15 Kasım 2013 Cuma

CISA (Certified Information Systems Auditor) Sertifika sınavına nasıl hazırlanmalı?

14.11.2016 tarihli güncelleme: Sınavın uygulanmasında, soru sayısında, Domain ağırlıklarında değişiklikler mevcuttur. Bütün değişiklikleri değerlendirdiğim ve paylaştığım yazıma buradan ulaşabilirsiniz. Sınava hazırlanmak ile ilgili önerilerimi okuduktan sonra güncel bilgiler için güncel yazıma göz atmanızı öneririm.





Geçenlerde ISACA İstanbul’da CISA Hazırlık Eğitimine ilişkin gelen bir mail Eylül 2013 ayında yapılan CISA Sınavına ilişkin tecrübe ve anılarımı hatırlamama vesile oldu. Bu sebeple uzun zamandır aklımda olan sertifika sınavına hazırlanma ve sertifikasyon sürecine ilişkin blog yazımı yazmaya karar verdim. 2013 yılı için 14 Aralıkta yapılacak sınava ilişkin hazırlık eğitimine ilişkin detayları buradan bulabilirsiniz.

Bu yazıyı okuyorsanız şayet yüksek olasılıkla sertifikayı almaya adaysınız. Muhtemelen de bankacılık ve finans sektöründe denetim, risk ya da iç kontrol alanlarından birisinde çalışıyorsunuzdur. Gerçi artık çoğu sektörde BT Denetim yüksek öneme sahip fakat Bankacılık Finans sektöründe yasal mevzuatla da bir adım önde olduğunu söylemekte fayda var. Faydalı olması düşüncesi ile yazıda süreci detayı ile anlatmaya çalışacağım.

Öncelikle sınav artık yılda 3 kere yapılıyor. Eskiden Haziran ve Aralık aylarında yapılan sınavlara ek olarak bir de Eylül ayları eklendi. Tek bir farkla Eylül ayında rutin zamanda yapılan lokasyonların hepsinde yapılmıyor sınav, liste ise ISACA International web sayfasında yayınlanıyor. İyi haber bu listede İstanbulun olması. J

Öncelikle kendinizi hazır hissettiğiniz ve iş yükünüze göre çalışmak için zaman ayırabileceğiniz oturumu belirleyin ve bu tarihe göre hazırlıklarınızı yapın derim. Sınava erken kayıt olmanız dahilinde erken kayıt imkanından yararlanıp, daha uygun bir ücretle kayıt gerçekleştirebiliyorsunuz. Kayıt işlemlerini web sitesi üzerinden gerçekleştirdikten sonra size detaylı bir mail ile bilgilendirme yapılıyor. Sınavdan yaklaşık bir ay öncesine kadar da sınava giriş belgeniz mail adresinize geliyor. Burada dikkat edilecek husus belgenin çıktısının sınav esnasında, resminizin yer aldığı bir kimlikle birlikte yanınızda olması. İki belgede de isimlerin aynı olması bir diğer önemli nokta. Sınav günü tecrübelerimi ayrıca paylaşacağım.

Sınavın yapısından bahsetmek gerekirse sınav 5 alandan oluşuyor. Bu alanların başarı puanınıza etki eden ağırlıkları farklı. Alanların isimleri ve ağırlıkları şu şekildedir.
Domain 1
The Process of Auditing Information Systems
%14
Domain 2
Governance and Management ıf IT
%14
Domain 3
Information Systems Acquisition, Development and Implementation
%19
Domain 4
Information Systems Operations, Maintanance and Support
%23
Domain 5
Protection of Information Assets
%30

 Görüleceği gibi neredeyse yarıdan fazla ağırlık 4. ve 5. Alanlarda. Teknik temelli bir denetçi olarak en sevdiğim alan Domain 5. Şifrelemelerdi, politikalardı okurken zaman nasıl geçiyor anlamıyorsunuz bile. Denetim tarafından geliyorsanız teorik anlamda öğrenmeniz gereken ciddi konular bu alanda sizi bekliyor.

Alanları hızlıca değerlendirirsek ilk domain bilgi teknolojilerin denetimine ilişkin genel kavramlar, yıllık denetim nasıl yapılır, yıllık planlama, denetim yaparken dikkat edilecek hususlardan tutun da denetim yöntemlerine kadar temel bilgileri içeriyorlar. Alanda yeni olan ve teknik temelli olan arkadaşların zorlandıkları kısımlardan birisi demek yanlış olmayacaktır. Teftiş kökenli üstadların ise normal teftişle örtüştüğü için zorlanmayacakları bir alan. İkinci alan ise COBIT 5’le birlikte de üzerinde önemle durulan yönetim ve yönetişim kavramlarını detaylandırıyor. Üçüncü kısım hizmet alımları, yazılım geliştirme süreçleri, uyarlamalarda denetim gibi konulara değiniyor. Domain 4 rutin operasyonlar, bakım ve destek faaliyetlerinin tanımları ve yapılacak denetimleri örnekliyor. Son alan ise Bilgi varlıklarının güvenliğine yönelik detaylı bir alan. Politikalar, güvenliğe yönelik teknoloji ve çözümler ve bu alanların denetlenmesine ilişkin başlıkları içeriyor. Güvenlik ilgi alanınız ise keyif alacaksınız.

 Gelelim çalışma kısmına. Herkesin çalışma alışkanlıkları ve öğrenme yöntemleri farklıdır elbette. Bu sebeple genel olacak hususları paylaşıyor olacağım. Bu sınava ilişkin bir gerçek ise bol okumanız ve çalışmanızın gerektiği. Sınava ilişkin ISACA kaynaklarının yanı sıra çeşitli kitap evlerinden yayınlanmış çeşitli kaynaklar da mevcuttur. Öncelikle ISACA kaynaklarını elbette öneririm. Dilini çok resmi buluyorum, örneklerle açıklanması daha işime gelir, zamanım da oldukça boldur diyebiliyorsanız diğer kaynaklara bakabilirsiniz. Fakat bu işin olmazsa olmazı CISA Review Manual 201X olacaktır sizin için. ISACA kaynaklarına şu adresten ulaşabilirsiniz.

ISACA kaynaklarını tanıtmak istersek CISA Review Manual öncelikle okumanız gereken kaynak. Mümkünse kavramları genel öğrenmek üzere okuduktan sonra ikinci gözden geçirme ile kavramları iyice oturtabilirsiniz. Bölümlerin sonundaki örnek sorular ile konuları pekiştirebilirsiniz.

İkinci önemli kaynak ise CISA Practice Question Database. Sınavın soru yapısına alışmak ve okuduğunuz konuları özümsemek adına önemli bir kaynak. Yukarıda bahsettiğimiz alanlara ilişkin 1200 civarında soru mevcut bu kaynakta. Sınava örnek olabilecek bir adet de 200 soruluk deneme sınavı. Sertifikasyona yönelik denetim mantığını daha iyi oturtmak adına şiddetle öneririm.

Bu kaynakların yanı sıra CISA Review Questions, Answers & Explanations 2013 Supplement yeni 100 adet sorunun yer aldığı örnek bir soru kitapçığı gibi düşünebilirsiniz. Ben çalışırken kullanmadım. Daha da çok soru çözmek istiyorum diyorsanız faydalı olacaktır eminim.

ISACA’nın resmi kaynaklarına ek olarak aklıma gelen David Cannon tarafından yazılan Study Guide. Şu ilk sayfasında Deniz Feneri resmi olan. 2011 yılında yazılmış bu kitabın üçüncü baskısına ulaşmak mümkün. Bu kitap Review Manual kadar faydalı olur mu derseniz örneklerle bazı konulara açıklık getiriyor kısmına katılırım. Bol vakti olanlar için ek kaynak olabilir diye düşünüyorum. Kavramları detayı ve bazı yerlerde örnekleri ile iyi açıklamaktadır. Bir de Peter H Gregory tarafından 2010 yılında yazılmış, McGraw Hill yayını olan All-in-one CISA Guide isimli bir kitap mevcut. Lakin benim pek inceleme ve bakma şansım olmamıştı.

Kendi imkanlarınızla çalıştığınız, domainleri oturttuğunuza emin olduktan sonra şiddetle tavsiye edebileceğim diğer bir uygulama ISACA İstanbul Chapter tarafından verilen CISA Hazırlık Kursları. 5 muhteşem gün sonrasında Kaya Kazmirci ve Murat Lostar kafanızda kalan soru işaretlerini ve kavram kargaşalarını bir çırpıda çöpe atıyor. 5 gün süren eğitimlerde 5 domaine hızlıca değiniliyor. Önemli ipuçları paylaşılıyor. Sorular üzerinden geçiliyor. Eğitim bittikten sonra farkını gerçekten anlıyorsunuz. Eksik olmasınlar bizi 5 gün boyunca en güzel şekliyle ağırladılar ve tecrübelerinden istifade etmemizi sağladılar. Bu eğitimleri ayrıcalıklı kılan ise bu iki değerli insanın sektör tecrübelerini paylaşmaları konuları birebir yaşadıkları örnek olaylar üzerinden somutlaştırmaları.

Sonrasında geldik çattık sınav gününe. Tatlı bir heyecan duyuyor insan. Eğitim sistemimiz gereği ömrümüz sınavlar ile geçse de CISA bir farklı. 4 saat ve 200 sorudan oluşan bir sınav. Tıpkı KPSS gibi soru kitapçıkları ve optik formlar üzerinden bizlerin yabancılık çekmeyeceği şekilde yapılıyor. Aynı salonda ISACA sertifika sınavlarının hepsi yapılıyor. Benim girdiğim sınav Kozyatağı'nda bir otelde yapılmıştı. Merkezden kulak tıkaçlarına kadar detaylar düşünülmüştü. Sınav esnasında makul sürelerde ihtiyaçlarınıza yönelik giriş çıkış yapabiliyorsunuz. Günümüzde Türkiyede yapılan sınavlardaki gibi her adaya potansiyel kopyacı muamelesi ile karşılaşmıyorsunuz. Rahat bir ortamda oluyor, bitiyor her şey.

Sınav bitince de ayrı bir evre başlıyor. Sonuçların açıklanmasını beklemek. Artık sınavların da sıklaşması ile birlikte sonuçların açıklanması tam 5 hafta alıyor. Size her alan için puanlarınızı içeren bir mail geliyor. Sonuç olumlu ise içiniz içinize sığmıyor, tadına doyum olmuyor J

Sınavı geçtiniz ya gerisi kolay. Sertifika sahibi olmak için toplamda beş yıl BT denetimi tecrübesine sahip olmanız gerekiyor. Lisans ve/veya Yüksek Lisans eğitiminin 2 yıl, üniversitede okutman olarak görev yapılmasının her hangi bir üst sınır olmaksızın her iki yıl başına 1 yıl, BT denetimi harici denetim tecrübesinin maksimum 1 yıl ikame etmesi ile toplamda beş yıl tecrübe dolduran CISA adaylarının başvuruları merkezi olarak değerlendiriliyor. İkameler değerlendirilirken adayın en az 2 yıl BT denetim, kontrol, risk ya da bilgi güvenliği alanlarında çalışması gerekiyor.

Doldurduğunuz bir form ile tecrübelerinizi kanıtlamanız ve incelemeye sunmanız gerekiyor. Formun incelenmesi ise maksimum 8 haftalık bir süreç.

Sertifikayı edindikten sonra ise CPE’ler ile sertifikayı yaşatmanız gerekiyor. Ömür boyu öğrenme ve sürekli yenilenme yaklaşımı ile katıldığınız aktiviteler, toplantılar, eğitimler, ISACA İstanbul tarafındaki çalışma gruplarındaki faaliyetleriniz CPE olarak değerlendiriliyor. Burada toplamanız gereken ise yıllık minimum 20 puan olmak üzere üç yıl için 120 puan. ISACA International sitesi üzerindeki webinarları dinleyip, 3-5 soruluk soru kağıtlarında başarı göstermeniz durumunda da CPE kazanıyorsunuz.

CISA sertifikasını farklı kılan ISACA şemsiyesi altında Dünya çapında Bilgi Teknolojileri Yönetişim ve Denetim alanında çalışan profesyonellerin bir araya getirerek oluşturdukları sinerji ve değerle sunulan sürekli yenilenme. ISACA üzerinden yayınlanan denetim rehberleri, makaleler ve standartlar sistematik çalışmanın ve on binlerce IT profesyonelinin deneyimlerinin ürünü. Dünyanın dört bir yanındaki chapterlarda profesyonellerin bir araya geldiği etkinlikler ve paylaşım ortamları ise cabası. CPE kazanmanın önemli bir yolu ISACA Chapterlar. İstanbul Chapter için buradan, Ankara Chapter için buradan lütfen.

Geneliyle anlattıktan ve konudan konuya bilgi paylaştıktan sonra özetlemek faydalı olacaktır. CISA’yı almanın ön koşulu olan sınavı geçmenin yolu sistematik çalışmak, bol bol okumak ve soru çözmek. En önemlisi ISACA’nın denetim mantığını iyice anlamak. Çünkü Türkiyedeki uygulamalar ve iş yaşamında karşılaştığınız örnekler ISACA’nın mantığı ile örtüşmediği noktada sizi yanıltabiliyor. Sınava giriyorsanız başarılar diliyorum. Umarım yazı faydalı olmuştur.

0 yorum:

Yorum Gönder