Strategy, COBIT and Vision; Mr. Ken Vander Wal

16 Kasım 2013 tarihinde ISACA Ankara Chapter tarafından düzenlenen, ISACA International Eski Başkanı Mr. Ken Vander Wal’ın Strategy, COBIT and Vision isimli sunumuna ilişkin genel notları, sunumun kendisini ve etkinliğe ilişkin düşüncelerimi bu blog yazısında bulabilirsiniz.

Mr. Ken Vander Wal sunumunda öncelikle BT (Bilgi Teknolojileri) alanındaki hızlı değişimden ve geçmişten günümüze bu hızlı dönüşümün gerek yönetim, gerekse yönetişim anlamında ne gibi etkileri olduğundan bahsetti. Bu noktada BT Denetimin önemini vurguladıktan sonra ISACA’ya ilişkin bilgilendirici bir sunum yaptı. ISACA’nın değişen BT alanındaki önemli rolünü, ISACAnın yapısını, vizyon ve misyonunu katılımcılara aktardıktan sonra Bilgi Teknolojileri Yönetişim çerçevesi olan COBIT5’e yönelik genel bir tanıtım yaptı. Bundan sonrası için ise ISACA 2022 Stratejisini, stratejiye yönelik gelecek vadedeki aksiyonları paylaştığı sunumu buradan edinebilirsiniz.

Sunuma ilişkin notlar şu şekildedir:

Bilgi Teknolojileri dünyasında performans ve kapasite metrikleri hesaplama (computing) 18 ayda, iletişim (Communication) anlamında 9 ayda, depolama kapasitesi (disk capacity) olarak 12 ayda ikiye katlanmaktadır. Sosyal medya mecralarının gelişmesi ile birlikte oluşturulan içeriklerin her geçen gün yüksek ivme ile arttığı da önemli bir gerçek. Dolayısıyla bu hızlı değişime uyum sağlayabilmek adına kurum ve kuruluşların Bilgi Teknolojileri alanlarındaki yatırımları her geçen gün artmaktadır. Gartner raporuna göre 2014 yılına yönelik Dünya genelinde toplam 3,881 Trilyon Dolarlık bir yatırım beklentisinden bahsedilmektedir. 2012 yılında gerçekleşen rakam ise 3,588 Trilyon Dolar. 2020’nin sonlarında Bilgi Teknolojileri harcamalarının %90’nına yakın bir oranda dış kaynak kullanımına yöneleceği, Big Data kullanım ve yönetimine ilişkin yeni iş alanları yaratılacağı, 2016 yılında 1,6 Milyardan fazla mobil cihaz satılacağı, beş yıl içerisinde ise BT güvenliğine yönelik harcamaların %56 oranında artacağı ve yasal mevzuatın bu artışa yönelik temel nedenlerden birisi olacağı aynı araştırmada ön görülmektedir. 

BT alanındaki hızlı değişim, artan yatırımlar, dış kaynak kullanımına yönelim, yeni yaklaşımların gelmesi ve bu yaklaşımlara ilişkin yeni iş alanlarının oluşması, mobil cihaz kullanımının yaygınlaşması ve gelecek vadede bilgi güvenliğine ilişkin yatırımların artacak olması beraberinde önemli fırsatları getirirken yönetilmesi gereken risklerin sayısını ve mahiyetini de artırıyor. Bu noktada sadece Bilgi Teknolojileri alanında faaliyet gösteren kurumlarda değil, bütün kurumlarda Bilgi Teknolojilerinin yönetim ve yönetişim faaliyetlerinin aktif olarak yürütülmesi, gelişmiş denetim ve Güvenlik yaklaşımlarının sağlanması ihtiyacı doğuyor.

Geçmiş dönemlerde öncelikli olarak denetim alanına odaklanan ISACA yaklaşımı günümüzde yönetim ve yönetişim alanlarına doğru genişlemiştir. Bu genişleme beraberinde geçmişte sadece BT denetçilerinden oluşan üyelere risk yöneticilerinin, uyum sorumlusu personellerin, bilgi güvenliği, BT kontrol ve BT Yönetişim alanlarıında çalışan profesyonellerin eklenmesini; denetime odaklanan CISA sertifikasına ek olarak güvenliğe yönelik CISM, yönetişime yönelik CGEIT ve riske yönelik CRISC sertifikalarınn eklenmesine ve 92 yılında 7.504 olan üye sayısının 2012 yılında 110.338 sayısına ulaşmasını getirmiştir. Günümüzde ISACA Dünya genelinde 200 chaptera ulaşmış, 80’den fazla ülkede faaliyet gösteren bir kuruluştur.

ISACA’nın vizyonu (“Trust in, and value from, information systems”) Bilgi sistemlerinden yüksek derecede fayda elde edilmesi, bu faydayı elde ederken de bilgi sistemlerine yönelik güven ortamının sağlanmasıdır.

ISACA’nın misyonu ise profesyoneller ve organizasyonlar için bilgi sistemleri, uyum ve güvenlik, BT yönetişim, BT ile alakalı riskler ve uyum konularında Dünyanın lider bilgi birikimi, sertifikasyon, kişisel networking ve eğitim imkanları sağlayan kuruluşu olmak. (İngilizcesi: For professionals and organizations be the leading global provider of knowledge, certifications, community, advocacy and education on information systems, assurance and security, enterprise governance of IT, and IT-related risk and compliance”)

Bu noktada ISACA standartları, rehberleri, sureli yayınları ve blog yazılarında BT yönetişim, risk ve kontrol profesyonellerinin istifade edebileceği kaynaklar oluşturulmakta, sayısı 200’ü bulan chapterlarda bahsi geçen alanlarda çalışan personellerin bir araya geleceği etkinlikler ve çalışmalar düzenlenmekte, profesyonellerin yetkinliklerine göre sertifikalandırılmaları sağlanmaktadır. CPE modeli ile de sertifika sahibi profesyonellerin güncel kalmaları teşvik edilmektedir.

BT Değer faktörleri konusuna değinen Wal, İş ihtiyaçlarının Kurumsal Bilgi oluşturulurken kullanılan BT kaynaklarına yatırımı tetiklediğini, İş gereksinimlerini döngüsel olarak oluşturan BT proseslerinin de sunulan kurumsal bilgi ile oluşturulduğunu vurgulamıştır.

Özellikle vizyonda yer alan fayda ve güven konularını detayı ile açtığı sunumunda BT’nin yeni Teknolojileri uygulamadan ziyade IT kaynaklı değişim ile değer yarattığı konusunu işaret etmiştir. Değeri ise göze alınan riskler ve maliyet sonrası kalan fayda olarak nitelendirmiştir. Güveni ise davet ettiği bir katılımcı ile yaptığı bir uygulama ile göstermiş, arkasını dönen dinleyiciden kendisini geri geriye bırakmasını istemiş, dinleyici düşmeden once tutmuş ve dinleyiciden tutacağına dair güvene sahip olduğu dönüşünü almıştır. İş birimlerinin asıl işlerine odaklanarak, bilgi sistemlerinden kendilerine sağlanan hizmetlere güven duyarak daha çok değer üretilebilineceğinden, bilgi sistemlerine güven ortamlarının sağlanması noktasında risk, iç kontrol ve denetim birimlerinin öneminden bahsetmiştir.

Güven değerin yaratılması için gereken ortamı sağlarken, değer güven beklentisi üzerinden vücut bulmakta, güvence verme ise bu iki unsur arasındaki ilişkiyi kurmaktadır. (Sunum Sayfa-15)

 COBIT 5’e ilişkin genel bir tanıtımın yapıldığı sunumda, COBIT çerçevesinin BT denetim odağından BT Yönetişime doğru evrildiği paylaşılmıştır. İlk sürümleri denetim kontrolleri üzerinde yoğunlaşırken, günümüzde COBIT kurum içi BT yönetişimin sağlanması için yol göstermektedir.

COBIT 5 Enabler rehberlerinin yanı sıra Bilgi Güvenliği, Güvence ve Risk Profesyonellerine yönelik profesyonel rehberlerden oluşmaktadır.

COBIT5 fayda, risk ve kaynak tüketimi arasındaki dengeyi kurarak optimal seviyede değer yaratılmasını sağlamaktadır. BT ve alakalı teknolojilere ilişkin yönetim ve yönetişimin sağlanmasına rehberlik etmektedir. Bunu genele uygun, jenerik ilkeler ve enablerlar ile yapmaktadır. Bu noktada COBIT 5’in dayandığı 5 prensip vardır; paydaşların ihtiyaçlarını karşılamak, bütün kurumu baştan uca kapsamak, tek bütünleşik bir çerçeve oluşturmak, bütünsel bir yaklaşım sergilemek ve yönetim ile yönetişimi ayırmak. COBIT 5 temel alan ve 37 süreçten oluşmaktadır.

Gelecek vadede COBIT 5’in sektörlere yönelik rehberlerinin çıkarılmasının hedeflendiğinin paylaşıldığı sunumda ISACA’nın strateji haritası üzerinde ISACA’nın 2022 stratejisi katılımcılar ile paylaşılmıştır. Bu bağlamda paydaş ihtiyaçlarına yönelik olarak siber Güvenlik ve kişisel bilgilerin güvenliği konusuna eğilineceği, BT alanındaki trendlere göre ihtiyaçlara uygun hizmetlerin sağlanacağı belirtilmiştir. Gelecekte ISACA değerini artırmaya yönelik olarak vizyoner yaklaşımının COBIT’in alakalı dokümanları ile iş ve BT entegrasyonu artırarak sağlamayı amaçlamaktadır.

Mr. Ken Vander Wal’ın sunumu Türkiye’de İstanbul Chapterdan sonra yaklaşık 1,5 yıl öncesinde kurulan Ankara Chapter üyelerine ve Ankara ikamet eden konuya ilgili katılımcılara ISACA, COBIT5 ve ISACA’nın gelecek yönünü aktarmak yönünden faydalı bir sunumdu. Katılımcılar arasında kamu kesimi başta olmak üzere özel sektörden bilişim alanında faaliyet gösteren yöneticilerin olması da Bilgi Teknolojileri Denetimine yönelik ilginin her geçen gün arttığını açıkca göstermektedir.