Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CPNI Bsi
Centro para la Protección de la Infraestructura Nacional
Información de publicación y derechos de autor
La leyenda de derechos de autor de BSI incluida en este documento indica cuándo fue emitido por última
vez.
© BSI marzo de 2010
ISBN 978 0 580 70039 2
ICS 67.020
Prohibido fotocopiar sin autorización de BSI, excepto en los casos permitidos por la ley de derechos de
autor.
Historial de publicaciones
Primera publicación en marzo de 2008
Primera edición (presente) publicada en marzo de 2010
Esta Especificación Públicamente Disponible (PAS, por sus siglas en inglés) aplica a partir del 31 de
marzo de 2010.
Introducción ........................................................................................................................... iv
1 Alcance ................................................................................................................................ 1
2 Términos y definiciones .................................................................................................... 1
3 Amenazas malintencionadas motivadas ideológicamente contra los alimentos y la
distribución de alimentos ...................................................................................................... 2
4 Temas generales sobre defensa de los alimentos ........................................................ 3
5 Suposiciones ..................................................................................................................... 5
6 Punto de Control Crítico de Evaluación de Amenazas (TACCP, por sus siglas en
inglés)..................................................................................................................................... 6
7 Evaluación de las amenazas ............................................................................................. 8
8 Aseguramiento de la seguridad del personal................................................................... 9
9 Control del acceso a las instalaciones ............................................................................ 10
10 Control del acceso a los servicios ................................................................................ 12
11 Almacenamiento seguro de vehículos de transporte ................................................. 12
12 Control del acceso a los materiales .............................................................................. 12
13 Control del acceso a los procesos ................................................................................ 13
14 Planeación de contingencia para la recuperación después del ataque .................... 15
15 Auditoría y revisión de los procedimientos de defensa de los alimentos ............... 15
Anexos .................................................................................................................................. 16
Anexo A (informativo) Organización de algunas fuentes clave de asesoría e información .. 16
Anexo B (informativo) Guía de partes específicas de la cadena de distribución de
alimentos y bebidas ................................................................................................................ 18
Anexo C (informativo) En defensa de los alimentos: una lista de verificación de la defensa
de los alimentos y bebidas ..................................................................................................... 20
Bibliografía ............................................................................................................................... 22
Prefacio
Esta Especificación Disponible Públicamente (PAS, por sus siglas en inglés) ha
sido desarrollada por el Centro para la Protección de la Infraestructura Nacional
(CPNI, por sus siglas en inglés) en colaboración con el Instituto Británico de
Normalización (BSI, por sus siglas en inglés) en el año 2008. La edición original
hizo uso de estrategias preventivas de conformidad con el lineamiento de la
Organización Mundial de la Salud Terrorist Threat to Food (Amenazas
Terroristas a los Alimentos) [1], que se sometió a revisión en mayo de 2008.
Esta nueva edición 2010 de PAS 96 ha sido revisada y se han realizado
enmiendas a la misma para asegurar que continúe siendo relevante y exacta.
Se agradece a las siguientes organizaciones BSI ha invitado a otros a realizar comentarios
que fueron consultadas en el desarrollo de más amplios. Agradecemos las
esta especificación: contribuciones expertas realizadas por las
• Agrico UK organizaciones e individuos consultados en el
• Arla Foods desarrollo de esta PAS.
• Associated British Foods
• Baxters Food Group La presente especificación ha sido preparada
• Universidad de Cranfield y publicada por BSI, que conserva su
• Dairy UK propiedad y derechos de autor. BSI se
• Defra reserva el derecho de retirar o enmendar esta
• Federación de Alimentos y Bebidas PAS al recibir una indicación fidedigna de que
• Agencia de Normas de Alimentos resulta apropiado hacerlo. Esta PAS será
• Gate Gourmet revisada a intervalos que no sobrepasen los
• Agencia de Protección de la Salud dos años y se publicarán todas las enmiendas
• HJ Heinz que surjan de la revisión en forma de PAS
• J Sainsbury enmendada que se publicará en Update
• The Kellogg Company Standards.
• Kraft Foods
• Universidad de London South Bank Esta especificación no pretende incluir
• Marks and Spencer todas las disposiciones necesarias de un
• Muller Dairy contrato. Los usuarios son responsables
• Sindicato Nacional de Granjeros de su correcta aplicación.
• Federación Escocesa de Alimentos y
Bebidas El cumplimiento con esta Especificación
• Tesco Disponible Públicamente no confiere por sí
• Waitrose mismo inmunidad en relación con las
obligaciones legales.
Los lineamientos generales deben ser interpretados precisamente así. Éstos son generales porque son
los gerentes quienes cuentan con el conocimiento específico de los detalles especializados de su
negocio, los cuales no resultarían apropiados para un documento como éste, así como porque la
información demasiado específica podría ser de utilidad para un posible criminal. Se trata de lineamientos
y no de requerimientos, dado que una característica clave de la especificación PAS 96 es la
„proporcionalidad‟. El riesgo es distinto para los diferentes negocios, para las diferentes operaciones y
para los diferentes productos. Por lo tanto, se encuentra implícito que las diferentes evaluaciones de
riesgos producirán planes de acción distintos proporcionales a cada situación individual y, de hecho, en
ciertos casos, a la decisión legítima de no realizar acción específica alguna.
Para hacer que los lineamientos sean tan prácticos y accesibles como sea posible, la especificación PAS
96 se ha redactado deliberadamente para integrar en una disposición el razonamiento subyacente a la
misma. Intenta emplear un lenguaje familiar para la industria sin proveer definiciones de manera continua,
así como intenta equilibrar la concisión y la exhaustividad al hacer clara referencia a otras fuentes de
información. Ha sido aceptada cierta repetición cuando se ha requerido hacer énfasis en algo o facilitar la
lectura.
Ésta supone que los gerentes se encuentran conscientes del Punto de Control Crítico de Evaluación de
Amenazas (HACCP, por sus siglas en inglés) o procedimientos similares de manejo de riesgos, principios
de manejo de crisis y principios de manejo de continuidad del negocio, así como que han implementado
procedimientos efectivos. Se espera que la mayor parte de los ejecutivos desarrollen disposiciones de la
especificación PAS 96 en estos protocolos existentes. Aunque PAS 96 recomienda un abordaje en
equipo, dado que generalmente es la mejor manera de conjuntar experiencias relevantes, se reconoce
que para muchos, en particular las pequeñas empresas, el equipo podría reducirse a una sola persona.
En contraste con muchas normas, la especificación PAS 96 no es considerada como una herramienta de
auditoría externa. El principio de la proporcionalidad significa que las diferentes operaciones dentro de
incluso un único negocio podrían llegar a evaluaciones muy diferentes de sus implicaciones. Podría
resultar razonable que un cliente pregunte si su proveedor se encuentra familiarizado con los lineamientos
de PAS 96, así como que pregunte si ha implementado los pasos (proporcionales) que considere
necesarios, pero sin requerir de una acción específica en relación con cada párrafo individual.
PAS 96 se escribe en el contexto del Reino Unido e invita a los operadores a considerar los lineamientos
en el contexto de los requerimientos legislativos del Reino Unido. Ésta no considera la aplicación a nivel
internacional, aunque las operaciones podrían encontrar que algunos abordajes resultan útiles y son
bienvenidos para hacer de cualquiera de los mismos un uso que consideren apropiado.
En resumen, PAS 96 proporciona algunos abordajes para el creciente problema de los ataques
malintencionados contra la industria de alimentos y bebidas. Sus disposiciones deben ser tanto prácticas
como proporcionales y deben ayudar a los negocios a disuadir a atacantes potenciales. BSI y CPNI
recibirán con gusto retroalimentación sobre la estructura, formato y disposiciones de PAS 96 y,
especialmente, sobre omisiones percibidas por los lectores o revisiones que consideren necesarias.
Introducción
Los negocios dentro de la industria de los alimentos y bebidas se encuentran
adecuadamente versados en los procesos requeridos para poner a disposición
de los clientes alimentos seguros, saludables, nutritivos y apetecibles. La
eliminación de la contaminación de las fuentes de materia prima de los
alimentos, el procesamiento para hacerlas consumibles y el manejo de la
distribución para evitar la recontaminación y deterioro, constituyen el corazón
de la industria alimentaria moderna. La metodología del Punto de Control
Crítico de Evaluación de Amenazas (HACCP, por sus siglas en inglés) ha
demostrado ser invaluable para controlar amenazas espontáneas que se basan
en la naturaleza ambiental y biológica de los alimentos y que son de naturaleza
básicamente aleatoria.
Los negocios y el público en general dentro del sector de los alimentos y bebidas enfrentan ahora una
amenaza diferente – aquella del ataque malintencionado, realizado especialmente por individuos y grupos
con motivaciones ideológicas. Esta amenaza se manifestará de un modo que refleje la motivación y
capacidad de estas personas. No sigue la aleatoriedad estadística y, por lo tanto, tampoco patrones
predecibles de „amenazas‟ familiares, de manera que el abordaje de HACCP ya establecido podría no
funcionar de no ser modificado.
Este documento busca informar a todos aquellos involucrados en la industria de los alimentos y bebidas
sobre la naturaleza de esta amenaza, para sugerir maneras de disuadir el ataque y para recomendar
abordajes que mitiguen el efecto de un ataque, si es que llegara a producirse. La interpretación del
lineamiento depende del juicio individual de los gerentes de cada negocio. La acción realizada por
cualquier negocio debe ser proporcional a la amenaza enfrentada por dicho negocio y el documento
señala abordajes para evaluar esta amenaza. Las disposiciones de esta PAS no se encuentran diseñadas
para emplearse como una herramienta de auditoría, dado que diferentes organizaciones realizarán
diferentes evaluaciones de amenaza, vulnerabilidad e impacto, así como implementarán diferentes
prácticas en defensa de los alimentos que manejan y los mecanismos de distribución que emplean.
Resulta central para la defensa de los alimentos que un equipo experimentado y de confianza realice una
evaluación sistemática de los elementos vulnerables de la cadena de distribución. En este documento,
esto se denomina „Punto de Control Crítico de Evaluación de Amenazas (TACCP, por sus sigla en inglés)‟
y se describe en la Cláusula 6. La evaluación refleja los procedimientos establecidos para el manejo de
riesgos y es probable que las organizaciones los incorporen en marco del manejo de crisis y/o continuidad
del negocio.
Muchas otras publicaciones, incluyendo las Normas Británicas y guías de CPNI, tienen una relevancia
directa para la defensa de los alimentos y bebidas. Éstas incluyen las normas y lineamientos de las
buenas prácticas para la rastreabilidad y manejo de la continuidad de los negocios. Con fines de
concisión, su contenido se bosqueja en esta PAS y se proporcionan referencias de lectura adicionales en
la bibliografía. La distribución de alimentos y bebidas requiere de servicios apropiados de agua y energía,
así como de una infraestructura efectiva de telecomunicaciones y transportación, por lo que se hace
referencia a orientación fidedigna sobre seguridad de protección en estas áreas. Además, el Anexo A
proporciona un breve directorio de organizaciones con relevancia para aspectos relacionados con la
defensa de los alimentos.
Los negocios de alimentos serán capaces de emplear esta orientación en el contexto de un régimen
efectivo de manejo de seguridad de los alimentos, tal y como el Punto de Control Crítico de Evaluación de
Amenazas (HACCP, por sus siglas en inglés) o Red Tractor (Tractor Rojo) [2]. Esta PAS supone y se
basa en la operación efectiva de dichos protocolos.
2 Términos y definiciones
Para los propósitos de esta PAS, aplican los siguientes términos y definiciones:
Los alimentos que se venden “abiertos” para que el cliente escoja podrían ser particularmente vulnerables
Estudio de caso B:
En el verano de 2007, un importante productor de productos de repostería horneados y en frío en el
Reino Unido perdió cinco días de producción, con un costo del 5% de su facturación anual, cuando la
fábrica dejó de operar después de un ataque malintencionado usando cacahuates.
La fábrica se había establecido como un sitio libre de frutos secos y la información de alérgenos en el
empaque del producto reflejaba este estatus. El descubrimiento de cacahuates, inicialmente en las áreas
de servicio y posteriormente en las áreas de fabricación, condujo a la fábrica a detener sus operaciones.
También provoco la remoción de productos de la venta al menudeo debido a potenciales reacciones
anafilácticas en personas con alergia a los frutos secos. Una investigación policiaca del caso descartó
que la causas fueran accidentales.
La producción fue reiniciada únicamente después de realizar un profunda limpieza y revisión a
conciencia a todo lo largo del sitio en relación con los procedimientos de seguridad de protección del
mismo. Estas medidas fueron convenidas y apoyadas por los clientes minoristas antes del reinicio de la
distribución.
Afortunadamente, ningún producto contaminado salió del sitio, de manera que pudo evitarse un serio
daño debido a choque anafiláctico.
De manera global, el comercio de alimentos altamente competitivo podría parecer un blanco ideal del
ataque malintencionado motivado ideológicamente. Esto podría provocar daños masivos, problemas
económicos y pánico generalizado. De muchas maneras, podría parecer que la diversidad de las
operaciones alimenticias hace que la distribución de alimentos sea altamente vulnerable al ataque. Sin
embargo, la competencia dentro del sector y la naturaleza de la distribución de alimentos misma proveen
una considerable capacidad de recuperación intrínseca.
Otras formas de motivación han conducido a ataques dañinos a los alimentos. La extorsión, coerción y
acción criminal para promover una „causa‟ podrían verse acompañadas por alguna forma de advertencia
que no sería esperada de un grupo terrorista. La información de cualquier forma sobre cualquier ataque o
amenaza de ataque, debe ser notificada a los gerentes principales sin demora. Éstos deben implementar
de inmediato procedimientos de manejo de crisis, incluyendo la notificación a la policía.
En la práctica, la realización de un ataque importante en la cadena de distribución de alimentos es mucho
más difícil de lo que podría pensarse al inicio. Sin embargo, incluso un ataque limitado podría provocar
daños y pérdidas económicas, así como podría producir un perjuicio significativo a las „marcas‟. Siendo
una amplia inquietud de los medios y consumidores, esta amenaza requiere que las compañías y
negocios aborden la defensa de los alimentos de manera responsable y proactiva.
Esta PAS identifica en general tres amenazas contra los alimentos y bebidas:
1. La contaminación intencional con materiales tóxicos que provocan enfermedades e incluso la muerte;
2. El sabotaje de la cadena de distribución que conduce a la escasez de alimentos;
3. El uso inadecuado de materiales de alimentos y bebidas con fines terroristas o criminales.
Estas amenazas podrían ser realizadas por toda una serie de individuos o grupos, incluyendo:
• Personas sin conexión con la organización;
• Personas con una relación contractual, tal como proveedores y contratistas;
• Personal hostil o descontento.
Adicionalmente, se podrían emplear técnicas tanto físicas como electrónicas para lograr dichos fines. Esta
PAS propone un abordaje holístico de la defensa de los alimentos.
Una organización podría decidir identificar un rango creciente de actividades a ser implementadas a
medida que se desarrolla una amenaza.
4.3 La red de distribución de los alimentos
La Figura 1 ilustra algunas de las operaciones involucradas en la moderna distribución de alimentos y
bebidas.
Ésta no pretende ser exhaustiva. Se trata de una imagen sobresimplificada que pretende ilustrar las
interrelaciones y proveer una visión amplia.
Lo negocios de operaciones „iniciales‟ o „hacia arriba‟, tal y como granjas, sufrirían daños económicos
debido a un ataque efectivo que podría provocar que grandes extensiones de tierra se volvieran
improductivas. Los fabricantes podrían sufrir daños significativos en relación con la reputación de marca.
También existe el potencial de que se produzcan víctimas, aunque dicho ataque podría resultar más difícil
que en los escenarios „finales‟. El incidente de Sudán 1 en el 2005 (Estudio de Caso C) ilustra el punto de
la pérdida económica.
Estudio de caso C:
En febrero y marzo de 2005, más de 500 productos alimenticios fueron retirados de la venta en el Reino
Unido debido a contaminación con un colorante ilegal, Sudán 1. El colorante se encontró presente en
chile en polvo suministrado desde el extranjero. El chile en polvo había sido empleado directamente
como un ingrediente y en productos compuestos como Salsa Inglesa que, a su vez, fueron utilizados en
productos más complejos.
Aunque nada sugirió conductas malintencionadas, el costo del desecho costó a la industria varios cientos
de millones de libras. El caso también ilustró con claridad la complejidad de operar regímenes de
rastreabilidad efectivos con ingredientes con una larga vida útil utilizados en productos con una larga vida
útil que son a su vez ingredientes compuestos.
5 Suposiciones
La adecuada seguridad de los productos se basa en prácticas sólidas de seguridad de los alimentos para
evitar, detectar y eliminar la contaminación espontánea.
NOTA: La contaminación espontánea se produce azarosamente. Ésta podría incluir lo siguiente:
• Partes de la planta o animal original de donde se ha derivado el alimento, v.g. un hueso en una cereza u
oculto en un pedazo de carne;
• Un material asociado de manera estrecha con la fuente original del alimento, v.g. piedras de tierra con
fruta seca o granos de avena en una cosecha de trigo;
• La contaminación física derivada del proceso, v.g. el cabello de un operario o trozos de la maquinaria de
procesamiento.
Puede encontrarse información adicional sobre las buenas prácticas en esta área en:
Assured Food Standards „Red Tractor Scheme‟ [2];
Good Manufacturing Practice: A Guide to its Responsible Management [3];
FSA‟s Preventing and Responding to Food Incidents [4].
Los negocios deben tener operaciones higiénicas y emplear HACCP como una parte integral de su
sistema de manejo de calidad. Deben operar en concordancia con normas reconocidas de la industria,
como la British Retail Consortium‟s Global Standard for Food (Norma Global para Alimentos del Consorcio
Británico de Venta al por Menor) [5] ó BS EN ISO 22000:2005, Food safety management systems.
Requirements for any organization in the food chain (Sistemas de manejo de la seguridad de los
alimentos. Requerimientos para toda organización en la cadena de producción). Las compañías más
pequeñas podrían encontrar útil el esquema The Safe and Local Supplier Approval Scheme (SALSA, por
sus siglas en inglés) (Esquema de Aprobación de Proveedores Locales y Seguros) [6].
NOTA: Se proporcionan detalles de otras normas de la industria en la bibliografía.
Deben implementarse políticas positivas de manejo para controlar los riesgos de incendio y cuestiones de
salud y seguridad. La prevención de crímenes debe ser una inquietud constante. En la Policía [7] se
encuentra disponible orientación general sobre prevención de crímenes mediante el diseño de
instalaciones. Se recomienda que el manejo de la defensa de los alimentos sea responsabilidad
específica de un funcionario designado que cuente con la autoridad necesaria.
6 Punto de Control Crítico de Evaluación de Amenazas
(HACCP, por sus siglas en inglés)
6.1 Generalidades
El Punto de Control Crítico de Evaluación de Amenazas (HACCP, por sus siglas en inglés) es el abordaje bien
establecido y legalmente requerido para asegurar la integridad de los alimentos. Éste incita a los equipos de manejo a
revisar las amenazas establecidas que son generalmente de naturaleza espontánea y sobre las que puede existir
información estadística significativa. En claro contraste con dichas amenazas, hay otras que provienen de individuos y
grupos con intenciones de hacer daño. Bien podría no existir un precedente directo del cual aprender; la estadística
podría resultar irrelevante. No hay principios ambientales o ecológicos que puedan ser apelados. El tamaño de la
amenaza depende de tres características:
• De la motivación, innovación y capacidad del atacante potencial;
• De la vulnerabilidad del objetivo;
• Del impacto prospectivo de un ataque exitoso.
Los profesionales del sector alimenticio desearán reducir al mínimo las oportunidades de pérdida de la vida,
enfermedad, pérdida financiera y daño a la reputación que podría provocar un ataque malintencionado.
El abordaje de Punto de Control Crítico de Evaluación de Amenazas se basa en filosofías de manejo de continuidad del
negocio y HACCP. Se trata de la evaluación sistemática de amenazas, el examen de los procesos para identificar
puntos vulnerables y la implementación de acciones que constituyan un remedio para mejorar la capacidad de
recuperación contra ataques malintencionados realizados por grupos o individuos. Considera específicamente que el
ataque malintencionado tiene probabilidades de involucrar agentes, materiales o estrategias no previstos. La naturaleza
del agente „preferido‟ estará influida por la naturaleza de los alimentos mismos, como su estado físico, composición
química, empaque y vida útil. Los profesionales reconocerán que el protocolo sigue el formato de HACCP establecido y
también reconocerán las diferencias clave con base en la naturaleza predecible y aleatoria de las amenazas y la
naturaleza malintencionada pretendida de amenazas que requieren del pensamiento creativo para anticipar modos de
ataque e identificar precauciones de disuasión. TACCP es una herramienta preventiva. Puede manejarse dentro de los
procedimientos de continuidad del negocio.
6.4 Impacto
El reclamo o incluso el rumor de contaminación malintencionada de productos alimenticios puede por sí solo conducir a
comentarios adversos en los medios, aversión de los clientes e inquietud de los consumidores con implicaciones
negativas para la imagen de la „marca‟. Un ataque real podría provocar enfermedades e incluso la muerte, así como
dichas consecuencias psicológicas y económicas.
Los negocios de alimentos desean proteger a sus consumidores. También desean cumplir con la legislación de
seguridad de los alimentos conforme a la cual se encuentran obligados a tomar todas las precauciones razonables y a
ejercer toda diligencia debida para evitar un delito.
Aunque el uso de este protocolo de TACCP no puede evitar una queja de ataque malintencionado, podría ser de
utilidad para establecer la credibilidad de dicha queja. Cualquiera de dichas quejas y cualquier incidente real apelará a
los sistemas de manejo de la continuidad del negocio, incluyendo el manejo de medios y las estrategias de relaciones
públicas. TACCP no reemplaza a dichas estrategias, sino que debe complementarlas, pudiendo involucrar a la misma
gente.
El procedimiento de evaluación y mitigación de amenazas normalmente puede ser general para una línea de producción específica
Todas las personas designadas deben tener un profundo conocimiento de los procesos reales, ser altamente
confiables, discretas y estar conscientes de las implicaciones del estudio.
Para el negocio:
• ¿Nuestros propietarios son extranjeros que forman parte de naciones involucradas en conflictos internacionales?
• ¿Tenemos a un propietario o director ejecutivo que sea una celebridad o personaje público?
• ¿Tenemos la reputación de tener nexos significativos, clientes, proveedores, etcétera con regiones inestables del
mundo?
• ¿Son nuestras marcas consideradas como controvertidas por algunos?
• ¿Nosotros o nuestros clientes son proveedores para eventos o clientes que sean figuras públicas?
• ¿Apoyamos solicitudes para la obtención de visas de visitantes del extranjero?
NOTA: Estas listas no son exhaustivas.
La consideración de las respuestas a estas preguntas puede ayudar a comprender el impacto de un ataque exitoso y la
probabilidad de que ocurra. Esto ayuda a conformar un juicio sobre el nivel „proporcional‟ de la protección requerida
(„Requerimientos Operativos‟).
8 Aseguramiento de la seguridad del personal
NOTA: Para obtener una orientación extensiva sobre la seguridad del personal, favor de remitirse a
www.cpni.gov.uk/ProtectingYourAssets/personnelsecurity-268.aspx [9].
Todos los empleados y contratistas visitantes dentro de la industria alimenticia se encuentran en un cierto grado en
puestos de confianza. Los empleadores deben asegurarse de que los individuos son dignos de esa confianza. Algunas
posiciones delicadas o clave (v.g., guardias de seguridad, recepción de mercancías y supervisores de empacado,
ingenieros y técnicos de control de procesos) requieren de un alto nivel de independencia y confiabilidad y son
medulares para el éxito de las operaciones. La evaluación sistemática de las tareas puede identificar estos papeles y
permitir la designación de aquellos con un historial apropiado o que hayan tenido resultados satisfactorios en un
proceso de monitoreo más estricto.
Los gerentes deben estar conscientes de que tanto ellos como el personal de confianza se encuentran sujetos a
coerción o traición por aquellos que tienen una disposición malintencionada y deben pensar la forma en la que debe
manejarse el comportamiento inusual.
Lo cercados perimetrales completos y visibles podrían funcionar como disuasorios de intrusos y un sistema de alarma
asociado puede indicar si se produce dicha intrusión. Las especificaciones indicadas para el cercado perimetral
dependen de los Requerimientos Operativos provistos por la evaluación de amenazas. El acceso no autorizado puede
ser monitoreado usando circuito cerrado de televisión (CCTV, por sus siglas en inglés) y guardias de seguridad, dado
un sistema de iluminación externa adecuado.
Los controles perimetrales deben considerar también la situación del sitio (caminos, vías navegables, otros edificios,
restricciones de planeación), así como cuestiones tecnológicas como el control de plagas. Los controles perimetrales
deben ser considerados como un todo, de modo que los puntos débiles en una parte no afecten los puntos fuertes en
otras. Cualquier negocio que considere desarrollar un nuevo sitio debe atender a consideraciones de seguridad de
protección en el proceso de diseño.
Debe ponerse atención en la planeación y mantenimiento del sitio. El acceso a y desde el sitio debe ser claro y debe
existir la capacidad de vigilarlo. El exceso de follaje debe ser retirado con regularidad para que la vigilancia sea
completa.
NOTA 1: La orientación sobre la fabricación y realización de pruebas de medidas de restricción para vehículos hostiles
(v.g., barreras contra choques) puede encontrarse en PAS 68:2010 Specification for vehicle security barriers
(Especificación para las barreras de seguridad de vehículos).
NOTA 2 La orientación sobre ralentización del tráfico y la disposición e instalación de medidas de restricción de
vehículos puede encontrarse en PAS 69: 2006 Guidance for the selection, installation and use of vehicle security
barriers (Lineamiento para la selección, instalación y uso de barreras de seguridad de vehículos).
Los suministros de materiales deben ser programados con anticipación y los suministros no programados no deben ser
aceptados. El personal responsable de recibir la mercancía debe revisar la documentación y la integridad de las cargas
tanto como sea posible, así como registrar los números de serie de cualquier etiqueta con mecanismos de
inviolabilidad. Los suministros de mercancías distintos a aquellos con fines comerciales (v.g., para los alimentos del
personal) no deben ser pasados por alto como portadores potenciales de material malintencionado. El personal debe
estar consciente de los peligros del uso ilegal del servicio de emergencia y otros vehículos utilitarios (vehículos „Trojan‟)
que no son lo que parecen, de los engaños para obtener el acceso, así como de la coerción ejercida por conductores
legítimos para portar materiales malintencionados. Cuando sea posible debe investigarse cualquier vehículo que se
encuentre fuera de los horarios de suministro programados.
9.3 Puntos de acceso para personas
El ingreso automático de individuos debe otorgarse con base en lo que tienen (v.g., una llave o un token
como una tarjeta deslizante) o lo que saben (v.g., una contraseña o código NIP) o, de preferencia, ambos.
Este último abordaje debe ser empleado para limitar el acceso a áreas delicadas, como silos de
almacenamiento a granel y salas de control de proceso para personal de confianza.
Además de las personas en el negocio oficial, todos los visitantes deben tener cita, así como ser
registrados y supervisados por la administración.
Los materiales peligrosos, en particular los químicos limpiadores y desinfectantes que pueden en sí
mismos ser utilizados inadecuadamente con fines malintencionados, deben ser manejados de forma
segura y en un sitio de almacenamiento cerrado bajo el control de un gerente de confianza. La orientación
sobre el control de fertilizante de nitrato de amonio [25] en la agricultura (véase el Anexo B.1) podría
adaptarse para emplearse con desinfectantes a base de peróxido, aditivos nocivos y pesticidas. La
revisión efectiva de la coincidencia de las existencias debe conformar un elemento constante de control
de dichos materiales, como sucede para los mecanismos de inviolabilidad (al recibir y descargar) de los
contenedores de almacenamiento y distribución. Las mismas consideraciones aplican para cualquier
material tóxico o patogénico utilizado como agente de laboratorio.
Los esquemas de recepción de materias primas deben incluir revisiones de la integridad de los sellos con
mecanismos de inviolabilidad. Los materiales sospechosos o aquellos con sellos violados no deben ser
empleados sin realizar una limpieza e investigación adicionales.
Los empleados deben contar con un espacio de almacenamiento que pueda cerrarse para guardar sus
pertenencias personales, para permitir su separación del proceso.
Los modernos procesos de negocios (v.g., libro mayor de compras y ventas, recepción y procesamiento
de pedidos, programación de la producción, punto de control de mercancías para venta y sistemas de
pago) se basan típicamente en plataformas electrónicas genéricas (v.g., SAP, ORACLE, Microsoft
Windows, Unix) y son vulnerables a ataques malintencionados, independientemente del sector
involucrado. Los gerentes de tecnología de la información deben implementar medidas de seguridad
electrónica que cumplan con la norma ISO 27001. Éstos deben mantener software y firewalls actualizados
de verificación de virus y deben instalar parches y actualizaciones tan pronto como se encuentren
disponibles. Los gerentes deben considerar hasta qué grado se requiere de espera activa (es decir, listo
para operar), espera pasiva (es decir, puede ponerse a funcionar con rapidez) y espera inactiva (es decir,
registros archivados) u otros sistema de respaldo y si se requiere de la duplicación de los sistemas de
tecnología de la información para proveer la capacidad de recuperación que resulte necesaria. Los
derechos de acceso para los administradores deben basarse en una autenticación e identificación
separadas e independientes. Esto provee un registro de auditoría para, por ejemplo, la asignación de
Las etiquetas claras son esenciales para asegurar la Los contenedores de distribución y almacenamiento
capacidad de rastreo deben tener mecanismos de inviolabilidad
derechos de acceso de usuarios, el manejo de la instalación de anti-virus y firewall y la aplicación de parches. Algunas
operaciones se basan en sistemas diseñados a la medida, en lugar de sistemas estándar. Éstas podrían tener menos
probabilidad de atraer la atención malintencionada, aunque podrían resultar más difíciles de defender. El creciente uso
de protocolos de internet, por ejemplo para permitir la interconexión a distancia, hace que las operaciones se
encuentren cada vez más abiertas a un ataque y amerita la implementación estricta de medidas de seguridad. CPNI
ofrece asesoría específica sobre infraestructura nacional, para ayudar a mitigar amenazas para la seguridad electrónica
[27].
Las adquisiciones ocasionales deben ser objeto de estrictas revisiones técnicas internas y de control de calidad. Las
adquisiciones ocasionales deben ser la excepción más que la norma. Debe tenerse cuidado de asegurar que los
proveedores ocasionales no se conviertan en proveedores permanentes antes de ser sometidos a revisiones y
controles apropiados.
El „trabajo en curso‟ parcialmente fabricado debe ser cubierto y podría protegerse con signos de inviolabilidad si se
almacena. Los empaques de producto terminado para la exhibición de venta al menudeo normalmente deben tener
mecanismos de inviolabilidad.
El examen sensorial de los ingredientes y otros productos alimenticios en busca de olores o apariencia inusuales, se
recomienda para que puedan ser aceptados en el almacén de materiales.
Se requiere de una cuarentena de seguridad y del desecho de todo el material de desecho, especialmente los
empaques impresos, para asegurar que no se conviertan en una fuente de contaminación o uso inadecuado.
Los mecanismos de inviolabilidad proporcionan una protección importante contra daños y lesiones
14 Planeación de contingencia para la recuperación
después del ataque
El uso de los principios de manejo de continuidad del negocio que cumplen con BS 25999 Business
continuity management. Part 1: Code of Practice (Manejo de la continuidad del negocio. Parte 1: Código
de Práctica) proporcionará una buena capacidad de recuperación para reaccionar y recuperarse de un
ataque malintencionado. Tal vez los gerentes deseen revisar con regularidad el equilibrio entre su
disposición de distribución “justo a tiempo” en relación con la disposición “de llegar a ocurrir”. Tal vez
resulte aconsejable echar mano de cierta fuente de servicios clave, además de aquellas de los servicios
electrónicos discutidas en la Cláusulas 10 y 13.2. Aunque es probable que la duplicación de los servicios
de red resulte apropiada únicamente para un pequeño número de muy grandes „proveedores únicos‟,
debe pensarse en ciertos esquema alternativos.
Los procedimientos de manejo de emergencias y crisis deben ser desarrollados y puestos a prueba en
estrecha relación con las dependencias y gobiernos locales (el Foro Local de Capacidad de
Recuperación), con el fin de maximizar la colaboración y reducir al mínimo la confusión en caso de
producirse un ataque o emergencia accidental.
Las organizaciones deben mantener una lista de contactos clave para emergencias que incluya socios
tanto internos (ejecutivos principales, depositarios de llaves y ayudantes) como externos (Funcionarios de
Salud Ambiental, Funcionarios de Normas de Comercio, analistas públicos, Agencia de Normas de
Alimentos).
Los esquemas para el manejo de los medios y la información al público en general con el fin de reducir al
mínimo una reacción exagerada a un evento, deben ser los elementos clave de un plan de continuidad del
negocio. Sin embargo, en el caso de un ataque intencional, es probable que el control de estas
actividades se encuentre en manos de la Policía y la Agencia de Normas de Alimentos.
Un sistema de rastreo efectivo, tanto en las etapas iniciales vinculadas con los ingredientes como en las
etapas finales vinculadas con los productos terminados, debe ser desarrollado para reducir al mínimo las
consecuencias de un ataque. Los esquemas de retiro de productos deben ser puestos a prueba para
asegurar que dichos procedimientos sean tan efectivos como sea posible.
Todas las políticas relacionadas con el manejo general de riesgos y seguridad (incluyendo la Planeación
de Desastres y Continuidad del Negocio) deben ser revisadas y recopiladas para asegurar que no haya
contradicciones o anomalías y que se encuentren implementados procedimientos de apoyo apropiados.
El Equipo de TACCP debe monitorear la página electrónica del Servicio de Seguridad [28] en busca de
actualizaciones en la evaluación de amenazas nacionales. La situación local puede ser revisada con
frecuencia y de forma breve tomando como control los cambios de las condiciones que premian en las
instalaciones. El reporte conciso de la revisión debe tener únicamente una circulación limitada.
Se recomienda fuertemente a los criadores mantener niveles efectivos de bioseguridad, los cuales reducen al mínimo
el contacto innecesario entre animales, así como entre personas y animales. Se recomienda que el equipo y las
instalaciones sean limpiados y desinfectados tanto como sea posible. Los signos de enfermedad deben ser reportados
lo más pronto posible. La orientación sobre bioseguridad puede encontrarse en
www.defra.gov.uk/animalh/diseases/control/biosecurity/index.htm.
La Autoridad de Licencias de Gangmasters (GLA, por sus siglas en ingles) [29] tiene el objetivo de frenar la explotación
de los trabajadores de la agricultura, horticultura, recolección de mariscos y las industrias asociadas de procesamiento
y empacado, así como ofrece asesoría sobre el uso de equipos eventuales de trabajadores. Los criadores no deben
suponer que los miembros de bandas reguladas son necesariamente dignos de confianza.
Las granjas hacen uso de muchos químicos que pueden ser empleados inadecuadamente para provocar daños
severos. Los agroquímicos deben ser almacenados de una manera segura que disuada el robo y deben ser
almacenados y manejados por separado de los materiales y equipo alimenticios. El fertilizante de nitrato de amonio ha
sido usado inadecuadamente para fabricar dispositivos explosivos y debe ser manejado conforme a las
recomendaciones de NaCTSO [25].
El Servicio de Higiene de Carnes (MHS, por sus siglas en ingles) [30] controla y brinda asesoría a los operadores de
rastros que deben estar alertas con respecto a los síntomas de enfermedades inusuales o exóticas en los animales que
manejan. Seguirán procedimientos de precaución de cuarentena en caso de que se sospeche la existencia de una
enfermedad zoonótica.
Los procesadores y empacadores de alimentos líquidos, incluyendo agua embotellada, reconocerán la facilidad con la
que los contaminantes podrían dispersarse en el producto.
Las paradas durante la transportación en recorridos largos dan oportunidad a que se produzcan ataques
malintencionados. Los conductores deben revisar los sellos con mecanismos de inviolabilidad (incluyendo
aquellos empleados en puertos de entrada y salida de pipas) después de cada descanso y antes de
cargar o descargar, así como reportar cualquier cosa inusual de inmediato para permitir la realización de
una investigación forense.
La Asociación de Transporte Carretero (RHA, por sus siglas en inglés) publica lineamientos de seguridad
para los operadores de fletes [31].
La integridad del empaque es central para la protección de Los sellos de diafragma pueden proveer evidencia de
los productos inviolabilidad para empaques de alimentos sólidos y líquidos
Una amenaza clave para los vendedores minoristas proviene de individuos o grupos que violan el
empaque de un producto y después lo devuelven al anaquel de exhibición. La integridad de los empaques
es central para la protección de los productos.
Algunos puntos de venta atienden específicamente a grupos vulnerables (v.g., personas mayores,
personas con inmunodeficiencias), de modo que tendrán que ser particularmente diligentes a este
respecto.
Los proveedores de alimentos que atienden a la industria aérea reconocerán las estrictas regulaciones
que controlan sus operaciones.
Encontrarse cerca del punto de consumo hace que los empleados en los puntos de venta de alimentos se encuentren en una
posición en donde podrían realizar ataques a los alimentos y ver el impacto casi de inmediato
Anexo C (informativo)
Publicaciones estándar
BS EN ISO 22000, Food safety management systems. Requirements for any organization in the food
chain
BS EN ISO 22005, Traceability in the food and feed chain – General principles and basic requirement for
system design and implementation
BS ISO/IEC 27001, Information technology. Security techniques. Information security management
systems. Requirements
BS 7858, Security screening of individuals employed in a security environment. Code of practice
BS 25999, Business continuity management. Part 1: Code of practice
PAS 68, Specification for vehicle security barriers
PAS 69, Guidance for the selection, installation and use of vehicle security barriers
BSI es el organismo nacional independiente responsable de preparar las Normas Británicas. Éste
presenta el punto de vista del Reino unido en relación con las normas en Europa y a nivel internacional.
Ha sido constituido mediante Cédula Real.
Revisiones
Las Normas Británicas se actualizan mediante enmienda o revisión. Los usuarios de las Normas Británicas deben
asegurarse de que poseen las enmiendas o ediciones más recientes.
En BSI tenemos el objetivo constante de mejorar la calidad de nuestros productos y servicios. Agradeceremos informen
al Centro de Información sobre cualquier hallazgo de inexactitud o ambigüedad realizado al emplear esta
Especificación Disponible Públicamente.
Tel.: +44 (0)20 8996 7111
Fax: +44 (0)20 8996 7048
Correo electrónico: info@bsigroup.com
BSI ofrece a sus miembros un servicio individual de actualización denominado PLUS, el cual asegura que los
suscriptores reciban automáticamente las ediciones más recientes de las normas.
Adquisición de Normas
Los pedidos de todas las publicaciones de normas de BSI, internacionales y extranjeras, deben ser dirigidos a Servicio
al Cliente.
Tel: +44 (0)20 8996 9001
Fax: +44 (0)20 8996 7001
Correo electrónico: orders@bsigroup.com
Los miembros suscriptores de BSI son mantenidos actualizados sobre los desarrollos de las normas y reciben
descuentos sustanciales en el precio de adquisición de las normas. Para conocer los detalles de éste y otros
beneficios, contacte a la Administración de Membresías.
Tel: +44 (0)20 8996 7002
Fax: +44 (0)20 8996 7047
Correo electrónico: membership@bsigroup.com
La información sobre el acceso en línea a las Normas Británicas a través de British Standards Online puede
encontrarse en www.bsigroup.com/bsol.
Se encuentra disponible información adicional sobre BSI en la página electrónica de BSI, en www.bsigroup.com.
Derechos de autor
Todas las publicaciones de BSI se encuentran protegidas por derechos de autor. BSI cuenta también con los derechos
de autor en el Reino Unido de las publicaciones de los organismos internacionales de normalización. Excepto por
aquello permitido por la Ley de Derechos de Autor, Diseños y Patentes de 1988, ninguno de sus extractos puede ser
reproducido, almacenado en un sistema de recuperación, ni transmitido de forma alguna ni a través de medio alguno –
ya sea electrónico, fotocopia, grabación u otro – sin la autorización previa por escrito de BSI.
Esto no excluye el uso libre, en el desarrollo de la implementación de la norma, de los detalles necesarios como los
símbolos, así como el tamaño, tipo o designaciones de grado. Si estos detalles se emplearan para cualquier otro
propósito distinto a la implementación, entonces debe obtenerse la autorización previa por escrito de BSI.
Pueden obtenerse detalles y asesoría en el Departamento de Licencias.
Tel: +44 (0)20 8996 7070
Fax: +44 (0)20 8996 7512
Correo electrónico: copyright@bsigroup.com