CISA İle İlgili Genel Bilgiler

CISA, yani Certified Information Systems Auditor, bir kişinin bilgi teknolojilerinin ve iş sistemlerinin denetimi, kontrolü, izlenmesi ve değerlendirilmesi hususlarında “dünya çapında” standartlarda iş çıkarabildiğini göstermektedir. Aslında, adından da anlaşılacağı üzere sertifikalı bilgi sistemleri denetçisi demek olan CISA, ISACA (Information Systems Audit and Control Association) tarafından düzenlenen sınav sonucunda kişilere verilen bir unvandır. CISA sınavı dediğimiz ve yılda en az iki kez yapılan sınav sonucunda belirli bir puanı geçen ve ISACA tarafından belirlenmiş çalışma şartlarına sahip olan kişiler sertifika almaya ve CISA unvanını kullanmaya hak kazanmaktadırlar. CISA olma hikayemde belirttiğim üzere dünyada 106.000′den fazla kişinin CISA unvanını aldığı ISACA tarafından belirtiliyor. Türkiye’de de bu sayı günden güne artıyor. Ben de önemi gitgide daha fazla anlaşılmakta olan bu sertifikanın alınabilmesi için geçilmesi gerekli olan sınavla ilgili genel bilgileri vermeye çalışacağım.

Sınav İle İlgili Genel Bilgiler

ISACA’nın internet sitesinde CISA sınavıyla ilgili güzel bilgiler mevcut, ama bir de ben tekrar edeyim. Sınav, her sene Haziran ve Aralık aylarında olmak üzere iki kez düzenlenmektedir. Ancak 2013 yılında (sanırım talep fazla olduğu için) Eylül ayında da bir ek sınav uygulandı. Ancak henüz, bu sene üçüncü sınav olup olmayacağı ile ilgili herhangi bir duyuru yok. Sınava giriş için ISACA tabii ki bir ücret talep ediyor. Ben 2013 yılında, $410 sınav için, $195 ISACA üyeliği için (İstanbul şubesine üyelik dahil), $30 da kayıt için vermiştim.  ISACA’ya üye olunmadığı zaman sınav ücreti yükseliyor. 2014 Haziran sınavına ilişkin ücretler burada. 12 Şubat 2014’ten sonraya kaldığımız için sınav ücreti, üyelere $545, üye olmayanlara $725. Ben ISACA üyesi olunmasını yararlı buluyorum; zira yerel ISACA şubesine üyelik, önemli duyurulara ulaşmanızda etkili olabiliyor.

Sınava kayıt olmadan önce şunları belirtmekte fayda var: Sınav sadece İngilizce dilinde sunuluyor; ayrıca CISA ve diğer bilumum C ile başlayan sınavlar (CISM, CIA vb…) Türk mantığından ve günlük iş hayatından biraz farklı ve gerçekten hazırlanmayı gerektiriyor. Yani, CISA sınavına girmeden önce İngilizce seviyenizi tartmanız ve sınava hazır olup olmadığınızı ölçmeniz (ISACA’nın sitesinde örnek sorular bulunuyor) gerekiyor. Bu sebeple ilk sınava 3 aydan az süre varsa bence bir sonrakini hedefinize almanız daha faydalı olacaktır.

Sınav ve Mantığı

CISA sınavında 800 puan üzerinden değerlendirme yapılıyor ve adayların 450 puanı geçmesi bekleniyor. Sınav toplam 200 sorudan oluşmakta ve yaklaşık %10’unun değerlendirmeye alınmayan, araştırma amaçlı sorular olduğu ISACA tarafından belirtilmektedir. Genel olarak değerlendirilen soruların %70’ini doğru cevaplamanız gerekiyor, ve unutmayın yanlış doğruyu götürmüyor (bkz: burada genel puanlama ile ilgili güzel soru cevaplar var). Sınavda toplam beş başlıktan sorular yer almakta, ancak hangi sorunun hangi başlık altında olduğu ile ilgili bilgi verilmemektedir. Sınavın tamamı için 4 saatiniz var ve Amerikalılarda güven ilişkisi esas olduğu için çok abartmamak kaydıyla tuvalete gitmenize izin veriliyor (ilginç)!

Sınav kolay bir sınav değil ve mantığı gerçekten değişik. CISA sınavına hazırlanırken birkaç şeyi aklınızda tutmanız önemli. Bu bir denetim sertifikası sınavı, bu yüzden işi yapan, yani günlük işleyişe hakim olan biri olsanız da daha yukarıdan genel sisteme ve süreçlere bakmanız, kontrol odaklı bir yaklaşıma sahip olmanız gerekiyor. Yani, “biz bu işi normalde böyle yapıyoruz, doğrusu budur.” şiarıyla değil, fakat “bu iş genel olarak böyle yapılmalı denmiş; biz böyle yapmıyoruz, ama doğrusu bizim yaptığımız değil.” bakış açısıyla konulara ve sorulara yaklaşmak gerekiyor. Denetçi olmayan kişilerin de alabileceği bir unvan olan CISA için denetimin doğası ve özü hakkında en azından temel düzeyde de olsa bir görüşe sahip olmanın da gerektiği açık. Öte yandan ikinci husus daha da önemli ve uygulaması biraz daha zor gelebilir: Türk gibi düşünmemek. Evet, maalesef bu sınav Türkler ya da bu coğrafyaya yakın insanlar tarafından hazırlanmıyor. Amerikalılar kuralcı (en azından kağıt üstünde), kontrol odaklı ve bizden çok farklı risklere yoğunlaşmış durumda. Onlar için sistemsel ve ilkesel sorunlar hep öncelikli konumda ve her şeyden önce gerçekten insan hayatı en birinci diyebiliriz. Kısaca daha fazla Batı tipi düşünce, daha fazla kuramsal yaklaşım ve daha fazla kitabî bilgi CISA sınavında başarılı olmak için anahtar gibi.

Sınav İçin Kaynak

Ben sınava, CISA Review Manual’in güncel olmayan versiyonlarını kullanarak hazırlandım. 2011 ve 2012 versiyonları 2013 yılında girdiğim sınav için yeterliydi diyebilirim. 2014 versiyonu ISACA’nın web sitesinde üyelere $105, üye olmayanlara $135 fiyat ile satılmakta. Aslında Review Manual, denetim faaliyetleri açısından da güzel bir kaynak ve hatmedilmeyi hak ediyor. Sınav için de denetim hayatınız için de önemli bir kaynak olan bu kitabı tam olarak okumaya çalışın (çalışın diyorum, çünkü gerçekten hepsini okumak büyük zaman ve emek istiyor). Ayrıca, açıklamalı ve açıklamasız önceki yılın soru ve cevapları da önemli kaynaklar olabilir. Ben kullanmadım açıkçası, ama açıklamalı soru ve cevaplar etkili bir kaynak olabilir. Bunların dışında, tabii ki yurt dışından getirtebileceğiniz diğer çalışma kitapları da bulunmakta.

Benim tavsiyem ise CISA Practice Question Database v14 (Download). ISACA’nın web sitesinden satın alınabiliyor ve fiyatı, üyelere $185, üye olmayanlara $225. Ben 2012 versiyonunu satın almıştım ve 2013’te ek soruları da alarak toplam 1.200 soruya erişim sağlayan bu aracı kullanmıştım. Sınavda çıkmış ya da çıkabilecek tarzdaki 1.200 soru sizin için eşsiz bir hazine! Elbette bu soruların bazılarına kısa araştırmalarla ulaşabilirsiniz, fakat toplu halde ve istediğiniz gibi tasarlayabileceğiniz sınav denemeleri ile kendinizi geliştirmeniz çok daha kolay oluyor. Ben tüm soruları en az bir kez gördüm ve tüm soruları neredeyse ikiden fazla kez çözdüm; hatta soruların yarısını beşten fazla kez görmüşümdür.

Veri tabanının ara yüzünde %80 sınırı bulunmakta ki bu veri tabanının amacı sizi %80’nin üzerine çıkarmak. Her gün en az 20 soru olmak üzere bu soru bankasını kullanın, buna ek olarak da hafta sonları ya da uygun olduğunuz zamanlarda 100 ya da 200 soruluk sınavları 2 veya 4 saat içinde çözmeye çalışın. 10-20 soruluk paketlerde insan iyi yoğunlaşabildiği için daha iyi sonuçlar alıyor, ama 100 ve üzerinde soruya yanıt verme sürecinde konsantrasyondaki dalgalanmaların ne seviyede olduğuna siz de şaşırırsınız (en azından ben şaşırmıştım). Bu soru bankasındaki soruları ve cevapları dikkatlice okuyun. Birkaç sorunun sınavda da karşınıza çıkabileceğini (evet, neredeyse aynı sorular çıkabiliyor, ancak çok az sayıda) aklınızda tutun. Ne kadar çok soru çözerseniz konulara hakimiyetiniz de o kadar artacaktır. Ben en güncel Review Manual ve soru bankası ikilisinin sınava hazırlık için yeterli olacağı görüşündeyim; fakat tabii ki fazla çalışma göz çıkarmaz, her çalışma materyali kullanılabilir.

450 Puanı Aldık, CISA mı Olduk Hemen?

Sınava giriş ücreti, sınav mantığı, sınav için kaynak derken CISA sınavından 450 ve üzerinde puan aldınız diyelim. Hemen CISA, yani sertifikalı bilgi sistemleri denetçisi oldunuz demek ki! Hayır, henüz olamadınız maalesef. ISACA, CISA olabilmek için sınavda 450 puanı geçmenizin yanında, mesleki olarak da bazı gereklilikleri yerine getirmenizi bekliyor. Bunlar ise çalışma süresi, mesleki etik kurallarını benimseme, sürekli mesleki eğitim (CPE) programına uyum, bilgi sistemleri denetim standartlarına uyum.

ISACA, CISA olmak için, bilgi sistemleri denetimi, kontrolü ya da güvenliği alanlarında en az 5 yıl deneyim talep ediyor. Bu 5 yılın ise azami olarak 3 yılı için bazı kolaylıklar sağlıyor. Şöyle ki ISACA;

– BS denetçiliği dışındaki bir yıllık denetçilik deneyimi ya da bir yıllık bilgi sistemleri kapsamındaki deneyim için 1 yıl,

– 2 yıl veya 4 yıllık lisans mezuniyeti için 1 ya da 2 yıl,

– Bilgi güvenliği ya da bilgi teknolojileri alanındaki yüksek lisans için 1 yıl,

–  ISACA sponsorluğundaki Model Curricula’yı uygulayan lisans ya da yüksek lisans programları için 1 yıl

olmak üzere toplamda 3 yıllık deneyime karşılık gelecek şekilde, alınan eğitimleri de deneyime sayıyor.

İkinci önemli konu, CISA olduktan sonraki CPE toplama süreci. Bu gerçekten sıkıntılı bir konu; çünkü Türkiye’de CPE toplamak çok zor. CISA olduktan sonraki üç senede toplam 120 saatlik CPE toplamanız gerekiyor ve bu üç senede yıllık 20 saatin altına düşmemeniz bekleniyor. CPE, alınan eğitimlerin sürelerine göre hesaplanan bir tür eğitim saati hesabı. Mevcutlu eğitimler yanında, web üzerinden alınan eğitimlerin de CPE saatine sayılması işleri biraz kolaylaştırıyor. Sonuç olarak, CISA olduktan sonra CPE konusunu unutmamanız ve mutlaka yıl içinde, kendinize hatırlatmalar kurmanızda fayda var (detayı burada).

Son olarak, etik kurallara ve standartlara uyum da önemli konular, ancak söz verilerek yerine getirilen hususlar diyebiliriz.

Sonuç

Umarım CISA hakkında ufak da olsa aydınlatabildiğim bir alan olmuştur. Sınava ilişkin genel bilgilerden sonra, sınavın bölümlerine ilişkin detaylı bilgi vermeye de çalışacağım. 

“CISA İle İlgili Genel Bilgiler” için bir yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir