Vietin hiljattain kaksi päivää Amsterdamissa ServiceNow NEXUS -tapahtumassa. Tapahtuman pääteemat olivat turvallisuus sekä sen tutut kumppanit: governance (hallintamallit), risk management (riskienhallinta) ja compliance (vaatimustenmukaisuus). Mielenkiintoisimmat keskustelut eivät kuitenkaan lopulta pyörineet yksittäisten työkalujen tai ominaisuuksien ympärillä.
Sen sijaan huomio siirtyi nopeasti laajempaan kysymykseen: miten organisaatiot pysyvät toimintakykyisinä ja pystyvät etenemään maailmassa, jota muokkaavat tekoäly, geopoliittinen epävarmuus ja jatkuvat häiriöt. Monessa keskustelussa nousi esiin sama ajatus. Turvallisuuden keskeinen tehtävä ei enää ole yrittää estää kaikkea tapahtumasta. Sen tehtävä on mahdollistaa organisaation kyky toimia ja liikkua nopeammin rakentamalla järjestelmiä, prosesseja ja tiimejä, jotka kestävät häiriöitä ja palautuvat nopeasti.
Kolme teemaa nousi erityisesti esiin:
- Resilienssi mahdollistaa nopeuden. Menestyvimmät organisaatiot eivät yritä poistaa kaikkea riskiä. Ne rakentavat järjestelmänsä ja toimintamallinsa niin, että liiketoiminta jatkuu myös häiriötilanteissa.
- Riskienhallinnan pitää tukea päätöksentekoa. Sen sijaan että riskienhallinta olisi monimutkainen vaatimustenmukaisuusharjoitus, sen pitäisi auttaa johtoa ymmärtämään liiketoimintavaikutuksia ja priorisoimaan oikein.
- Tekoälyä pitää hallita, mitata ja ohjata. Tekoäly itsessään ei ole riski. Hallitsematon tekoäly on. Parhaiten onnistuvat organisaatiot kohtelevat tekoälyä kuten mitä tahansa muuta kyvykkyyttä: sitä ohjataan, mitataan ja kehitetään tavoitteellisesti.
Alla muutamia havaintoja, jotka jäivät tapahtumasta erityisesti mieleen.
Resilienssi mahdollistaa nopeuden
Usein tietoturvaa on pidetty kustannuksena tai liiketoimintaa hidastavana tekijänä. NEXUS-tapahtumassa tätä ajattelua haastettiin suoraan. Resilientimmät organisaatiot eivät ole niitä, jotka yrittävät poistaa kaiken riskin. Sen sijaan ne lähtevät siitä oletuksesta, että häiriöitä tapahtuu, ja suunnittelevat järjestelmänsä, prosessinsa ja toimintamallinsa sen mukaisesti. Tavoitteena ei ole täydellisyys vaan kyky jatkaa toimintaa myös silloin, kun jokin menee rikki.
Kun resilienssistä tulee keskeinen tavoite, turvallisuus ja IT eivät enää näyttäydy esteinä vaan mahdollistajina. Organisaatiot, jotka pystyvät palautumaan nopeasti ja jatkamaan toimintaansa, voivat liikkua nopeammin ja tehdä päätöksiä varmemmin.
Yksi tapahtumassa kuultu kommentti tiivisti tämän ajattelun hyvin:
“Two times cheaper or two times faster? Faster always wins.”
Nopeus ei synny oikoteistä. Se syntyy järjestelmistä, prosesseista ja ihmisistä, jotka on suunniteltu kestämään häiriöitä ja jatkamaan eteenpäin.
Riskienhallinnan pitää olla käytännöllistä (ja jopa hauskaa)
Riskienhallinta nousi esiin monessa keskustelussa tapahtuman aikana. Kiinnostavaa oli, että näkökulma siirtyi pois perinteisestä compliance-ajattelusta. Monilla organisaatioilla on kyllä käytössään erilaisia viitekehyksiä, linjauksia ja kontrolleja, mutta ne voivat helposti muuttua monimutkaisiksi prosesseiksi, jotka eivät välttämättä tue parempaa päätöksentekoa.
NEXUS-tapahtumassa toistui viesti siitä, että riskienhallinnan ei tarvitse olla monimutkaista eikä pelkkä rastiruutuun-harjoitus. Parhaimmillaan riskienhallinta auttaa keskittymään siihen, mikä oikeasti on tärkeää ja tekemään päätöksiä todellisten vaikutusten perusteella.
Johdon ja hallituksen keskustelut eivät yleensä ala haavoittuvuuksista, CVE-listoista tai hyökkäystekniikoista. Johtoa kiinnostaa ennen kaikkea liiketoimintavaikutus. Mitä tapahtuu, jos kriittinen järjestelmä kaatuu? Miten se vaikuttaa asiakkaisiin, liikevaihtoon tai maineeseen?
Tämän vuoksi vaikutusperusteiset lähestymistavat ja taloudellisesti perustellut riskimallit kasvattavat suosiotaan. Ne auttavat yhdistämään tietoturvainvestoinnit ja riskipäätökset suoraan liiketoiminnan tuloksiin.
Lopulta turvallisuus ja riskienhallinta eivät ole erillisiä asioita. Ne ovat saman keskustelun kaksi puolta.
Tekoäly ei ole riski, hallitsematon tekoäly on
Tekoäly oli luonnollisesti yksi tapahtuman keskeisistä teemoista. Yksi käytännöllisimmistä havainnoista oli kuitenkin myös yksinkertainen: tekoäly itsessään ei ole suurin riski. Suurin riski on hallitsematon tekoäly.
Monet organisaatiot reagoivat uusiin teknologioihin yrittämällä estää niiden käytön. Käytännössä tämä harvoin toimii. Työntekijät kokeilevat uusia työkaluja joka tapauksessa, ja jos se tapahtuu virallisten prosessien ulkopuolella, riskit itse asiassa kasvavat.
Toimivampi lähestymistapa on keskittyä hallintaan eikä kieltoihin. Organisaatioiden kannattaa määritellä, mitä tekoälytyökaluja saa käyttää, luoda selkeä prosessi uusille käyttötapauksille ja luokitella riskit jo varhaisessa vaiheessa. Esimerkiksi ServiceNow’n AI Control Tower on yksi esimerkki siitä, miten tekoälyn hallintaa voidaan toteuttaa rakenteisesti ja läpinäkyvästi.
Tavoitteena ei ole hidastaa innovointia. Tavoitteena on luoda riittävästi rakennetta ja näkyvyyttä, jotta innovaatio voi tapahtua turvallisesti ja skaalautua hallitusti.
Mittaa tekoälyä käytännön kautta
Yksi tapahtuman käytännöllisimmistä havainnoista oli hyvin yksinkertainen ajatus: mittaa, tuottaako tekoäly oikeasti arvoa.
Monissa organisaatioissa tekoälyn käyttöönotto alkaa innostuksesta malleihin, uusiin kyvykkyyksiin tai työkaluihin. NEXUS-keskusteluissa korostui kuitenkin huomattavasti kurinalaisempi lähestymistapa.
Tekoälyä ei kannata ottaa käyttöön siksi, että se kuulostaa vaikuttavalta. Sitä kannattaa käyttää silloin, kun se todistettavasti parantaa lopputulosta.
Yksi hyvä nyrkkisääntö nousi esiin useassa keskustelussa. Jos tekoälyratkaisu ei päihitä nykyistä toimintatapaa, kannattaa kysyä, onko sitä ylipäätään järkevää käyttää. Käytännössä tämä tarkoittaa sitä, että nykyistä toimintatapaa ja tekoälyyn perustuvaa lähestymistapaa kokeillaan rinnakkain ja tuloksia verrataan.
Jos tekoäly ei pärjää edes nykyiselle toimintatavalle, se saattaa olla vain kallis tapa tehdä sama asia kuin ennen.
Kun lähdetään liikkeelle yksinkertaisesta, mitataan tuloksia ja lisätään monimutkaisuutta vasta silloin kun se osoittautuu hyödylliseksi, organisaatio pystyy etenemään huomattavasti hallitummin. Tekoälyn käyttöönotto ei ole pikamatka vaan maraton, joka palkitsee kurinalaisen kokeilun, rehellisen mittaamisen ja samalla mahdollistaa ketterän kokeilukulttuurin.
Tekoäly muuttaa tietotyötä
Tekoälyn avulla organisaatiot voivat nyt hahmottaa tietotyötä aivan uudella tavalla. Toisin kuin teollisessa työssä, tietotyön lopputulos ei ole yhtä helposti mitattavissa.
Keskusteluja, dokumentteja ja asiakasvuorovaikutusta voidaan kuitenkin nyt analysoida mittakaavassa, joka aiemmin ei ollut mahdollista. Tämä antaa organisaatioille uudenlaisen näkyvyyden siihen, missä työ tuottaa arvoa ja missä syntyy kitkaa tai turhaa työtä.Samalla se avaa uusia tapoja ymmärtää asiakkaiden tarpeita, kehittää tuotteita ja parantaa palvelun laatua.
Samalla yksi asia nousi esiin varsin selvästi. Monille työntekijöille tekoälytyökalut ovat jo osa normaalia työskentelytapaa. Jos nämä työkalut poistettaisiin, monissa tapauksissa sekä työn tuottavuus että laatu heikkenisivät.
Tekoäly ei kuitenkaan korvaa osaamista. Päinvastoin, vahva toimialaosaaminen ja liiketoimintaymmärrys korostuvat entisestään. Ilman niitä jopa kehittyneimmät tekoälyratkaisut voivat tuottaa teknisesti vaikuttavia mutta liiketoiminnan kannalta hyödyttömiä lopputuloksia.
Yhteenveto
Yksi selkeimmistä havainnoista NEXUS-tapahtumassa oli se, että resilienssiä, riskiä ja tekoälyä ei voi enää käsitellä erillisinä teemoina.
Tekoäly ei ratkaise organisaatioiden rakenteellisia ongelmia, jos perusasiat kuten johtaminen, selkeät toimintamallit ja resilienssi eivät ole kunnossa. Samalla hallitsematon tekoälyn käyttö voi kasvattaa riskejä, kustannuksia ja monimutkaisuutta merkittävästi.
Menestyvät organisaatiot eivät todennäköisesti ole niitä, jotka jahtaavat jokaista uutta tekoälymallia tai tekoälyalustaa. Sen sijaan ne rakentavat vahvan ja kestävän perustan, ohjaavat teknologian käyttöä harkitusti ja mittaavat kehitystä rehellisesti.
Tällaisessa ympäristössä tietoturva ei ole enää pelkkä rajoite. Se toimii mahdollistajana, joka auttaa organisaatiota etenemään luottavaisesti myös epävarmassa maailmassa.
Lopulta kyse on yksinkertaisesta asiasta: nopeus ilman resilienssiä on hauras.
Todellinen resilienssi antaa organisaatioille mahdollisuuden liikkua nopeammin, ottaa hallittuja riskejä ja jatkaa toimintaansa myös silloin, kun jokin menee pieleen.
