Gen AI:n Sweet Spot – Miten toteutimme ISO 27001 -vaatimukset tekoälyn avulla

 18 kuukautta sitten teimme rohkean päätöksen yrityksessämme: aloitimme tietoturvan hallintajärjestelmän (ISMS) rakentamisen tavoitteenamme ISO 27001 -sertifiointi. Tähän liittyi toinenkin merkittävä – ja ehkä uhkarohkea – valinta: generatiivinen tekoäly ei olisi pelkkä työkalu dokumentointiin, vaan keskeinen osa ISMS:n arkea alusta alkaen.




Tekoäly kumppanina, ei vain työkaluna

Keskustelimme ajatuksesta eri sidosryhmien kanssa. Perinteiset asiantuntijayritykset suhtautuivat varautuneesti eivätkä innostuneet lähtemään yhdessä tälle matkalle. Sen sijaan Traficomin Kyberturvallisuuskeskus hyväksyi tukihakemuksemme heti, koska tekoäly oli sen keskiössä.

Koska olemme pieni yritys, tiesimme tarvitsevamme apua. Palkkasimme konsulttitalon, mutta yrityksistämme huolimatta he eivät osanneet mukauttaa työskentelyään meille sopivaksi – yhteistyö päättyi ennen kuin ISMS oli valmis.

Sen sijaan ChatGPT ymmärsi meitä heti. Kun kuvasin yrityksemme, käytetyt teknologiat ja tavoitteet avainsanojen avulla, se alkoi tuottaa toimivia dokumentteja ilman vastaväitteitä – kannustaen oikeilla ohjeilla ja ehdotuksilla.

700 sivua keskustelua ja lähes täydelliset dokumentit

Käytin koko projektin ajan yhtä ChatGPT keskustelua. Nyt se on jo yli 700 sivua pitkä – selvästi yli yksittäisen AI-istunnon konteksti-ikkunan. Mutta koska taustalla on Custom GPT, pääkonteksti säilyy, ja uusimmat pari sataa sivua pitävät sen ajan tasaisena. Vaikka keskustelu on hieman hidastunut, se toimii edelleen erinomaisesti – ihan tavallisella ChatGPT Teams -tilillä ja selainkäyttöliittymällä.

Jo noin kymmenen keskustelusivun jälkeen tekoälyn tuottamat dokumentit olivat 90-prosenttisesti käyttövalmiita. Meidän tarvitsi vain poistaa muutama turha lause ja lisätä dokumenttilinkit. Kun esittelin nämä kahden päivän työn jälkeen konsultillemme, hän totesi lakonisesti: “Mihin te sitten minua tarvitsette?”

Toinen botti – ISMS-kouluttaja

Dokumentoinnin jälkeen loimme toisen botin, joka sai valmiin ISMS-dokumentaation PDF-muodossa kontekstiinsa. Sen tehtävä oli kouluttaa henkilöstömme ISMS:ään.

Tämäkin oli meille ensimmäinen kerta, ja jännitimme, miten se otetaan vastaan. Lopputulos yllätti: henkilöstön mielestä koulutus oli parempi kuin mikään video, esitys tai PDF. Miksi?

  • Tekoäly aloitti keskustelun kysymyksillä, mikä teki siitä vuorovaikutteisen.
  • Koulutettavat uskalsivat kysyä myös hölmöiltä tuntuvia kysymyksiä.
  • Koulutus tapahtui halutulla kielellä.
  • AI arvioi osallistumista – etenikö koulutettava ajatuksella vai klikkailiko vain eteenpäin.

Koulutuksen lopuksi AI pyysi linkin viemistä koulutusrekisteriin, jolloin todistus koulutuksesta syntyi automaattisesti. Myös auditointia varten koulutuksen sisältö oli jälkikäteen tarkasteltavissa.

Kolmas botti – ISMS-asiantuntija jatkuvaan parantamiseen

Kolmas botti on nykyään eniten käytössä: se toimii ISMS-asiantuntijana. Työntekijöiden ei tarvitse selata dokumentaatiota – riittää, että he kysyvät botilta, miten jokin asia hoidetaan. Bottivastauksessa on lyhyt selitys ja linkki intran varsinaiseen dokumenttiin.

Tätä bottia käytetään myös jatkuvan parantamisen välineenä. Kun kehitystarpeita ilmenee, botti ehdottaa, miten uusi toimintamalli toteutettaisiin ja mitä dokumentteja tulisi muuttaa.

Suljettu luuppi – ja kurkistus tulevaisuuteen

Tekoäly loi dokumentaation, jota toinen tekoäly käytti koulutukseen, ja kolmas hyödyntää päivittäisessä työssä. Tämä on meidän tekoälyllä toteutettu suljettu ISMS-luuppi.

Uskon, että tämä on tulevaisuus: yritystekstit tulevat olemaan synteettisiä, ja ihmisen käsin kirjoittamat ohjeet jäävät historiaan. Ei siksi, että tekoäly olisi “trendikäs”, vaan koska näin saavutetaan systemaattisesti laadukkaampi, ajantasaisempi ja helposti koulutettava toiminta.

Siksi AI-first -yritysten on dokumentoitava toimintansa tarkasti – ei vain läjäämällä pilvitiedostoja AI:lle. Roskaa sisään, roskaa ulos -periaate pätee tekoälyynkin. Tarvitsemme tarkkaa ja huolellisesti jäsenneltyä tietoa.

Miten kävi auditoinnissa?

Kyllä, meitä jännitti kertoa sertifioijalle tästä AI-pohjaisesta lähestymistavasta. Mutta kävi ilmi, että me ja auditoija ajattelimme yllättävän samalla tavalla: tärkeintä on laadukas ja systemaattinen toiminta – ei se, kirjoittiko dokumentit ihminen vai tekoäly.

Sertifioijan lopullinen arvio: “Tämä dokumentaatio menee heittämällä parhaaseen kolmannekseen.”

18 kuukauden työ oli päätöksessä. Olimme valinneet oikean polun ja kokeneet vilauksen tulevaisuudesta. Nyt tarjoamme asiakkaillemme entistäkin turvallisempaa palvelua – ja täytämme uuden Kyberturvallisuuslain ja NIS2-direktiivin vaatimukset.



Kommentit

Lähetä kommentti

Tämän blogin suosituimmat tekstit

Mitä olemme oppineet generatiivisesta tekoälystä ensimmäisen vuoden aikana

Kuva
 Aloitin tämän blogin tasan vuosi sitten. Olin silloin varma, että ensimmäistä kertaa historiassa "vanha" teknologian omaksumissääntö, joka sanoo, että uuden teknologian valtavirtaistumiseen menee viisi vuotta, tulee kumotuksi. Astuin siihen samaan lankaan kuin monet optimistit: uuden teknologian käyttöönoton nopeus usein yliarvioidaan, mutta sen pitkäaikaiset vaikutukset aliarvioidaan. Emme siis vielä näe, kuinka radikaalisti tekoäly tulee yhteiskuntaa muuttamaan. Omaksumisen nopeus ei riipukaan teknologiasta, vaan ihmisistä, ja ihmiset eivät muutu teknologian mukana (vai muuttuvatko?). Kun ajattelemme, mitä on tapahtunut sen jälkeen kun Apple julkaisi ensimmäisen kosketusnäytöllisen puhelimen ja avasi näin ovet sosiaalisen median valtavirtaistumiselle, huomaamme, että vaikutuksia aletaan vasta nyt ymmärtämään. Erityisesti esille nousee ensimmäisen älykännykkäsukupolven masentuneisuus, mikä varsinkin Suomessa näkyy vahvana, koska asenteemme, kiitos Nokian, oli jo aikaisin hy...
Lue lisää

AI-avusteinen projektinhallinta – käyttöön jo tänään

Kuva
Useiden projektien hallinta, määräaikojen noudattaminen ja tiimien välisen selkeän viestinnän varmistaminen ovat haasteita, joita moni projektipäällikkö kohtaa päivittäin. Koivu Solutions Oy:ss ä olemme ottaneet käyttöön tekoälyä projektinhallintaprosessiemme tueksi helpottaaksemme tätä työtä. Tekoälytyökalujen avulla olemme muuttaneet tapamme tallentaa, hallita ja hyödyntää projektitietoa. Parasta tässä on, että tämä lähestymistapa on kaikkien yritysten käytettävissä jo nyt. Useiden projektien hallinnan stressi nykypäivänä Nykyajan projektipäälliköt joutuvat usein hallitsemaan useita projekteja samanaikaisesti, jokaisessa erilaiset yksityiskohdat, määräajat ja sidosryhmien vaatimukset. Pitää muistaa, mitä kokouksessa sovittiin viime viikolla, tai pysyä kärryillä kunkin projektin viimeisimmistä kehitysvaiheista, voi tuntua jatkuvalta taistelulta. Sama haaste koskee myös asiakastukea, jossa useiden eri asiakkaiden yhteydenottojen hallinta käy nopeasti raskaaksi. Tarve pysyä järjestäytyn...
Lue lisää

Synteettinen teksti - yritystekstien tulevaisuus

Kuva
Nykyisessä nopeatempoisessa liiketoimintaympäristössä tapa, jolla luomme ja hallitsemme sisäisiä asiakirjoja, tulee kokemaan ison muutoksen. Generatiivinen tekoäly, kuten ChatGPT, on tämän muutoksen eturintamassa ja tarjoaa uuden lähestymistavan yritysten sisäisten dokumenttien kuten sääntöjen, oppaiden ja standardien kirjoittamiseen. Synteettinen liiketoimintateksti, eli tekoälyn tuottama sisältö, lupaa mullistaa tapamme käsitellä sisäistä dokumentaatiota, tehden prosessista nopeampaa, johdonmukaisempaa ja erittäin tarkkaa. Tämä muutos on nouseva globaali megatrendi, joka muuttaa monen työtä. 1. Synteettisen teksti Perinteiset menetelmät sääntöjen, oppaiden ja muiden sisäisten asiakirjojen laatimisessa voivat olla aikaa vieviä. Nyt generatiivisen tekoälyn myötä meillä on mahdollisuus virtaviivaistaa tätä prosessia tavoilla, joita emme olisi voineet kuvitella muutama vuosi sitten. Synteettinen liiketoimintateksti – tekoälyn tuottama sisältö – tarjoaa uuden lähestymistavan hankalalt...
Lue lisää