Tulostusversio

3/2011

Standardit: Yritykset mukaan

Teksti: Päivi Männikkö

Selväsanaiset standardit auttavat yritystä kehittämään tietoturvaansa.

Varsinkin suomalaiset tuotekehitysyritykset osallistuvat aktiivisesti epävirallisten, usein teknisiin ratkaisuihin keskittyvien tietoturvanstandardien laatimiseen.

Sen sijaan virallisissa, kaikille aloille soveltuvissa ja usein tietoturvan hallintaan liittyvässä standardisoinnissa suomalaisten osallistuminen on vielä aika ohutta, VTT:n tietoturva-asiantuntija, johtava tutkija Reijo Savola sanoo.

Tietoturvan tekniset standardit liittyvät usein suoraan liiketoimintaratkaisuihin, joten niiden arvo on helposti muutettavissa euroiksi. Hallintastandardit taas ovat varsin yleisiä johdon työkaluja, joiden soveltamisen arvoa on vaikeampaa muuttaa rahaksi. Paljon on kiinni siitä, miten tietoturvapäällikkö osaa selittää johdolle hallintastandardien hyödyt.

"Jos standardissa esitetään asiat selkeästi, se palvelee oman yrityksen tietoturvan kehittämistä", Savola muistuttaa.

Eduksi tuotekehitykselle

Suomalaisyritysten toivotaan innostuvan osallistumaan tietoturvan hallintastandardien soveltamiseen ja laatimiseen vapaaehtoispohjalta.

Tietoturvan hallinnan standardisoinnissa ISO/IEC on tunnetuin kansainvälinen organisaatio. Sen standardien sisältöön pääsee vaikuttamaan Suomen Standardisoimisliiton kokoamassa kansallisessa tietoturvastandardisoinnin seurantaryhmässä. Ryhmän toimintaan osallistuvat saavat standardiluonnokset käyttöönsä ja tietävät näin ollen muita aiemmin uusien standardien sisällöistä ja pääsevät vaikuttamaan siihen.

"Uskoisin että Suomesta löytyisi vielä enemmänkin ihmisiä, jotka haluaisivat vaikuttaa tuolla tavalla", Reijo Savola toteaa.

Esimerkiksi Ruotsissa osallistuminen standardiluonnosten käsittelyyn ja kommentointiin on paljon meitä aktiivisempaa, kenties pidemmistä perinteistä johtuen. Suomessa kansallinen seurantaryhmä on toiminut vasta kolmisen vuotta. Sitä ennen osallistuminen kansainvälisiin standardikokouksiin oli yksittäisten ihmisten aktiivisuudesta kiinni.

Savolan mukaan joillakin pienillä ja keskisuurilla yrityksillä osallistuminen kiikastaa rahasta. Kokouksiin osallistuminen maksaa ja vie asiantuntijoiden työaikaa.

Tietoturvastandardeihin liittyy kuitenkin liiketoimintamahdollisuuksia, jotka nyt menevät ohi monilta pk-yrityksiltä, todetaan kansallisen tietoturvastrategian toimenpideohjelman hankkeen loppuraportissa. Hankkeessa pohdittiin keinoja tietoturva-alan kilpailukyvyn kasvattamiseksi.

Raportissa ehdotetaan, että suomalaisten asiantuntijoiden osallistumista standardikokouksiin tuettaisiin vuosittain 160 000 eurolla.

Suoraviivaisuus sopii standardisointiin

Hankeryhmä ehdotti myös selvitettäväksi, millaisten tietoturvan standardisoinnin alueisiin Suomen kannattaisi osallistua aktiivisesti. Miten aktiivisempi osallistuminen hyödyttäisi Suomea?

"Uskon, että jos olemme paremmin esillä kansainvälisessä tietoturvan standardisoinnissa, pystymme vaikuttamaan niin, että standardit kehittyvät oikeaan suuntaan", Reijo Savola sanoo.

”Suomessa myös osataan miettiä tietoturva-asioita perusteellisesti, ja meillä pyritään suoraviivaisuuteen. Suomalaisilla on paljon annettavaa kansainväliselle standardisoinnille, mutta varmasti sieltä opimme myös uutta.”

Suomi tietoturvan suunnannäyttäjäksi. Kansallisen tietoturvastrategian toimenpideohjelman hankkeen 5 loppuraportti >>

Lue myös

Standardit: Selkoa standardiviidakkoon »
Standardit: Kortin suojaksi »
Standardit: Myyjä ei näe kortin tietoja »
Standardit: Tehokas mutta raskas PCI DSS »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.