CISA İle İlgili Ayrıntılı Bilgiler

CISA sınavı, daha önce de belirttiğim gibi sadece İngilizce dilinde sunuluyor; ancak geçtiğimiz günlerde ISACA İstanbul Odası, Türkçe olarak da sunulması için girişimlere başladıklarını ve 2015 yılının Haziran ayından itibaren CISA sınavının Türkçe olacağını iletti. Umarım, güzel ve doyurucu bir çeviri ile CISA sınavı hem Türkçe hem de İngilizce olarak adaylara verilir.

Genel olarak CISA sürecini burada anlatmıştım. Ve o yazıda, sınav ile ilgili daha detaylı bilgiler vermek istediğimi de belirtmiştim (en azından içimden geçen buydu). Bu yazıda, gerek sınavın yapısı gerek sınavın mantığı ile ilgili olarak verebileceğim ve hatırlayabildiğim kadar bilgi vermeye çalışacağım.

1. CISA Sınavı Konuları

CISA sınavı, bilgi sistemleri dünyasındaki genel yaklaşımları temel alan, ancak bunlara bir denetçi gözünden bakan bir yapıda. Yani, COBIT ve ITIL benzeri kontrol hedefleri ya da kütüphanelere aşinaysanız sınavın bir bölümünü de rahatlıkla yapabilirsiniz. Fakat gerçekten sıkı bir çalışma ile bilgilerinizi sağlamlaştırmanızı tavsiye ediyorum. Sınav konuları beş bölümden oluşmakta ve CISA Review Manual bu başlıklar etrafında kurgulanmış durumdadır. Bu konulardan ilk ikisi denetim ve yönetim/işletme dünyasının BT alanındaki izdüşümlerini izlemektedir. Diğer üç bölüm ise doğrudan BT dünyasındaki edinim, kurulum, operasyon, bakım ve destek süreçlerini kapsayan bir yapıda ve bir BT elemanının günlük iş ve işlem konularını oluşturan hususlara yöneliktir. Ayrıca, sınav beş bölümden gelen sorulara sahipse de başlıklar halinde soru gruplandırması yok, yani sınavda Bilgi Sistemleri Denetimi Sürecine ilişkin bir sorudan sonra Bilgi Varlıklarının Korunması bölümünden bir soru gelebilir ve bu soruların hangi alana dahil oldukları da belirtilmemektedir. Yani hep dikkatli olmanız lazım. Konuların kısa tanıtımlarını aşağıda bulabilirsiniz.

1.1.  Bilgi Sistemleri Denetimi Süreci (The Process of Auditing Information Systems)

Bu bölüm, bir BT denetçisinin herhangi bir BT alanında rahatlıkla ve profesyonel bir tutum sergileyerek prosedür ve sağlam bir yöntem ile denetim yapabilmesini sağlamaya yönelik konuları içermektedir. BT denetimi uygulamalarının tamamını kapsayan ve BT denetiminin özünün kavrandığını kanıtlamaya yönelik bu bölüm, sınava giren CISA adayının BT denetimi süreçlerine gerçekten aşina olmasını gerektirmektedir. Bu konudaki sorular, adayın BT denetim standartlarına uygun olarak yaptığı denetimler ile bir kurumun bilgi sistemlerinin korunması ve kontrol edilmesine katkıda bulunabileceğini tartmayı hedeflemektedir. CISA Review Manual’e göre soruların %14’ü (yaklaşık 28 soru) bu alandan gelmektedir. Risk odaklı bir BT denetim stratejisi geliştirmek, BT denetimleri için uygun denetim planlarının oluşturulması, BT denetim standartlarına uygun denetimler yapılması, denetim bulgularının ilgili taraflarla paylaşılması ve öneri getirilmesi, denetim sonrasında izleme faaliyetlerinin yapılması ve idarenin gerekli tedbirleri alıp almadığının izlenmesi, bu bölümde bir denetçi tarafından yerine getirilmesi beklenen görevlerdir.

Kanaatimce bu bölüm, BT denetçisi olmayan iç ve bağımsız denetçilerin en rahat oldukları bölümdür. Sorular, genel denetim mantığıyla sıkı sıkıya bağlıdır. Günlük denetim faaliyetlerini yürüten bir denetçi, kıdemli olsun olmasın sadece mantık yürüterek bile bu soruları doğru yanıtlayabilir. Ancak unutulmaması gereken nokta, CISA sınavının Amerikan yaklaşımını benimsediği ve Türk mantığının sınav için biraz sorun teşkil edebileceğidir. Zira sınava ilişkin örnek sorularda görüleceği üzere Amerikan denetim mantığında, bizim Türkiye’de önem atfettiğimiz çoğu şeyin ikincil önemi haiz olduğu görülmektedir. Ben, deneyimlerimden yola çıkarak, bu bölüm için CISA Review Manaul’in iyi okunması ve CISA Practice Question Database’in ilgili sorularının defalarca ama defalarca çözülmesini tavsiye ediyorum. Bilhassa, denetim dünyası dışındaki adayların kesinlikle bu bölümle ilgili bol bol soru çözmesi ve okuma yapması gerekiyor.

1.2.  BT Yönetimi ve Yönetişimi (Governance and Management of IT)

BT yönetişimi ve yönetimi, kurumun genel yönetimi ve yönetişimini bütünlemektedir. Kurumun genel strateji ve hedefleri ile BT uygulamalarının uyumlu ve bütünlüklü bir şekilde yürütülmesi önem arz etmektedir. Bu kapsamda, BT denetçisinin BT yönetişimi bilgi birikimi (knowledge), yürütülen denetimler için en temel unsurlardan biridir. Bu bilgi birikimi sayesinde BT denetçisi, kurum idaresinin öngörüleri ve değerlendirmelerine girdi sağlamak noktasında denetim için doğru ve sağlıklı kontrol adımları uygulayabilecektir. Bu bölümdeki sorular, BT denetçisinin kurum yönetimine ve liderliğine kurumsal yapıların ve süreçlerin tesis edildiğine ilişkin kanıt sunabilmesini; bu süreçlerin BT ve kurum hedeflerine ulaşılmasını sağladığını ve kurumun stratejisini desteklediğini göstermesini değerlendiren yapıdadır. CISA Review Manual’e göre soruların %14’ü de (yaklaşık 28 soru) bu alandan gelmektedir.

Bu bölümde, BT ile kurumun hedeflerinin uyumlu ve paralel olmasına yönelik uygulamalara ilişkin bilgiler sorgulanmaktadır. Denetim, yönetim ve operasyon arasındaki bağlantıların anlaşıldığının ve denetimlerde girdi olarak kullanıldığının bu bölümdeki sorular yoluyla değerlendirildiğini belirtmek isterim. BT’nin kurumdaki rolü, BT Strateji Komitesi, BT Yönlendirme (Steering) Komitesi, BT dengeli puanlama kartı (IT balanced scorecard), Bilgi Güvenliği Yönetişimi, Kurumsal Mimari, rollerin görev ve sorumlulukları, stratejik planlama, politika ve prosedürler, risk yönetimi, BT yönetimi uygulamaları, işletme yönetiminin BT üzerindeki yansımaları (İK, finans, değişim yönetimi vb.), BT görevlerinin tanımı, görevler ayrılığı gibi kavramların hepsi bu bölümden gelen soruların konularını oluşturmaktadır. Çok dolu olan bir bölümdür; ancak genel işletme ve BT yönetimi bilgilerine sahipseniz ve biraz da iş deneyiminiz varsa bu bölüm sizi zorlamayabilir. Yine de sıkı okuma ve bol bol soru burası için de geçerli. Özellikle BT yönetim organları ve görevlerini iyi tahlil etmek gerekli diye düşünüyorum.

1.3.  Bilgi Sistemleri Edinimi, Geliştirmesi ve Kurulumu (Information Systems Acquisition, Development and Implementation)

Uygulama (application) sistemleri ve altyapı unsurlarının oluşturulması ve değiştirilmesi sırasında kurumlar tarafından kullanılan önemli yöntem ve süreçler hakkında BT denetçisinin bilgi sahibi olması gerekmektedir. Bilgi sistemlerinin edinimi, geliştirilmesi, test edilmesi ve kurulumunun kurumsal strateji ve hedefleri karşılayacak yapıda olduğuna ilişkin denetim faaliyetlerini nyürütülebilmesi ve kurum idaresine bu noktada güvence sağlanabilmesi temel bölüm hedefidir. CISA Review Manual’e göre soruların %19’u (yaklaşık 38 soru) bu alandan gelmektedir.

Yine çok kapsamlı olan bu bölümdeki sorular, her yönüyle proje ve portföy yönetimi (bütçe yönetiminden İK yönetimine, proje fizibilite çalışmasından başarım değerlendirmesine kadar), uygulama geliştirme yaşam döngüsü, programlama, test süreçleri, kalite güvence etkinlikleri, tüm unsurlarıyla değişiklik yönetimi, e-ticaret ile ilgili uygulamalar, iş zekası, karar destek sistemleri, geleneksel ve diğer uygulama geliştirme yöntemleri, donanım edinimi, süreç iyileştirme etkinlikleri, uygulama kontrollerinin denetimi, kurulum ve sonrasındaki değerlendirmeler gibi çok geniş bir alandan gelmektedir. COBIT AI – Edinim ve Kurulum başlıklarının tamamının bu bölümün önemli bir kısmını kapsadığını söyleyebiliriz. BT dünyasından, özellikle değişim yönetimi ile ilgili profesyonellerin bu bölümde başarı şansının kendiliğinden yüksek olduğunu düşünüyorum. Proje yönetimi alanında kendini geliştirenler ile uygulama geliştirme sürecine hakim olanların sıkı okumalar ve bol soru çözümü ile bu bölümden alınlarının akıyla çıkacaklarını tahmin ediyorum.

1.4.  Bilgi Sistemleri Operasyonları, Bakımı ve Desteği (Information Systems Operations, Maintenance and Support)

Beklenen hizmet seviyelerinin sürdürülebilmesi için operasyon, bakım ve destek faaliyetleri tüm kurum için hayatidir. Kurumun iş hedefleri beklenen hizmet seviyelerini belirlemektedir. Bu beklentileri ise bilgi sistemleri operasyonları, BT hizmetleri ve yönetimi ile yardımcı personel vasıtasıyla yerine getirilmektedir. BT operasyon, bakım ve destek faaliyetlerinin kurum strateji ve hedeflerini destekler yapıda olup olmadığının incelenmesi ve bu konuda idareye güvence verilmesi, bu alanda BT denetçisinden beklenmektedir. CISA Review Manual’e göre soruların %23’ü (yaklaşık 46 soru) bu alandan gelmektedir. Baştan söylemek gerekir ki COBIT DS – Teslimat ve Destek bölümünün bir kısmı bu alandaki soruları karşılamaktadır. Bence COBIT DS genel olarak dikkatlice okunmalı, mümkünse COBIT güvence rehberi (assurance guide) ezberlenmelidir (Şaka gibi de değil gibi de, ama siz yine de okuyun.).

Bu bölümdeki sorular, konfigürasyon yönetimi, sürüm yönetimi, yardım masası faaliyetleri, operasyon takvimlendirme, veri yönetimi, medya yönetimi, donanım mimarisi, donanım bakım ve izleme süreci, erişim kontrol prosedürleri, veri tabanı yönetimi, ağ altyapısı yönetimi, tüm bunların denetlenmesi ile felaket kurtarma planlaması alanlarından gelmektedir. Söylediğim gibi COBIT DS – Teslimat ve Destek bölümünün amentü kabul edilmesi çok önemlidir diyebilirim. Burada belirtmeliyim ki kurumların Bilgi Sistemleri birimlerinin özellikle sistem ve operasyon birimlerinde çalışan adaylar bu bölüm için fazla çalışmak zorunda kalmayabilir; ancak profesyonel hayatta bu alanda olmayanların sıkı okuma yapmaları ve bol soru çözmeleri elzemdir. Çok fazla detay bilgi yer alan bir bölüm olduğundan dolayı, insan bu bölüm okumalarını önemsemez hale gelebiliyor; ancak felaket kurtarma planları ve ilgili başlıklarının ciddi olarak puan kazandıran soru grubu olduğunu girdiğim iki sınavda da gördüm. Ağ topolojileri, hatta kablolama seçeneklerine kadar detaya sahip bu bölümde inanın ki çok ayrıntı isteyen sorular gelebiliyor. Elden geldiğince BT sistemleri bilginizi artırmanız CISA’nın bu bölümü için çok önemli, benden hatırlatması.

1.5.  Bilgi Varlıklarının Korunması (Protection of Information Assets)

Bu bölüm, bilgi varlıklarının gizlilik (confidentiality), bütünlük (integrity) ve hazır bulunma/elde edilebilirliği (availability) (CIA) ile ilgilidir. CIA’yı sağlayabilmek için oluşturulan mantıksal ve fiziksel erişim kontrollerinin tasarım, kurulum ve takibi değerlendirilmektedir. Gizli bilginin saklanması, çağrılması, iletimi ve imhası ile ilgili ağ altyapısı güvenliği ve fiziksel çevreyle ilgili prosedürler de bu bölümde incelenmektedir. Bu güvenlik uygulamalarındaki yeri de burada ele alınmaktadır. Kurum güvenlik politika ve prosedürleri ile kontrollerinin bilgi varlıklarının gizlilik (confidentiality), bütünlük (integrity) ve hazır bulunma/elde edilebilirliği (availability) sağlama noktasında güvence verilmesi, BT denetçisinin görevidir. Bu bölümde sorgulanan husus, bu güvence faaliyetine ilişkin bilgi birikimidir. CISA Review Manual’e göre soruların %30’u (yaklaşık 60 soru) bu alandan gelmektedir. Yine baştan söylemek gerekir ki CISA sınavına ilişkin 4. Konu başlığı olan Bilgi Sistemleri Operasyonları, Bakımı ve Desteği bölümünün güvenliği bu bölümde ele alınmaktadır. Bu minvalde, COBIT DS – Teslimat ve Destek bölümünün güvenlik ile ilgili kısımları bu alandaki soruları karşılamaktadır. Bence yine, COBIT DS genel olarak dikkatlice okunmalı, mümkünse COBIT güvence rehberi (assurance guide) ezberlenmelidir (Parantez içi bir önceki bölümdekinin aynısıdır.).

Buradaki sorular, bilgi ve bilgi sistemleri güvenliği yönetimi, mantıksal erişim yönetimi, yetkilendirme ve takip etme, bilginin saklanmasından imhasına kadarki tüm veri yönetimi, LAN güvenliğinden tutun da firewall’a hatta kriptolamaya kadarki tüm ağ altyapısı güvenlik unsurlarının yönetimi, veri sahipliği başta olmak üzere bilgi varlıklarına ilişkin prosedürler, fiziksel erişim kontrolleri, güvenlik kontrollerinin test edilmesi, izinsiz değişiklikler de dahil olmak üzere bilgi varlıklarının güvenliğinin kontrolü ve denetimi, fiziksel olay ve sorunlara ilişkin kontrollerin denetlenmesi, fiziksel erişim sorunları ve suistimallerine karşı önlemlerin denetimi gibi uçsuz bucaksız birçok konudan gelmektedir. ISACA’nın özellikle mantıksal ve fiziksel erişim konularında takıntılı olduğunu, sınavda sistem odalarına izinsiz girişte kullanılan yöntemlere yönelik çok soru sorulduğunu ve ayrıca küçük ya da orta ölçekli şirketlerde veriye erişimin ve veri yönetiminin nasıl olması gerektiğine ilişkin çokça soruyla muhatap olunacağını belirtmek isterim. CISA Review Manual’in ekindeki sözlük sizin arkadaşınızdır, dostunuzdur; onu iyi kullanın. Test ve sistem odası güvenliği konularını da çok dikkatli okuyun.

Sanırım, sınavın hem konu sayısı hem de konu ve soru yoğunluğu olarak bel kemiği bu bölümdür dersek yanlış olmaz. Bu bölüme çok dikkat edin. Buradan sağlanacak %60 ve üzerindeki başarı, size diğer bölümlerden hata yapabilme şansı verecektir. O yüzden bu bölümle ilgili ne kadar kaynak bulursanız okuyun ve CISA Practice Question Database’deki soruları defalarca çözün.

2. Sınavla İlgili Tavsiyeler

Bölümleri açıklarken tekrarlayan tavsiyelerin olduğu dikkatli gözlerden kaçmamıştır. Evet, ilk tavsiyemiz bu: CISA Review Manual başta olmak üzere bol bol okuma ilk şart. Ve devamlı soru çözmenizi öneriyorum. CISA Practice Question Database’deki tüm soruları görün. Hatta defalarca görün. Başlarda konu bazlı kısa testler (10-20 soruluk) uygulamanız, sonrasında ise soru sayısını artırmanızı önerebilirim. Ancak, belli bir yerde konu bazlı soru çözmek yerine sınav mantığını ve pratiğini oturtmak için karışık ve fazla sayıda (en az 50) sorudan oluşan testler uygulayın. O kadar çok soru çözün ki sorular ve cevapları artık zihninize kazınsın; ciddiyim. Sınava girmeden önce 200 soruluk ve 4 saatlik 3 veya 4 sınavı kendi başınıza yapın. Bunlar gerçekten olmazsa olmazlar diyebilirim.

Ek kaynak olarak COBIT ve ITIL kaynaklarını kullanmaya çalışın. Türk denetim zihniyetinden ziyade uluslararası bir denetçi gibi düşünmeye çalışın. Aklınızı özgür bırakın, ama sonrasında ISACA’nın istediği kalıplara sokun. Ciddi ciddi kuralcı düşünün. Adamların mantığını sorulardan kavrayacaksınız, o mantığı en azından sınav bitene kadar bırakmayın (sonrasında istemeseniz de bırakacaksınız, çünkü burası neresi? Değil mi?).

Eğer denetçi değilseniz ya da BT birimlerinde yönetici konumunda değilseniz yani büyük tablo yerine daha detaylı ama küçük tablolara bakıyorsanız size tavsiyem denetçiler ve yöneticilerden yardım isteyin. Özellikle BT denetimi ve yönetişimi konusunda fikir sahibi olabilmek için kurumunuzdaki iş arkadaşlarınızdan ya da dış dünyadaki arkadaşlarınızdan yardım alabilirsiniz. Sonrasında ise yine okumalar size yardımcı olacaktır. Burada önemli olan, denetim bakış açısının kazanılması; çünkü bir işi yapan ile onu kontrol edenin bakış açıları doğal olarak farklı yapıdadır. Bu nedenle eğer işi yapan taraftaysanız nasıl yaptığınızı unutmaya, bunun yerine “nasıl olmalı” sorusuna cevap bulmaya çalışın.

Denetçiyseniz, ancak BT denetçisi değilseniz ve bu alana ilginiz yoksa diğer sertifikasyonlara yönelebilirsiniz(bence). Sonuçta tek sertifika CISA değil ve başta Certified Internal Auditor (CIA) olmak üzere çok değerli sertifikalar sizi bekliyor. Ama BT dünyasına ilgi duyuyorsanız kurumunuzdaki BT birimlerini denetleyen ekiplerde yer almaya çalışın; bu imkansızsa bu birimlerden bilgi edinmenin yollarını arayın. Sonuçta bol bol okumanız gerekecek zaten.

Sınav mantığı dışında, sınavın kendisine gelirsek: bir klişe olarak kolay soruları çözün, size zor görünenleri bırakın. Cevabınızdan eminseniz cevap kağıdını hemen doldurun. Sınav esnasında bol bol hafızanızı zorlayıp çözdüğünüz örnek soruları hatırlamaya çalışın, göreceksiniz ki benzer sorularla karşılaşma olasılığınız çok yüksek. Sorular konu olarak karışık geleceğinden her soruyu tek bir sınavmış gibi düşünüp süre bazlı hareket edin; ama unutmayın ki birbirine benzer sorular çıkabilir, bu yüzden sorular arasında bazen (ama cidden nadiren) bağlantı kurabilirsiniz.

3. Sonuç

Genel olarak aklımda kalanlar ve aklıma gelenler şimdilik bu kadar. CISA sınavı gerçekten zor bir sınav ve iyi bir hazırlık dönemi gerektiriyor. Benim yazdıklarım elbette kişisel deneyimden kaynaklanan bilgi ve öneriler, ancak size bir yol gösterici olabilir diye düşünüyorum. Maalesef Türkçe kaynak sıkıntısı yaşanan bir sınav için bir nebze de olsa yardımım dokunursa ne mutlu bana.

 

“CISA İle İlgili Ayrıntılı Bilgiler” için 2 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.