Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 6.Luento Henkilöstöturvallisuus Henkilöstöturvallisuus osana yritysturvallisuutta Henkilöstöturvallisuuden menetelmiä Henkilöstöturvallisuuteen liittyvää lainsäädäntöä 1
Turvallisuusvyöhykkeet Yritysturvallisuus 2
Turvallisuuden osa-alueet Henkilöstöturvallisuus Suojataan tietoja ja muuta omaisuutta henkilöstöturvallisuuden keinoin Toimenpiteet kohdistuvat omaan henkilöstöön Sisäinen turvallisuus 3
Kokonaisuus Kohteen arvo on määritelty (tietoaineistoturvallisuus) Luvaton käyttö on estetty fyysisesti (fyysinen turvallisuus) Järjestelmien luvaton käyttö on estetty (tietotekninen turvallisuus) Valitsemme ne, joilla on lupa käyttää (henkilöstöturvallisuus) Huolimattomuus on estetty (toiminnan turvallisuus) Osaamattomuus on estetty (henkilöstöturvallisuus) Henkilöstöturvallisuudella vaikutetaan Haluun toimia turvallisesti Valinta Motivaatio Kykyyn toimia turvallisesti Koulutus 4
Organisointi Henkilöstöosasto Henkilöstöjohtaminen Henkilöturvallisuuteen vaikuttaminen Huonojen ihmisten palkkaamisen estäminen, löytäminen ja poistaminen Hyvien ihmisten pitäminen ja kehittäminen Organisaation kehittäminen 5
Valinta ja palkkaus Henkilöstön valinta Valitaan päteviä Myös osaamattomuus on vaarallista Valitaan sopivia Esim. ei liian päteviä Henkilökohtaiset ominaisuudet Halu toimia oikein Valitaan yhteensopivia Ei kannata rikkoa tiimiä 6
Taustat ja tarkistukset Rikokset, mitä tehnyt ja syytteet Henkilötietojen oikeellisuus Luottotiedot ja taloudelliset sitoumukset Ajokortti, liikennerikkomukset Koulutus, koulut ja todistukset Lääkitys ja hoidot Referenssit ja niiden tarkistus Kaiken annetun tiedon oikeellisuus pitäisi tarkastaa Keskustelu suosittelijoiden kanssa Yhteydenotot edellisiin työpaikkoihin Yhteiset tutut 7
Taitotarkistukset ja testaukset Työtehtävässä tarvittava ammattitaito Yhteistyötaidot Asiakaspalvelutaidot Esiintymis- ja kommunikaatiotaidot Myyntitaidot Esimiestaidot Johtamistaidot Persoonallisuustestaukset Antaa taustatietoa päätöksenteolle Tiedettävä tehtävässä toivotut ominaisuudet Kannattaa jättää ammatti-ihmisille Päätöksentekotaito, kärsivällisyys, itsehillintä,... 8
Turvahaastattelut Sisältö Rehellisyys ja luotettavuus Työhistoria (manipuloinnin havaitseminen) Aineiden väärinkäyttö Yleiset ominaisuudet Haastattelutekniikka Sanaton viestintä, ilmeet ja eleet Sanallinen viestintä Terveystarkastukset Mielenterveys Fyysinen terveys Lääkkeiden käyttö Alkoholin ja huumeiden käyttö Suoritetaan yleensä koeajalla 9
Maailmalla 39% työnhakijoista manipuloinut työhistoriaansa 33% työnhakijoista myöntänyt tavaran/rahan varastamisen 15% työnhakijoista myöntänyt huumeiden väärinkäytön Perehdytys ja koulutus 10
Työhöntulojärjestelyt Sopimukset Perehdyttäminen Koulutus Tiedon merkitys Usein työntekijöillä ei ole riittävästi taustatietoa Työntekijä pyrkii toimimaan oikein, mutta väärän tieton takia tulos ei ole hyvä Toimintaa ohjaa se käsitys, joka ihmisillä on 11
Osaaminen Tehtävien osaaminen turvallisuuden perusta Voi kuitenkin johtaa sooloiluun Työtehtävät määritettävä Ei liian nopeaa kiertoa Systemaattinen koulutus Jatkuva seuranta 12
Pysyvät järjestelyt Arviointi Motivointi Kehittäminen Seuranta Turvallisuus osana vuotuisia toimenpiteitä Sopii esimerkiksi kehityskeskustelun osaksi Selvitetään, onko työntekijän tilanteessa tapahtunut olennaisia muutoksia Tarkistetaan, että salassapitosopimukset ja tarkistukset vastaavat nykyisiä työtehtäviä Päivitetään tiedot käyttöoikeuksista ja valtuuksista Päivitetään tiedot hallussa olevasta omaisuudesta Päivitetään tiedot koulutuksesta, sopivuudesta ja esteistä 13
Uskollisuus On helpompi pitää jo olemassaoleva työntekijä kuin palkata uusi Usein oma väki kuitenkin unohdetaan Ilmapiiri Edut kohtuullisessa suhteessa tarjouksiin Uraputki näkyvissä Työntekijän lähtö 14
Turvallisuus työntekijän lähtiessä Jokainen työntekijä lähtee joskus Onko työntekijällä tietoja, jotka ovat olennaisia tehtävien suorittamiselle ja joita ei ole muilla Onko työntekijällä tietoja, joiden paljastumisesta saattaisi olla haittaa yritykselle Onko työntekijällä yrityksen omaisuutta Onko työntekijällä oikeuksia tai valtuuksia Varautuminen työntekijän lähtöön Salassapitosopimus koskee myös työssäolon jälkeistä aikaa Työtehtävät on määritelty, jotta tiedetään, mitä kukin henkilö tekee Työprosesseista on olemassa kuvaukset, jotka vastaavat todellisuutta Käyttöoikeuksista ja muista valtuutuksista on olemassa luettelo Käytössä olevasta omaisuudesta on olemassa luettelo 15
Ystävällismielinen lähtö Työntekijä lähtee eläkkeelle tms. ei kilpailevaan toimintaan Asiat hoidetaan joustavasti Työntekijä ja esimies tai seuraaja yhdessä selvittävät tehtävät ja imevät tiedot Varmistetaan oikeuksien ja omaisuuden paikkansapitävyys Työnteko lakkaa ja oikeudet/omaisuus pois, kun työntekijä todella lähtee Mahdollisuus järjestelyihin ja asioiden hoitamiseen myöhemminkin Vihamielinen lähtö Työntekijä lähtee kilpailijalle tai erotetaan esim. varkauden takia Riskinä haitanteko, tietojen kerääminen ja varkaus Mahdollisuudet haitalliseen toimintaan pois välittömästi Oikeudet pois heti Kaikki työnantajan omaisuus pois heti Ei pääsyä varsinaiseen työhön Selvitetään, mitä tietoa henkilöllä on, jolla voi olla vaikutusta jatkossa 16
Esimerkkejä Luottamuksellisuus Salaisinkin tieto on kerrottava jollekulle Tähän henkilöön on voitava luottaa Menetelmiä Rajoitetaan henkilöiden määrää Rajoitetaan tiedon määrää / henkilö Varmistetaan luotettavuus ja luotetaan 17
Esimerkki Kaikilla ihmisillä on hintansa Kaikella tiedolla on arvonsa Pidetään kiinnijäämisriski korkeana Ihmisten hinta nousee Pidetään tiedon määrä / henkilö alhaisena Ei kannata maksaa Ongelmia Salaista tietoa ei tunnisteta Salainen tieto kertyy tunnistamattomaan paikkaan Henkilöiden luotettavuutta ei voida varmistaa Henkilöiden olosuhteet muuttuvat 18
Käytettävyys Prosessit eivät toimi ilman ihmisiä Kriittisissäkin prosesseissa on avainhenkilöitä Menetelmiä Parannetaan henkilön käytettävyyttä Varallaolo Tavoitettavuus Vähennetään henkilön merkitystä Varahenkilöt Dokumentointi Esimerkki Armeijassa suunnaton ylikoulutus ja tehtävien kierrätys Joukossa saattaa olla huonoja ihmisiä Huonot ihmiset pyrkivät hakeutumaan tärkeään paikkaan Ratkaisuja Paljon vaihtokelpoisia tehtäviä Hyvä dokumentaatio Tosipaikan tullen arvotaan tehtävät 19
Ongelmia Kriittisten prosessien tunnistaminen Avainhenkilöiden tunnistaminen Kustannustehokkuus Ohut organisaatio Hyvä tuuri Nykyhetken piirteitä Pysyvät menetelmät rapistuvat Nopea vaihtuvuus Sitoutumattomuus Yrityskulttuurien mureneminen Etsitään hetkellisiä keinoja Testit (psykologiset, huume-, käsialajne.) 20
Organisaation ristiriidan lähteitä Organisaatio ei pysy kehityksen perässä Virattomia työntekijöiä Henkilöstöryhmien välisiä ristiriitoja Valtiojohto, poliisi, armeija, sairaala, kirkko Sukupuolten välinen tasa-arvo Lasikatot Henkilöstöturvallisuuden etiikka Välttämätön turvallisuuden osa-alue Oikein tehtynä hyvä työkalu Väärällä tavalla tehtynä tuhoisaa Kuten henkilöstöalalla yleensäkin 21
Ongelmien ratkaisu Perse penkkiin malli Nyrkki taskussa malli Miksi se lähti malli Organisaation muisti Organisaatio sisältää paljon tietoa itsessään Toimintatavat Prosessit Asioiden ratkaisumallit Dokumentoimatonta Opettaa tulokkaat talon tavoille Vaikea muuttaa 22
Laki yksityisyyden suojasta työelämässä 13.8.2004/759 Henkilötietojen käsittelyyn sovelletaan lisäksi henkilötietolakia (523/1999) Mitä tietoja saa käsitellä Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tästä ei voida poiketa työntekijän suostumuksella. 23
Miten tiedot kerätään Ensisijaisesti työntekijältä itseltään Työntekijän suostumuksella muualta Muualta hankintuista tiedoista on kerrottava työntekijälle Luonnetestit Soveltuvuustestejä ja henkilöarvioita voidaan tehdä Työntekijän suostumuksella Jos tehtävä tai koulutustarpeen selvittäminen sitä edellyttää Työntekijällä on oikeus saada itselleen kopio lausunnosta Testejä saa teettää vain asiantuntevilla testaajilla ja tulosten on oltava luotettavia 24
Terveystiedot Vain terveysalan ammattilaiset saavat tehdä terveystarkastuksia ja niissä noudatetaan terveydenhuollon määräyksiä ja periaatteita Normaalisti työnanantaja saattaa saada tiedon ainoastaan siitä, että työntekijä on sairas, ei sairauden syytä Tarkempia tietoja saa käsitellä jos tiedot on saatu työntekijältä itseltään tai hänen suostumuksellaan ja tiedot ovat tarpeen sairausajan palkan tai muiden terveyteen liittyvien etuuksien suorittamiseksi Laki turvallisuusselvityksistä 8.3.2002/177 Tämän lain tarkoituksena on selvityksen kohteena olevan henkilön yksityiselämän suoja ja henkilötietojen suoja huomioon ottaen turvallisuusselvitysmenettelyä käyttämällä parantaa mahdollisuuksia ennakolta estää rikokset, jotka vakavasti vahingoittaisivat Suomen sisäistä tai ulkoista turvallisuutta, maanpuolustusta tai poikkeusoloihin varautumista Suomen suhteita toiseen valtionn tai kansainväliseen järjestöön Julkista taloutta Yksityisen huomattavan arvokasta liike-tai ammattisalaisuutta 25
Perusmuotoinen turvallisuusselvitys Selvitystä voi hakea Valtion viranomainen, laitos ja liikelaitos Kunta ja kuntayhtymä Suomessa rekisteröity yhteisö tai säätiö Selvityksen tekemisestä päättää suojelupoliisi Selvityksen kohteen on annettava kirjallinen suostumus Selvitys annetaan kirjallisena Selvityksen lähtökohdat Poliisiasiain tietojärjestelmä, hallintoasiain tietojärjestelmä ja suojelupoliisin toiminnallinen tietojärjestelmä Rikosrekisteri ja liiketoimintakieltorekisteri Oikeushallinnon tietojärjestelmä syyteharkinnassa olevista tai olleista rikosasioista sekä tuomiolausejärjestelmä Pääesikunnan rikostietorekisteri ja turvallisuustietorekisteri Rajavalvontarekisteri Tullihallituksen tutkinta- ja virka-apujärjestelmä Väestötietojärjestelmä Ulkomaalaisrekisteri 26
Annettavat tiedot Rikosilmoituksia saa käyttää vain, jos sitä ei ole syytä epäillä perusteettomaksi Tuomioistuinlausejärjestelmän tietoa ei saa käyttää, jos vastaava tieto on määrätty poistettavaksi muista rekistereistä Vihjeitä tai ilmiantoja ei saa käyttää Yli 10 vuotta vanhempia tietoja ei saa käyttää Alle 15 vuotiaana tehtyjä tekoja ei saa käyttää Rekistereistä otetaan vain ne tiedot, jotka ovat tarpeen tarkoituksen saavuttamiseksi Selvitys ei saa sisältää viranomaisen käsitystä henkilön soveltuvuudesta Selvityksen käyttäminen Tulosta ei saa käyttää muuhun kuin alkuperäiseen tarkoitukseen Selvityksen tulos ei sido hakijaa Selvitystä saavat käsitellä vain sitä välttämättä tarvitsevat henkilöt Selvitystä käsiteltäessä on noudatettava samaa salassapitoa kuin viranomaisetkin Selvitys on hävitettävä heti, kun sitä ei enää tarvita varsinaiseen tarkoitukseensa Henkilöllä on oikeus saada tietää onko hänestä tehty selvitys ja sen sisältö, ei kuitenkaan niistä rekistereistä, joihin ei ole tarkastusoikeutta 27
Turvallisuusluokitus Valtion viranomainen voi ottaa käyttöön henkilöstön turvallisuusluokitukset Edellyttää valtioneuvoston päätöksen 1. turvallisuusluokkaan kuuluvat tehtävät, joissa henkilöllä on muutoin kuin satunnaisesti pääsy vähäistä suurempaan määrään sellaisia salassa pidettäviä tietoja joiden paljastuminen vakavasti vahingoitaisi em etuja Laaja turvallisuusselvitys Voidaan tehdä 1. tuorvallisuusluokan tehtävää hoitavasta henkilöstä Perustasoisen selvityksen lisäksi Elinkeinotoiminta Varallisuus Taloudelliset sidokset Ulosottotiedot Selvitys voidaan ulottaa myös läheisiin, jos siihen on perusteita Läheisiltä saatava kirjallinen suostumus 28
Suppea turvallisuusselvitys Tarkoituksena selvittää, voiko henkilö työtehtävissään päästä tiettyihin paikkoihin Ydinlaitos Lentoasema, satama tms tärkeä liikennealue Yhdyskuntateknisen huollon merkittävä laitos Varuskunta- tai varikkoalue tms. Viranomaisen tietoverkon merkittävä toimitila Viranomaisen toimitila, julkinen tai yksityinen tutkimuslaitos tai tietokonekeskus, jolla on huomattavaa merkitystä valtion turvallisuudelle, maanpuolustukselle tai erittäin huomattava merkitys julkiselle taloudelle Selvityksen tekeminen Selvityksen tekemisestä päättää paikallinen poliisi Perustuu Poliisiasiain tietojärjestelmä Rikosrekisteri Oikeushallinnon tietojärjestelmä (syyteharkinnassa olevat asiat) Tuomiolausejärjestelmä 29