Suchen

Typenberatung für CISOs Die sechs verschiedenen CISO-Typen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Es gibt sechs unterschiedliche CISO-Typen, sagt der Security & Risk-Forschungsbericht „The Future Of The CISO“ von Forrester Research. Es ist nicht nur interessant, sich darin selbst zu entdecken. Die Typen­bestimmung hilft dem CISO auch bei der Optimierung der täglichen Arbeit und damit der Cybersecurity insgesamt im Unternehmen.

Firma zum Thema

Ein guter CISO muss die eigenen Stärken gezielt in die Security-Kultur des Unternehmens einbringen und für die eigenen Schwächen Abhilfe schaffen.
Ein guter CISO muss die eigenen Stärken gezielt in die Security-Kultur des Unternehmens einbringen und für die eigenen Schwächen Abhilfe schaffen.
(Bild: gemeinfrei / Pixabay )

Selbsterkenntnis ist der erste Schritt zur Besserung, diesen Spruch kennt fast jeder. Trotzdem wird kaum ein CISO auf die Idee kommen, zuerst an sich selbst zu denken, wenn es um eine Verbesserung der Cybersecurity im Unternehmen geht. An Schulungen der Mitarbeiterinnen und Mitarbeiter denkt man, an den Bedarf neuer Security-Lösungen und an eine Überarbeitung der Security-Strategie. Doch eine Selbsteinschätzung kommt einem kaum in den Sinn.

Dabei ist man als CISO bekanntlich die Schlüsselfigur in der Cybersecurity. Man kann und soll es zwar nicht alleine richten, doch als CISO gibt man die entscheidenden Impulse für die Fortentwicklung der Security, nicht immer aber mit der an sich nötigen Budgetverantwortung.

Nun zeigt aber eine neue Untersuchung von Forrester Research, dass es grundverschiedene Typen von CISOs gibt. Diese Typen hängen insbesondere mit Verhaltensweisen und einem speziellen Vorgehen in der Security zusammen.

Nun geht es nicht darum, sich als CISO komplett zu verändern, also seinen Typ zu wechseln, sondern es geht darum, um den jeweiligen CISO-Typ zu wissen und dies in der täglichen Praxis zu berücksichtigen.

Welche CISO-Typen es gibt

CISOs müssen ihren Typ kennen, auch um einen Burnout zu vermeiden, wie Forrester Research betont. Sonst besteht die Gefahr, dass sie gegen die Eigenschaften ihres Typs arbeiten, wodurch sie nicht so erfolgreich sein können, obwohl sie volle Leistung bringen.

Forrester Research berichtet von dem Transformations-CISO, dem Post-Breach CISO, dem taktischen / operationellen CISO, dem Compliance- und Risiko-Guru, dem Steady-State CISO und dem Evangelisten mit Kundenkontakt. Der Bericht beschreibt unter anderem, was diese Typen auszeichnet und worauf man als entsprechender Typ achten sollte:

Der Transformations-CISO hat die Notwendigkeit seiner Rolle erkannt, er konzentriert sich auf Kunden und Geschäftsergebnisse. Dieser CISO ist energiegeladen, extrovertiert und dynamisch. Der aktuelle Stand der Security ist ein intern ausgerichtetes Sicherheitsprogramm und eine strategische Roadmap zur Transformation der Cybersicherheit. Doch Vorsicht: Wenn die Transformation abgeschlossen ist, wird dieser CISO zu einem rein operativen Experten. Ab diesem Zeitpunkt ist CISO möglicherweise nicht mehr die richtige Rolle, so Forrester.

Der Post-Breach CISO ist ein CISO, der nach einen schweren Security-Vorfall hinzugezogen wurde. Der Vorstand, die Führungskräfte, die Medien und die Sicherheitsbranche beobachten ihn in dieser Rolle sehr genau. Dieser CISO ist eher ruhig und prozessorientiert. Forrester warnt: Drei Jahre nach dem Verstoß kehrt die Firma wahrscheinlich zur Normalität zurück und wünscht sich eine andere Art CISO.

Der taktische /operationelle CISO ist ein CISO, der es versteht, betriebliche Probleme zu lösen und sich mit den technischen Problemen in einer Organisation auseinanderzusetzen. Dieser CISO erledigt lieber Dinge in einem aktionsorientierten Team. Als Person ist der CISO detailverliebt und analytisch, er braucht Aktivität. Wie Forrester erklärt, muss ein solcher CISO damit rechnen, dass eine Änderung im Vorstand auch zu einer Änderung bei der Position des CISO führen könnte, da dieser CISO eng mit der bisherigen Organisation verknüpft gewesen ist.

Der Compliance- und Risiko-Guru verfügt über umfassende Kenntnisse der Compliance-Regelungen. Er hat aber die Tendenz, ein bisschen in den Details der Compliance-Regelungen und in den Details der Sicherheitsrichtlinien stecken zu bleiben. Dieser CISO dokumentiert gerne und ist sehr diszipliniert. Ein Problem kann entstehen, wenn die Compliance-Probleme gelöst erscheinen. Dann könnte der Vorstand andere Schwerpunkte in der Security-Arbeit erwarten.

Der Steady-State CISO möchte in einem Unternehmen arbeiten, das dort bleibt, wo es sich befindet, sich nicht transformiert, vor allem auch seine aktuelle Sicherheitslage nicht ändert. Dieser CISO muss ein neues Gleichgewicht finden, denn es ist eine stetige Verbesserung erforderlich. Als Person ist dieser CISO ruhig und konzentriert sich auf schrittweise Verbesserung gegenüber massiver Transformation.

Der Evangelist mit Kundenkontakt ist ein CISO, der die Verantwortung für die Sicherheit seines Unternehmens, seiner Produkte und Dienstleistungen übernommen hat und ist auch zum „Gesicht“ des Engagements des Unternehmens für die Cybersicherheit gegenüber Kunden und Investoren geworden. Solche Personen sind charismatisch, engagiert und mögen öffentliche Reden und Kontakte zu den Medien. Ein Problem mit seiner Arbeit bekommt dieser CISO, wenn das Unternehmen sein Versprechen an seine Kunden verletzt oder sich unethisch verhält.

Selbsterkenntnis und die Folgen für die Arbeit als CISO

Bekanntlich ist Selbsterkenntnis nur der erste Schritt. Wenn ein CISO nun seinen Typen bestimmt hat, ist dies natürlich nur ein Baustein auf dem Weg, seine Arbeit als CISO zu optimieren, um bessere Erfolge zu erzielen und einem Burnout zu entgehen.

Nun geht es darum, die eigenen Stärken gezielt in die Security-Kultur des Unternehmens einzubringen und für die eigenen Schwächen Abhilfe zu suchen, zum Beispiel durch die Zusammenarbeit mit Kolleginnen und Kollegen, die andere Stärken in der Security haben. Nicht nur IT-Sicherheitslösungen können und sollen sich ergänzen, sondern auch Security-Experten und Security-Verantwortliche. Jeder CISO braucht ein zu ihm passendes Team, das seine Typeigenschaften ergänzt.

(ID:46487612)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research