Konsten att planera för det oväntade

Läs gärna första delen här.

Inom informationssäkerhetsområdet talar vi ofta om vikten av proaktivitet, och de flesta av oss brukar vara överens om att det är bättre att arbeta förebyggande än att åtgärda problemen i efterhand. Jag håller förstås med, i stort sett.

Av någon anledning får ämnet proaktivitet mig också att tänka på filmen Minority Report från 2002 (med Tom Cruise och Max von Sydow i huvudrollerna), där en särskild polisenhet har förmågan att förutsäga framtiden, för att sedan använda dessa förutsägelser för att gripa mördare innan de hinner begå sina brott. Där kan vi verkligen tala om att arbeta proaktivt. Tyvärr – spoiler alert – slutar det hela inte så bra för själva polisenheten. Fast det borde de kanske ha kunnat förutse…?

Även bortsett från påkostade Hollywoodproduktioner kan vi nog vara relativt överens om vikten av proaktivt arbete, i synnerhet i en verksamhet med ett stort fokus på utveckling och underhåll av säkra system och tjänster. I boken Antifragilitet: om sådant som gynnas av oordning, diskuterar Dr. Nassim Taleb likartade tankegångar, om än i en något annorlunda kontext och med en lite annan terminologi.

Men hur är då det med reaktivitet? Vi kan börja med att fundera över följande citat, fritt översatt från Talebs bok:

”Med tanke på ouppnåeligheten av ett perfekt robust system, behöver vi en mekanism genom vilken systemet automatiskt regenererar sig genom att använda, snarare än att drabbas av, slumpmässiga händelser, oförutsägbara chocker, stressfaktorer och volatilitet.” 

För att förtydliga: om vår ambition är att skapa ett så kallat antifragilt system – oavsett om det är tekniska eller organisatoriska system vi talar om – är det naturligtvis både viktigt och nödvändigt att arbeta proaktivt. Men eftersom det alltid kommer att finnas inslag av slumpmässighet som vi inte kommer kunna förutse eller planera för, är ett proaktivt angreppssätt inte tillräckligt. Det kommer nämligen alltid finnas en överhängande risk för att oförutsägbara, negativa händelser plötsligt kastar in en näve grus i vårt för övrigt väloljade maskineri.

Eller, för att citera en annan av våra stora samtida filosofiska tänkare – Michael Gerard Tyson:

Detta betyder att vi parallellt med vårt proaktiva arbete också behöver fokusera på att optimera vår reaktiva förmåga, eftersom detta i praktiken bidrar till att öka vår motståndskraft mot dessa negativa, slumpmässiga händelser. Fullständig antifragilitet – formulerat som ”perfekt robusthet” i citatet från Taleb – är kanske inte ens möjlig för oss att uppnå, men genom att kontinuerligt arbeta i den riktningen kan vi successivt röra oss bort från fragilitet – eller bräcklighet – mot en stadigt ökande grad av robusthet.

Och även om vi aldrig når till den nivå där vårt system blir så pass robust att det faktiskt stärks av oförutsägbara, chockartade händelser så kan vi fortfarande vidareutveckla vår kapacitet rörande hur vi hanterar den typen av incidenter – med andra ord, bli bättre på det som Taleb kallar ”icke-förutsägbart beslutsfattande under osäkerhet”.

Det här är i grund och botten vad Darwins gamla devis ”survival of the fittest” handlar om; insikten att vår överlevnad är direkt beroende av vår förmåga till anpassning. Fast i vårt fall är kanske ”survival of the smartest” en mer träffande formulering (nej, jag pratar inte om mig själv).

Hur bryter vi då ner allt det här till någon sorts grundläggande, praktiskt tillämpbara riktlinjer för oss it- och infosäk-nördar? Till att börja med är det viktigt att inse att robusthet i sig är uppbyggd av flera olika egenskaper, var och en viktig på sitt sätt. En sådan egenskap, som primärt hör hemma i den proaktiva kategorin, är redundans. Genomtänkt och korrekt utformad redundans resulterar i att vårt system blir bättre rustat för att absorbera olika typer av störningar – eller chocker, för att använda Talebs terminologi – utan att dessa får alltför stor negativ påverkan på systemets övergripande funktion.

I gränslandet någonstans mellan proaktivitet och reaktivitet bör vår huvudsakliga, övergripande målsättning vara att reducera komplexitet. Onödig komplexitet har en direkt negativ påverkan på effektiviteten och leder i förlängningen till att vi blir mer sårbara för oförutsedda störningar.

Ett av de bästa sätten att motverka denna komplexitet är att förflytta själva utförandet av olika aktiviteter bort från oss relativt långsamma, felbenägna människor – fast ni som just nu läser detta är naturligtvis undantagna från denna mindre smickrande beskrivning – och istället implementera en lämplig nivå av orkestrering, där många av de komplexa och kritiska aktiviteterna kan automatiseras. Ur ett mer reaktivt perspektiv kan detta även skapa bättre förutsättningar för att fortare återställa systemets funktion i händelse av kritiska incidenter.

För att fortsätta på samma tema kan vi också överväga att vidareutveckla detta genom att utvärdera möjliga användningsområden för olika AI-relaterade metoder – exempelvis djupininlärning – som på olika sätt skulle kunna förstärka både vår proaktiva och vår reaktiva förmåga ytterligare.

Avslutningsvis behöver vi även ha fullkomligt klart för oss hur vi säkerställer att alla dessa ständigt föränderliga, inbördes relaterade pusselbitar samverkar på ett sätt som gör helheten större än summan av de enskilda delarna. Om vi strävar efter få ut maximal effekt av våra ansträngningar avseende antifragilitet – vilket vi förstås gör – behöver vi därför också implementera något lämpligt, övergripande ramverk, som tydligt definierar alla relevanta gränsdragningar och hur alla individuella delar ska fungera för att harmonisera med varandra på ett optimalt sätt.

Jag ska inte hymla med att detta är ett kontinuerligt pågående arbete som kräver en viss nivå av blod, svett och tårar – eller åtminstone en del tid, genomtänkta arbetsinsatser och rätt kompetens. Men även från ett långsiktigt, strategiskt verksamhetsperspektiv är det viktigt att vi aldrig glömmer bort den obestridliga sanning som evolutionen ständigt påminner oss om – nämligen, att det bistra alternativet till anpassning och överlevnad är utdöende.