asiantuntija-artikkeli: Kokonaiskuvan ja turvallisuuden parantaminen monitoimiympäristössä

ASIANTUNTIJA-ARTIKKELI

KOKONAISKUVAN JA TURVALLISUUDEN PARANTAMINEN MONITOIMIJAYMPÄRISTÖSSÄ

Turvallisuus on positiivinen asia, jota kaipaamme arjen keskelle. Maailman muuttuessa ja tietoyhteiskunnan kehittyessä uhat ovat erilaisia ja turvallisuus monipuolistuu. Rossum Oy on kehittänyt Turvallisuusportaalin, joka yhden järjestelmän kautta ottaa huomioon nykyaikaiset haasteet ja varmistaa yritysturvallisuuden kokonaisuuden.

MONITOIMIJAYMPÄRISTÖN AIHEUTTAMA EPÄTIETOISUUDEN TUNNE -
HYVIN EPÄMIELUISA OLO

-Urakoitsijalta on tulossa useita kymmeniä henkilöitä tekemään huoltotöitä kuukausiksi ja jopa vuosiksi. Tänä aika työntekijöitä tulee ja menee ja heidän tiedot voivat vanhentua. Kuka ehtii ja pystyy tarkastamaan sekä ylläpitämään näitä tietoja useissa järjestelmissä? Tästä tulee helposti turvaton ja epämieluisa olo.

Yrityksellä on hyvin usein monenlaisia sovelluksia ja ohjelmia, joissa käsitellään työntekijöiden tietoja. Tiedot liittyvät usein samoihin asioihin tai niillä on vaikutuksia samaan kokonaisuuteen. Kun tietoja käsitellään eri sovelluksissa, niin oikean kokonaiskuvan selville saaminen on erittäin haastavaa. Se aiheuttaa hitautta asioiden käsittelyssä, turhautumista ja jopa turvattomuuden tunnetta.

-Työntekijöille tarvitaan kulkuoikeudet (ja/tai sovellusoikeuksia), jotta he pääsevät tekemään ja liikkumaan työn tekemiseen liittyvissä paikoissa. Tehtävien suorittamiseksi ja kaikkien turvallisuuden vuoksi heiltä voidaan vaatia erilaisia asioita; valttikorttia, veronumeroa, ammattipätevyyksiä, paikallisperehdytystä, työturvallisuuden kurssia ja muita kursseja, ulkomaalaisilta työntekijöiltä työluvat, turvallisuusselvityksiä, tietoturvaselosteen hyväksyntä, tietoturvasitoumuksen hyväksyntä jne. Näitä saatetaan hallinnoida eri paikoissa ja sovelluksissa eri henkilöiden toimesta, ja kukaan ei ole selvillä kokonaistilanteesta.

-Onko asianomaisilla edes tarkkaa tietoa mitä työntekijöiltä vaaditaan, jotta työntekijät pääsevät suorittamaan tilattuja töitä, olivat ne sitten yrityksen alueella tai tietokoneella tehtävät etätyö?

-Kuinka paljon tämä tarkan tilannekuvan puuttuminen tuo ylimääräisiä kuluja ja resurssien “tyhjäkäyntiä” sekä turhautumista?

-Itse olen ainakin monesti turhautunut siihen kun asiat eivät etene ja en näe minun kaipaamaani kokonaiskuvaa. Tässäkin voi sanoa, että kokonaiskuva sekä ennustettavuus luo turvallisuuden tunnetta.

Miltä tuntuisi, jos nämä kaikki vaadittavat asiat olisi mahdollista kerätä yhteen paikkaa ja hallinnoida sieltä? Asiaan kuuluvat henkilöt pääsisivät itse näkemään ne tiedot, jotka heidän on tarpeellista nähdä asioiden eteenpäin viemiseksi ja hoitamiseksi sekä ennen kaikkea työntekijät saisivat kulkuoikeudet ja sovellusoikeudet ajoissa.

ENNAKOI JA HALLITSE

-Ensi viikolla pitäisi aloittaa huoltotyöt, mutta ei ole varmuutta onko urakoitsijan ja heidän alihankkijan työntekijöiden tiedot oikein ja täyttävätkö kaikki tulevat työntekijät tarvittavat vaatimukset (kurssit suoritettu…)? Soitat useita puheluita, varmistat asioita sekä kirjaat niitä eri paikkoihin, mutta saatko sittenkään selville kokonaiskuvaa?

Kun tiedot pystyy kirjaamaan ja hallinnoimaan yhdestä paikasta hyvissä ajoin, silloin säilyy hallinnan tunne ja asioiden käsittely voidaan käynnistää nopeammin. Keskitetystä yhdestä paikasta välitetään tietoa tarvittaviin muihin sovelluksiin sekä siihen kerätään muista sovelluksista tarpeellisia tietoja, joita tarvitaan kokonaiskuvan ylläpitämiseksi.

On tärkeä, että tarvittavat henkilöt (esim. tilaaja ja yhteyshenkilö) saavat myös muistutuksia ja herätteitä kun asiat eivät etene tai niihin tulee muutoksia. Näin puuttuva tai muuttunut tieto tavoittaa tarvittavat henkilöt samanaikaisesti ja asioihin voidaan reagoida nopeammin.

-Kun työntekijän kulkuoikeuksien vaatimat kurssit vanhentuvat, niin on tärkeää, että työntekijä saa siitä hyvissä ajoin tiedon. Silloin hän voi hoitaa oman osuutensa yhteisen turvallisen työympäristön eteen ja oman pätevyyden ylläpitämiseksi. Jos hän ei hoida omaa osuuttaan kuntoon ajoissa, niin on vastuullista päättää automaattisesti hänen kulkuoikeudet, ehkäpä hänen tahallisen tai huolimattoman toiminnan vuoksi. Tämäkin on mahdollista automatisoida kun tietoja hallinnoidaan yhden palvelun kautta.

JAA VASTUUTA JA VÄLTÄ TURVALLISUUSRISKEJÄ TIETOJEN KÄSITTELYSSÄ

-Kenen vastuulla on kirjata ja ylläpitää työntekijöiden arkaluonteisia tietoja kaikissa tarvittavissa paikoissa? Kuinka voidaan estää (tai ainakin yrittää estää), että kukaan ei lähetä niitä väärillä ja turvattomilla tavoilla (sähköpostitse)?

Tietojen käsittelyssä vastuun jakaminen on tärkeää ja se hoituu hyvin yhden järjestelmän kautta. Tilaaja määrittelee ensin toimeksiannon aikataulut ja muut vaatimukset omalta osaltaa kuntoon. Tämän jälkeen urakoitsijan yhteyshenkilö kirjaa ja ylläpitää, automaattisen ilmoituksen saatuaan, omien sekä koko käyttämänsä alihankintaketjun työntekijöiden tiedot. Kumpikin osapuoli näkee tällöin samat tiedot, kunkin työntekijän henkilökohtaisen tilanteen sekä sen, minkälaisia asioita työntekijöiltä vaaditaan. Kun yhteyshenkilö vastaa henkilötietojen kirjaamisesta, niin hänellä on myös tällöin vastuu niiden oikeellisuudesta ja ylläpitämisestä. Samalla minimoidaan myös inhimillisiä virheitä, joita tulee, kun useat henkilöt käsittelevät ja lähettävät samoja tietoja. Tämä vapauttaa tilaajaa ja hänen organisaatiota urakoitsijan työntekijöiden tietojen käsittelystä.

Tämä mahdollistaa myös sen, että ei tarvitse lähettää arkaluonteisia henkilötietoja sähköpostitse tai mitenkään muutenkaan. Valitettavaa on, että edelleen luotetaan liikaa sähköpostien turvallisuuteen ja käytetään niitä arkaluonteisten tietojen lähettämiseen.

-Tässä tulee mieleen vanha sanonta: “Sähköposti on kuten postikortti ja suojattu sähköposti kuten kirjekuoressa lähetetty viesti”. Postinkäsittelijällä ja -jakelijalla on mahdollisuus päästä näihin tietoihin käsiksi vaikka lähettäjä ei edes ajattelisi näin. Lisäksi ne voivat päätyä vääriin käsiin vaikka inhimillisen virheen vuoksi; sähköpostin vastaanottajan sähköpostiosoite on kirjoitettu väärin!

Kun yhteyshenkilö on kirjannut vaadittavat työntekijöiden tiedot ja mahdolliset liitteet, niin samantien voidaan aloittaa tietojen automaattiset tarkastukset: veronumero, valttikortti… Yhteyshenkilö näkee tarkastusten tuloksista reaaliajassa mitä tietoja/vaiheita mahdollisesti vielä puuttuu.

Työntekijät hoitavat myös oman osuutensa samasta järjestelmästä käsin tai toisessa järjestelmässä, mutta kuitenkin siten, että kaikki suoritetut kurssitiedot välitetään tarvittavien henkilöiden nähtäville yhteen paikkaan kokonaiskuvan ylläpitämiseksi. Työntekijöiltä voidaan vaatia ja heidän vastuulla voi olla myös muitakin asioita kuin kurssit. Nämäkin tiedot pitää saadaan paikkaan, jossa seurataan kokonaiskuvaa. Näitä voi olla tietoturvaselosteen hyväksyntä, tietoturvasitoumuksen hyväksyntä ja niin edelleen.

Yhteyshenkilön hoitaessa työntekijöiden tiedot kuntoon muita tarpeita varten, esim. työajan seurantaa varten, niin vaaditut tiedot ja mahdolliset liitetiedostot saadaan samalla kertaa myös turvallisuusselvittäjälle. Turvallisuusselvitysprosessin käynnistäminen ottaa oman aikansa, joten sitä varten on tarpeellista saada tarvittavat tiedot mahdollisimman aikaisessa vaiheessa, mieluiten yhden kanavan kautta. Näitäkään tietoja ja tähän liittyviä liitteitä ei tarvitse erikseen lähettää, eikä tarvitse olla epätietoisuudessa tämänkin asian etenemisestä.

LIIKAA OIKEUKSIA TAI OIKEUKSIA JÄÄ SULKEMATTA

-Onko tiloissa liikkuvilla henkilöillä oikeus kulkea omilla kulkukorteilla? Ja mistä tiedän ja voin varmistaa, että työt lopettaneen henkilön kaikki oikeudet on päätetty?

Kun työtehtävät saadaan hoidettua, niin on tärkeää, että (kulku- ja sovellus)oikeudet sekä mahdollinen turvallisuusselvitykseen liittyvä nuhteettomuusseuranta päättyvät automaattisesti sovittuna aikana ilman erillisiä ilmoituksia. Usein kuitenkin töiden valmistuttua on paljon muitakin tehtäviä hoidettavana ja muistettavana. Tällöin voi helposti jäädä oikeudet ja SUPOn nuhteettomusseuranta päättämättä.

Tilaajalla ja yhteyshenkilöllä pitää olla myös mahdollisuus päättää työntekijöiden oikeudet hänen työsuhteen päättyessä tai töiden ennenaikaisesti päättyessä, vaikkapa kentällä oman matkapuhelimen kautta. Mitä helpommaksi tämä saadaan tehtyä ja mahdollisuus hoitaa kaikki yhdellä kertaa, niin sen varmemmin asia tulee hoidettua.

TURVALLISUUS ON POSITIIVINEN ASIA JA SEN TUNNE LUODAAN YHDESSÄ!

Turvallisuutta on tärkeää lisätä myös tunnetasolla. Sitä on se tunne, että minä ja me kaikki, jotka työskentelemme samoissa tiloissa tai käytämme samoja sovelluksia, olemme hoitaneet omalta osaltamme kaikki meiltä vaaditut asiat. Tähän kuuluu myös se, että kaikilla työntekijöillä on tieto miten toimia poikkeavissa tilanteissa.

Mikko Hurskainen
Järjestelmäasiantuntija