista de
julio de 2017].
Gubernamentales [29] HM. Fundamentos cibernéticos - Proteja su empresa
contra las amenazas informáticas. Disponible en: https: // [40] ALIMENTACIÓN Y BEBIDA federación. abastecimiento sostenible: cinco
www.cyberaware.gov.uk/cyberessentials/ [vista de julio de 2017]. medidas para la gestión de riesgos de la cadena de suministro. Londres: Londres:
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

FDF, 2014. Disponible en: http: // www.fdf.org.uk/sustainable-sourcing.aspx [vista

de julio de 2017].
[30] Centro para la Protección de la infraestructura nacional. gestión
integral de riesgos de trabajo (Homero). Londres: IREC, 2012. Disponible
en: http://www.cpni.gov.uk/advice/Personnel-security1/ cuadrangular / [41] CENTRO NACIONAL CIBERSEGURIDAD. 10 Pasos: Una responsabilidad
[vista de julio de 2017]. a nivel directivo. Disponible en: https: // www.
ncsc.gov.uk/guidance/10-steps-board-level-responsibility [vista de julio de
2017].
[31] Centro para la Protección de la infraestructura nacional. El
desarrollo de una cultura de seguridad de Londres: IREC [42] CENTRO NACIONAL CIBERSEGURIDAD. 10 Pasos: Una
https://www.cpni.gov.uk/developingsecurity-culture [vista de julio de responsabilidad a nivel directivo. NCSC, 2016. Disponible en:
2017]. https://www.ncsc.gov.uk/guidance/10-steps-board-levelresponsibility [vista de
julio de 2017].
[32] CREST. Disponible en: http: //www.crest-approved. org / [vista de
julio de 2017].
Otras lecturas
[33] Información de Seguridad Cibernética asociación para compartir (CISP)
BRC Norma Mundial de Seguridad Alimentaria. Consorcio Británico de venta al público.
Disponible a partir https://www.ncsc.gov.uk/cisp [vista de agosto de 2017].

British Retail Consortium (BRC). Cyber ​Security Toolkit: Una guía

[34] Gobierno de Escocia y comida estándares de la Agencia. Peritaje
para los minoristas. Disponible en: https: // final.pdf
grupo asesor de las lecciones que se pueden aprender del incidente
brc.org.uk/media/120731/brc-cyber-security-toolkit_ [vista de julio de
2.013 carne de caballo.
2017].
2013. Disponible en: http://www.scotland.gov.uk/ Recursos / 0043 /
00437268.pdf [vista de julio de 2017].
Centro para la Protección de la infraestructura nacional. Productos
y servicios. Disponible a partir de: http://www.cpni.gov.uk/advice/
[35] World Health Organization. Red Internacional de Autoridades de
[vista de julio de 2017].
Inocuidad de Alimentos (INFOSAN). Disponible de: http://www.who.int/foodsafety/areas_work/
INFOSAN / es / [Vista de julio de 2017].

COMISIÓN EUROPEA. http://ec.europa.eu/ DGS /

health_consumer / Dyna / consumervoice / create_
[36] AGRICULTURA Y LA ALIMENTACIÓN DE las Naciones Unidas. Sistema
cv.cfm? cv_id = 891
de prevención de emergencia
( EMPRES). Disponible de: http://www.fao.org/ foodchain /
ALIMENTOS estándares de la Agencia. Principios para la prevención y
empres-prevención-y-alerta temprana / es /
respuesta a incidentes de alimentos. FSA, 2007. Disponible en:
[Vista de julio de 2017].
http://multimedia.food.gov.uk/multimedia/pdfs/
taskforcefactsheet23mar07.pdf [vista de julio de 2017].

© The British Standards Institution 2017 47

 PAS 96: 2017

INSTITUTO DE ALIMENTOS ciencia y tecnología. Buenas prácticas de

fabricación: Una guía para su gestión responsable. Wiley-Blackwell, 2013.

SERVICIO DE LA SEGURIDAD MI5. nivel de amenaza actual en el Reino Unido. Disponible

a partir de: www.mi5.gov.uk [vista de julio de 2017].

CENTRO NACIONAL CIBERSEGURIDAD. Dirección.

Disponible a partir de: https://www.ncsc.gov.uk/guidance [vista de julio de
2017].

ORGANIZACIÓN MUNDIAL DE LA SALUD. amenazas terroristas a la alimentación.

Directrices para el establecimiento y fortalecimiento de los sistemas de prevención y

respuesta. Cuestiones de Seguridad Alimentaria (OMS), 2008.

INTERPOL. Operación opson. Disponible en: http: //

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

www.interpol.int/Crime-areas/Trafficking-in-illicitgoods-and-counterfeiting/Operations/Operations/
Operación-opson [vista de julio de 2017].

EUROPAL y la INTERPOL. Operación opson III 2013: Orientación de los

productos alimenticios falsificados y de baja calidad.
Disponible a partir de: http://www.ipo.gov.uk/ipenforce-opson. pdf [vista de julio
de 2017].

CIO de IDG (International Data Group - Global) 5 pasos para responder a

una violación de seguridad. Disponible a partir de:
https://www.cio.com.au/article/580908/5-steps-respondsecurity-breach/
[vista de agosto de 2017].

CampdenBRI Directriz 72 TACCP (Evaluación de amenazas y Puntos

Críticos de Control) - Una guía práctica.

48 © The British Standards Institution 2017

 British Standards Institution (BSI)

BSI es el organismo nacional independiente responsable de la preparación de las normas británicas y otras publicaciones relacionadas con

las normas, información y servicios. Presenta la vista del Reino Unido sobre las normas en Europa y en el ámbito internacional.

BSI se incorpora por la carta real. British Standards y otros productos de normalización son publicados por BSI Normas
Limited.

Las revisiones Información sobre las normas

British Standards y pasar se actualizan periódicamente mediante revisión o BSI ofrece una amplia gama de información sobre las normas nacionales,
modificación. Los usuarios de los estándares británicos y pase deberán europeas e internacionales a través de su Centro de Conocimiento.
asegurarse de que poseen las últimas modificaciones o ediciones.

Tel: +44 (0) 20 8996 7004 Correo electrónico:

copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

Es el objetivo constante de BSI para mejorar la calidad de nuestros productos y [email protected]

servicios. Agradeceríamos si alguien encontrar una imprecisión o ambigüedad

BSI miembros suscriptores se mantienen al día con la evolución de las normas y
durante el uso de los estándares británicos informaría al secretario del comité
reciben importantes descuentos en el precio de compra de las normas. Para más
técnico responsable, la identidad de los que se puede encontrar en la portada
detalles de estos y otros beneficios en contacto con la Administración de
interior. Del mismo modo para pasar, por favor notifique a las partidas del
miembro.
balance de Servicio al Cliente.
Tel: +44 (0) 845 086 9001 E-mail:
[email protected]
Tel: +44 (0) 845 086 9001
Información sobre el acceso en línea a los estándares británicos y pasar a través de
BSI ofrece BSI abonados, un servicio de actualización individuo llamado British Standards Online se puede encontrar en
PLUS que garantiza que los suscriptores reciben automáticamente las http://shop.bsigroup.com/bsol
últimas ediciones de las normas británicas y aprobar.
Más información sobre British Standards está disponible en la web de BSI
en www.bsigroup.com/standards
Tel: +44 (0) 845 086 9001 E-mail:
[email protected]
Derechos de autor

Todos los datos, software y documentación establecidos en los estándares

La compra de las normas británicos y otras publicaciones BSI son propiedad de y propiedad de BSI, o
alguna persona o entidad que posee los derechos de autor en la información
Usted puede comprar versiones PDF y copia impresa de las normas directamente
utilizada (por ejemplo, los organismos internacionales de normalización) ha
utilizando una tarjeta de crédito de la tienda de BSI en el sitio web www.bsigroup.com/shop.
formalmente autorizado tales información para BSI para la publicación y el uso
Además todos los pedidos de publicaciones estándares BSI, internacionales y
comercial. Salvo que se permita bajo el Derecho de Autor, Diseños y Patentes de
extranjeras pueden dirigirse a las partidas del balance de Servicio al Cliente.
1988 no extracto puede ser reproducida, almacenada en un sistema de
recuperación o transmitida en cualquier forma o por cualquier medio - electrónico,
Tel: +44 (0) 845 086 9001 E-mail: fotocopia, grabación o de otro modo - sin el consentimiento escrito de BSI. Esto no
[email protected] excluye el uso gratuito, en el curso de la aplicación de la norma, de los detalles
necesarios, tales como símbolos y tamaño, tipo o designaciones de calidad. Si se
En respuesta a los pedidos de los estándares internacionales, BSI
van a utilizar estos datos para cualquier otro propósito que la aplicación a
suministrará la implementación estándar británico de la norma internacional
continuación, se debe obtener el consentimiento previo por escrito de BSI.
pertinente, a menos que se solicite lo contrario.
Detalles y consejos se pueden obtener en el Departamento de Licencias y
Derechos de Autor.

Tel: +44 (0) 20 8996 7070 Correo electrónico:

[email protected]
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution
copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution
 copia con licencia: Normas BSI, la versión correcta a partir de 16/11/2017 © British Standards Institution

www.bsigroup.com
BSI, 389 Chiswick High Road
Londres W4 4AL Reino Unido