2 kesäkuuta 2016

Turvallisuus vaatii jatkuvaa huomiota

Antti Kutila, ISS Suomi ja Ilkka Äyräväinen, Cygate Oy (oik.). Kuvat: Petri Juntunen

Yritysturvallisuus, kokonaisturvallisuus, kokonaisvaltainen riskienhallinta. Samapa tuo, miksi sitä kutsutaan, kunhan turvallisuutta johdetaan kokonaisuutena ja ajatuksella.

Tilaat tehtaallesi ulkoalueiden hoitopalvelun ja etsit kiinteistönhoitajaa varten portin avaimia. Käteesi osuu yleisavain. Ei kai siitä haittaakaan voi olla, jos kiinteistönhoitaja pääsee tarpeen tullen myös rakennuksiin.

ISS Palveluiden turvallisuusjohtaja Antti Kutila on eri mieltä. Hän tarkastelee tilannetta myös kiinteistönhoitajan ja palveluja tuottavan yrityksen näkökulmasta. Oletetaan, että salaiset tiedot asiakkaan keksinnöstä vuotavat julkisuuteen tai vaarallista kemikaalia leviää ympäristöön. Tehtaan turvallisuus ja jopa koko liiketoiminnan jatkuvuus ovat uhattuina. Jos syyttävä sormi osoittaa yleisavainta kantavaan kiinteistönhoitajaan, horjuu myös palveluyrityksen turvallisuus.

”Kokonaisuuden kannalta on tärkeää, että jokainen työntekijä tietää, mitä turvallisuus tarkoittaa omassa työssä”, Kutila toteaa.

Täsmätietoa kullekin työntekijälle

Edellinen esimerkki sivusi lukuisia riskejä yritysturvallisuuden osa-alueilta. Riskit kohdistuivat ainakin kiinteistö-, rikos-, tieto- ja ympäristöturvallisuuteen sekä koko toiminnan jatkuvuuteen. Kun pakettiin liitetään vielä työturvallisuus, ohjeista saisi helposti moniosaisen kirjasarjan – jota kukaan ei lue.

”Meidän onkin tarjottava jokaiselle työntekijälle selkeää, kuhunkin työtehtävään kohdennettua tietoa”, Kutila sanoo. Hän myöntää, että tehtävä on valtava yhtiössä, joka tuottaa ylläpito- ja tukipalveluita pitkälti ihmisvoimin ja vieläpä asiakkaittensa tiloissa.

Kutilan mukaan ISS:n työntekijät perehdytetään aina asiakkaan toimintaan ja siihen liittyvään turvallisuuteen kolmella eri tasolla.

”Meidän pitää selvittää, mitkä ovat oleellisia turvallisuusasioita asiakkaan toimialalla yleisesti, asiakkaan omassa toiminnassa sekä juuri kyseisessä kohteessa”, Kutila kertoo. Hän korostaa, että henkilöstö saa aina turvallisuuskoulutuksen, joka perustuu ISS:n omiin turvallisuusohjeisiin.

Jotta turvallisuusviestit kulkisivat yrityksen sisällä jokaiselle työntekijälle, Kutilan yritysturvallisuusyksikkö varmistaa, että turvallisuus ujutetaan mukaan jokaiseen prosessiin ja toimintatapaan.

”Oli kyse sitten työsuhteesta, asiakassuhteesta tai yksittäisestä toimenpiteestä, meidän on tunnistettava turvallisuuden ulkoiset ja sisäiset uhat sen koko elinkaaren ajalta, aina toiminnan valmistelusta sen lakkauttamiseen asti”, Kutila sanoo. Hän huomauttaa, että turvallisuutta ei voi juuri koskaan irrottaa muusta johtamisesta.

Turvallisuusjohtaminen lisääntyy

Kutila arvioi, että turvallisuusajattelu on lisääntynyt yrityksissä viime vuosina.

”Painopiste on muuttunut selkeästi kokonaisturvallisuuden suuntaan. Eri yrityksissä on toki hieman eri painotukset: joissakin enemmän työsuojelua ja pelastustoimintaa, toisissa tietoturvallisuutta”, Kutila sanoo. Hänen mukaansa turvallisuustyötä helpottavat yhä yhtenäisemmät kriteerit ja käytännöt esimerkiksi yritysten välisiä turvallisuussopimuksia solmittaessa.

”Yhteisymmärrys on selkeästi helpompi saavuttaa kuin aiemmin”, Kutila toteaa.

ISS:lle merkittävä työkalu on kansallinen yritysturvallisuustodistus, jonka viranomaiset myönsivät ISS:lle ensimmäisenä yrityksenä Suomessa. Kutilan mukaan sisäistä selkeyttä ja ulkoista vakuuttavuutta lisää myös se, että turvallisuusajattelu on ISS:ssä upotettu laadunhallintajärjestelmiin, jolloin sitä myös tarkkaillaan ja auditoidaan olennaisena osana laadukasta toimintaa.

Yksi säännöllinen sisäisen auditoinnin kohde on työturvallisuus, ja sitä auditoivat monesti myös yritykset, jotka harkitsevat palvelujen tilaamista.

”Se kertoo siitä, että turvallisuus on tärkeä yhteinen asia. Yrityksissä on myös huomattu, että moni muukin asia on yleensä hoidettu hyvin, jos työturvallisuus on hyvällä mallilla”, huomauttaa ISS:n työsuojelupäällikkö Jari Nousiainen.

Standardit johtamisen tukena

Tietoturvallisuuden hallintaan on oma standardinsa, ISO/IEC 27001, jonka mukaista toimintaa yhä useammat organisaatiot odottavat IT-palveluiden tuottajilta. Tietoverkko- ja pilvipalveluiden toimittaja Cygate hankki tietoturvallisuuden hallintajärjestelmälleen sertifioinnin vuonna 2011. Samalla se jäsensi ja dokumentoi IT-palveluidensa hallintaa ISO/IEC 20000 -standardin mukaisesti ja haki sertifioinnin sillekin.

”On edelleen harvinaista, että yrityksellä on molemmat”, Cygaten toimitusjohtaja Ilkka Äyräväinen toteaa. Hän pitää selvänä, että palvelunhallinnan terävöittäminen tukee yritysturvallisuutta siinä missä tietoturvallisuudenkin hallintajärjestelmä ja että turvallisuusasioita kehittää turvallisuuspäällikön ohella laatupäällikkö.

”Molempien asiat ovat myös agendalla johtoryhmän jokaviikkoisissa kokouksissa. Turvallisuusjohtaminen on osa normaalia yrityksen johtamista.”

Riskiperusteista ajattelua

Äyräväinen korostaa, että Cygaten on sovitettava jokaisen asiakkaan ominaispiirteet yhtiön omaan turvallisuuskäsitykseen.

”Jotkut haluavat pitää kerta kaikkiaan kaiken salassa. Missään ei saa näkyä edes se, millaisen palvelun he ovat meiltä tilanneet”, Äyräväinen kertoo. Vuosi vuodelta merkittävämpänä turvallisuusasiana Äyräväinen pitää luonnollisesti kyberturvallisuutta, joka koskee lähes jokaista yritystä.

”Tyypillisiä uhkia ovat palvelunestohyökkäykset ja yrityksen verkkoon tunkeutumiset, jotka saattavat olla hyvinkin fataalisia, riippuen yrityksen toiminnasta.”

IT-yrityksessä on selvää, että tietojärjestelmät tukevat tietoturvallisuutta, mutta Äyräväinen painottaa silti jokaisen työntekijän asennetta.

”Meidän täytyy haastaa itseämme jatkuvasti siinä, että turvallisuus on ehdottomasti integroitu kaikkeen meidän toimintaamme”, Äyräväinen sanoo. Pian Cygaten väkeä haastaa myös pääarvioija Jyrki Lahnalahti, joka tulee jälleen viikoksi Inspectasta auditoimaan.

Myös Lahnalahti painottaa jatkuvan kehittämisen ja ennen kaikkea jatkuvan ajattelun merkitystä.

”Hallintajärjestelmästandardit ovat johtamisen apuvälineitä, ja niiden vaatimuksista tulevat hyvät käytännöt. Tärkeintä turvallisuusjohtamisessa on kuitenkin riskiperusteinen ajattelu. Kiireenkin keskellä on syytä pysähtyä ja ajatella, mitä tekemisestä seuraa.”

Teksti: Marianna Salin

Turvallisuusjohtamisen tueksi

Standardeihin perustuvat hallintajärjestelmät tuovat ryhtiä turvallisuusjohtamiseen. Inspecta sertifioi hallintajärjestelmiä turvallisuuden keskeisillä osa-alueilla. Lisäksi, Inspecta voi auttaa turvallisuuden kehittämisessä arvioimalla toimintatapoja auditointien välissä tai silloinkin, kun yrityksen toimintamallia ei ole sertifioitu.

Sertifioinnit

  • OHSAS 18001: työterveyden ja -turvallisuuden hallinta
  • ISO 14001: ympäristöasioiden hallinta
  • ISO/IEC 27001: tietoturvallisuuden hallinta
  • ISO/IEC 20000-1: IT-palveluiden hallinta
  • ISO 22301: liiketoiminnan jatkuvuuden hallinta
  • ISO 22000: elintarviketurvallisuus

Arvioinnit

  • Työturvallisuus- ja työkykyjohtaminen
  • Tietoturvallisuusjohtamisen tasoarviointi
  • Katakri- ja VAHTI-arvioinnit
  • CMMI-kyvykkyys- ja kypsyysarvioinni

Katso Inspectan järjestelmäsertifiointipalvelut.