Viime heinäkuun lopussa Ylen uutisointi nosti isojen organisaatioiden kulunvalvonnan puutteet julkisuuteen. Ylen toimittaja testasi, miten helposti hän pääsee rakennusmiestä esittämällä sisään eri rakennuksiin ilman asianmukaista kulkulupaa. Kulkutunnisteenaan hän käytti huomioliivejä ja tikkaita. Kulkeminen eri rakennuksiin oli käytännössä esteetöntä ja apuakin sai. Uutisoinnissa nousi aiheellisesti esille, mikä on kulkua valvovan aulapalvelun tehtävä ja mistä tilaaja maksaa.

Aulapalveluissa toimivat saivat osin aiheettomasti haukkuja. Ei ole missään nimessä järkevää tuomita yksittäistä tekijää tai palveluntuottajaa siitä, että kulkijaa ei pysäytetty. Olisin kovasti toivonut uutisointiin ja muun muassa sen jälkeiseen A-Studion keskusteluun tarkennusta siitä, mitä tehtäviä aulapalvelun on sovittu ylipäätään tekevän: mitä tilaaja on ostanut, kun hän on sopinut palvelusta? Asian avaaminen ei tietenkään ole mahdollista, sillä kysymys on turvallisuudesta, sekä tilaajan ja toimittajan välisestä sopimuksesta. Mutta se olisi avannut suurelle yleisölle ongelman todellisen syyn.

Järjestelmä ei paikkaa puutteita toimintatavoissa

Kiinteistökohteen turvallisuus koostuu yleensä eri kerroksista: siihen liittyy turvallisuustekniikka ja kulunvalvonta, mutta vahvasti myös jokaisen kohteessa työtä tekevän tai asioivan ihmisen toiminta. Kuten Ylen uutisoinnista kävi ilmi, yrityksen oma henkilöstö voi olla uhka kiinteistön turvallisuudelle yhtä lailla kuin ulkoistettu palveluntuottajakin.

Uhkaa voi lieventää ohjeistamalla henkilöstön hyvin, mutta avainroolissa ovat kulunvalvonnasta vastaavat henkilöt. Heidän vastuunsa täytyy tulla selkeästi ilmi toimenkuvassa tai palvelukuvauksessa. Onko aulapalvelun vastuulla pysäyttää jokainen vierailija vai ei? Onko heidän vastuullaan ylläpitää kulkuoikeuksia järjestelmässä vai ei? Millä tavalla kulkuoikeuksia päivitetään?

Kuvittelemme usein, että kunhan käytössä on kulunvalvontajärjestelmä, asiat ovat kunnossa. Tiedämme, kuka liikkuu missäkin ja kenellä on avain minnekin. Valitettavasti näin ei todellisuudessa ole. Meillä on liiankin luottavainen usko tekniikkaan: kuvittelemme, että se lukee kulkutunnisteiden lisäksi ajatuksia. Se tietää, kenen täytyy päästä kulkemaan tietyistä ovista ja estää tunkeilijoiden sisäänpääsyn ihan itsestään.

Kulunhallintajärjestelmä on yhtä hyvä kuin siitä löytyvä tieto

En soimaa teknisiä ratkaisuja. Päinvastoin: ne ovat nerokkaita ja mikä parasta, niitä tulee koko ajan lisää ja yhä parempia. Mutta mitä tietoa tekniikka pitää sisällään? Vain murto-osassa kulunvalvontajärjestelmiä tai lukitusta  on oikea tieto siitä, kenellä järjestelmän avain tai kulkutunniste on. Biometriset tunnisteet ovat ainoita, joita ei voi siirtää käyttäjältä toiselle, muut vaativat suunnitelmallista päivitystä. 

Käyttäjän nimi voi näet olla järjestelmässä seuraavanlainen:

 Etunimi: 16

Sukunimi: Kesä 2018 Arton

 Tämä esimerkki tuli vastaani juuri tällä viikolla, kun inventoimme asiakaskohteen kulunvalvontajärjestelmän avainyksilöitä. Tulkitsen, että kyseessä on Arton osastolla työskentelevä kesätyöntekijä. Tämä ”kesätyöntekijä” liikkui kulkutietojen mukaan yhä päivittäin ja usein melko myöhään yrityksen tiloissa. Selvisi, ettei kyseinen tunniste enää ollut kesätyöntekijällä, sillä hän oli luovuttanut sen työsuhteensa päättyessä. Nyt sitä käytti uusi hallintojohtaja, jonka työsuhde oli alkanut elokuussa. Hallintojohtajan ei tarvinnut erikseen kuitata tunnistetta itselleen, se oli vain hänelle annettu.

 Näinhän se valitettavasti menee. Kun sitten tapahtuu jotain ja järjestelmästä ryhdytään etsimään tietoa, kuka kulki, mistä kulki ja mihin meni, tarvitaan usein toinen tekninen valvontakeino kertomaan totuus: katsotaan kameravalvonnasta, kuka tunnisteella oikeasti kulki eli kuka käyttäjä oli. Tässä vaiheessa on jo siis tapahtunut jotain, jonka vuoksi asiaa selvitellään. Kätevää, eikö totta?

Sitä saa mitä tilaa

 Eräs turvallisuusjohtaja on erittäin loistavasti kiteyttänyt monen yrityksen kulunhallinnan tilanteen: ”Luottamusta 100 %, tietoa 0 %”. Kuitenkin oletamme, että voimme tehdä päätöksiä ja riskianalyysejä sekä varautumissuunnitelmia käytössämme olevaan tietoon nojaten. Sitä saa mitä tilaa. On aivan turhaa valitella kulunhallinnan puutteita tai arvostella järjestelmän toimimattomuutta, jos ei ole määrittänyt tarkasti, mitä siihen liitetyltä palvelulta haluaa: kuka tekee, mitä tekee, miten kirjaa, mitä työtehtäviin kuuluu ja mitä ei.

 Näen usein, että esimerkiksi kiinteistöjen ylläpidon osalta halutaan määritellä ruohon sallittu maksimikorkeus millimetrin tarkkuudella, mutta turvallisuuteen liittyvien palvelujen osalta riittää yleispätevä lause tai toteamus: “Sopimus sisältää kulunhallinnan/avainhallinnan.” On aivan kuulijasta kiinni, miten asian ymmärtää ja mitä asialla tarkoitetaan.

 En malta olla vertaamatta tätä käsitteeseen siivous, jonka eri tasot oivalsin, kun luin erään japanilaisen kirjan. Miten siis neljä eri henkilöä asian ymmärtävät, kun heitä pyydetään siivoamaan?

•  Henkilö 1 – laittaa tavarat paikoilleen, imuroi, pyyhkii pölyt, puunaa vessat, kopistelee tyynyt, peitot ja matot, vaihtaa liinavaatteet, ostaa tuoreet kukat maljakoihin
•  Henkilö 2 – laittaa tavarat paikoilleen, imuroi, pyyhkii pölyt
• Henkilö 3 – laittaa tavarat paikoilleen, imuroi eteisen ja pahimmat paikat
• Henkilö 4 – vie likaiset vaatteet pois lattioilta ja laittaa tiskikoneen päälle

 Kaikkien mielestä koti siivottiin, mutta jokainen teki asian omalla tavallaan. Kerron seuraavassa blogissa, miten vastaava ilmiö toteutuu avainhallinnassa. Tutustu sillä välin omaan kulunhallintapalvelusopimukseesi ja pohdi, onko palvelun kuvaus avattu mahdollisimman tarkasti ja sisältö ymmärrettävissä samalla tavalla sekä palvelun ostajan että tuottajan näkökulmasta.