Bilgi Güvenliği Olaylarının Ele Alınması

Incident response, kuruma veya organizasyona önemli etkisi olabilecek bir olay vuku bulduğunda organize bir şekilde nasıl tepki verileceğinin bir ifadesidir. İçerisinde potansiyel olaylara hazır olmayı, tespit etme ve sonrasında kök nedene yönelik analizi derinleştirmeyi, soruşturmayı, olayın etkisini kontrol altına almayı - kurtarmayı (recovery) ve olay sonrası analizi barındıran bir süreçtir.

Başka bir deyişle Incident Response kurumun herhangi bir bileşenini bir olaya karşı hazırlayan resmi bir programdır.

Peki Incident Response neden gereklidir?

Olayların etkisini azaltmak ve olaylara sistematik ve etkili bir şekilde zamanında cevap verebilmek adına gerekli planlama ve uygulamaların yapılması önemlidir. Olaylar vuku bulmadan önlemlerini alan organizasyonların olay vuku bulduğunda aksiyona geçmeye çalışan organizasyonlardan daha az zararla sıyırılacakları bir gerçektir. Olaya siber güvenlik açısından yaklaşarak bir örnek vermek gerekirse; öncesinden gerekli hazırlıkları yapıp, güvenlik kontrolleri geliştiren, networkü düzenli izleyip, network üzerinde segmentasyon yapısına giden, çeşitli senaryolara yönelik aksiyon planını geliştiren organizasyonun sadece bir bilgi güvenliği ünvanına sahip, belirli araçlardan gelen raporları konsolide edip, biraz da Türkçeye çevirip, üst yönetime sunan çalışan bulunduran organizasyondan daha hazır olduğu kesindir. Günümüzde belirli hedeflere yönelik özel olarak geliştirilen saldırı yöntemlerini göz önünde bulundurduğumuz zaman güvenlik olaylarına yönelik karşı tedbir (response) yaklaşımının geçmişe göre çok daha hayati olduğu görülmektedir.

Peki bir Incident Response Planı hangi unsurları içermelidir?

Burada bahsedeceğim unsurlar Schultz, Brown ve Longstaff tarafından sunulmuş olan 6 aşamalı incident response modelinin alt aşamalarıdır.

Bunlar;

1. Preparation - Hazırlık
2. Identification - Tanımlama
3. Containtment - Kontrol Altına Alma
4. Eradication - Tamamen Yok Etme
5. Recovery - Kurtarma
6. Lessons learned - Öğrenilmiş Dersler

Preparation, hazırlık aşamasında olay vuku bulmadan önce gerekebilecek planlamanın yapılması beklenmektedir. Yeterli planlama gerektiğinde planı işleme koymayı kolaylaştıracaktır. Bu aşamada olayları ele almaya yönelik olarak kurumsal bir yaklaşımın geliştirilmesi, gerekli politikaların geliştirilmesi, paydaşlar ile iletişim planını geliştirilmesi, Olay Müdahale ekip ya da ekiplerini tetikleyecek sürecin geliştirilmesi, Olaylara tepki planının işletilmesi için güvenli bir yer belirlenmesi, gerekli ekipmanların kullanıma hazır olduğundan emin olunması aksiyonları alınmalıdır. Türkiye'de olmasa dahi yasal yaptırımlara ya da sizin kurum politikalarınıza uygun bir şekilde vuku bulan olay otoriteler ile paylaşılacaksa bunun ne zaman yapılacağı ve nasıl yapılacağı öncesinden belirlenmelidir.

Identification, tanımlama aşamasında gerçekleşen olayın doğrulanması ve olay detaylarının edinilmesi üzerine odaklanılmaktadır. Potansiyel olaylara yönelik olarak bildirimler sistem raporları, çalışan bildirimleri, diğer organizasyon bildirimleri (Geçmişte büyük bir bankanın yaşadığı kredi kart bilgilerinin çalınması olayından sonra diğer bankalarda kendi düzenlemelerine uygun önlemler almışlardı.) gibi çeşitli kaynaklardan gelmektedir. Peki bu kaynaklardan gelen bütün bildirimler gerçek ve ele alınması gereken bir olayı nitelemekte midir? Sistemlerden gelebilecek olan yanlış rapor sonuçları, heyecanlı bir çalışan tarafından yapılan ve aslında çok da aciliyet içermeyen bir talep her zaman olabilecek olasılıklardır. Bu sebeple gelen bildirimlerin olay kategorisine girip girmediğinin belirlenmesi ve tanımlanması gereklidir. Bunu sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olaylara ya da potansiyel olaylara yönelik olarak sahiplik ataması yapılması (bildirim yapan kişiye değil, olayı ele alabilecek olan kişiye), bildirimin olay olarak doğrulanması, tanımlama esnasında aşamaların kanıtların toplanması aşamasında loglanması, olayın etkisinin belirlenmesi ve gerekmesi durumunda eskale edilmesidir.

Containment ( the action of keeping something harmful under control or within limits.), kontrol altında tutma aşamasında olaylar tanımlandıktan ve onaylandıktan sonra görevli ekip(ler) ile bildirimi ve detaylarının paylaşılması, ekip ya da ekiplerin detaylı değerlendirme yaptıktan sonra bildirimle alakalı ya da etkilenebilecek sistem sahipleri ve iş süreç sahipleri ile gerekli aksiyonları alabilmesi için görüşme gerçekleştirmesi gerekmektedir. Bunu sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise gerekli Olay Yönetim Süreci ekiplerinin harekete geçirilmesi, gerekmesi halinde ilgili paydaşların bilgilendirilmesi, hizmeti sekteye uğratabilecek ya da potansiyel risk yaratabilecek aksiyonlar üzerine anlaşma sağlanması, BT ve İş süreç temsilcilerini "Kontrol Altına Alma" aşamasına dahil etme, delilleri toplama ve koruma, alınan aksiyonları dokümante etme, kamu oyu ile ilgili olayla alakalı iletişimin kontrol altına alınması ve yönetilmesidir. Açıkcası kamuoyu ile vuku bulan olayların paylaşılması Türkiye'de pratik edilen bir uygulama değildir. Diğer ülkelerde bu tarz konulardaki şeffaflık politikası yasal mevzuat olmadıkça Türkiyede bu tarz uygulamaları da açıkcası görebileceğimizi sanmıyorum.

Eradication (the complete destruction of something.), tamamen yok etme aşamasında olayın ateşi söndürülüp, gerekli önlemler alındıktan sonra olayın kök nedeni tespit edilip, tamamen giderilmelidir. Eradication aşaması çeşitli yollar ile gerçekleştirilebilir; burada en son stabil çalışan yedeğe dönülmesi, ana nedenin yok edilmesi, alınan önlemlerin geliştirilmesi ve aynı kök nedene yönelik bir açıklık analizinin yapılması örnekleri verilebilir. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olayın nedenlerinin ve olayın vuku bulmasına yönelik işaretlerin tespit edilmesi, yedeklerin ve alternatif çözüm yollarının en son geçerli hallerinin uygulanması, kök nedenin yok edilmesi (zararlı bir yazılımın bulaşması örneğinde antivirüs yazılımına yönelik gerekli yama ve güncellemelerin yapılması örnek verilebilir.), koruma yöntemleri ile korumanın güçlendirilmesi, kök nedenden kaynaklanabilecek başka zaafiyetleri tespit etmek için zaafiyet analizinin gerçekleştirilmesidir.

Recovery (a return to a normal state of health, mind, or strength,) kurtarma aşamasında olaydan etkilenen sistemlerin ve hizmetlerin hizmet dağıtım hedeflerinde veya İş Sürekliliği Planında belirlenen vaziyete getirilmesi güvence edilmektedir. İş Sürekliliği planı içerisinde tanımlanan RTO (Recovery Time Objective) göstergeleri burada kılavuzluk etmektedir. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise operasyonları normal seyrine getirmek, kurtarmaya yönelik alınan aksiyonların doğrulanması, sistemin tekrar test edilmesi için sistem sahiplerinin sürece dahil edilmesi, normal operasyona geçildiği zaman sistem sahiplerinin bilgilendirilmesidir.

Lessons Learned, öğrenilmiş dersler aşamasında incident response sürecinin son aşamasında olan biteni anlatan, süreçte alınan aksiyonları ve sonuçlarını içeren bir rapor oluşturulmalı ve ilgili paydaşlar ile yönetime sunulmalıdır. Raporun bir kısmında da Olay Yönetim Takımı tarafından daha iyi ne yapılabilirdi sorusuna cevap arayan kısım olmalıdır. Bunları sağlamaya yönelik olarak gerçekleştirilmesi gereken aksiyonlar ise olay raporunun yazılması, olayın giderilmesine yönelik aksiyon alınırken karşılaşılan zorlukların analiz edilmesi ve analiz sonuçlarına göre iyileştirmeler önerilmesi, raporun ilgili paydaşlara sunulmasıdır.

Olayların tespit edilmesine yönelik olarak kurumlar tarafından yüksek hacimde data toplayan çeşitli araçlar kullanılmaktadır. Zaafiyet değerlendirme araçları, güvenlik duvarları, saldırı tespit ve önlem sistemleri bunlara örnek verilebilir. Güvenlik ekipleri bu yüksek hacimli veri içerisinden kendilerine işaret verebilecek verileri analiz etmeye çabalarken doğru bilgiye götürebilecek analizi nasıl gerçekleştirebilirler sorusu akla gelmektedir. Bu noktada gerçek zamanla izlemeye izin veren, olaylar arasında korelasyonları belirleyip, ilişki kurabilen, gelişmiş raporlama seçenekleri olan Security Event Management araçlarının yanı sıra bir tık ötede yeni verileri geçmiş veriler ışığında analiz edip, raporlama yeteneğine sahip Security Incident and Event Management sistemleri mevcuttur. Bu araçlar vasıtasıyla güvenlik sorumluları kendileri için bir üst seviyede anlamlı hale getirilen raporları izleyebilme yeteneğine sahip olurken, büyük bir yığının içinde kaybolmaktan kurtulmaktadırlar.

Bilgi Güvenliği Politikaları Üzerine..

Information Security Policies Türkçesiyle Bilgi Güvenliği Politikaları her ne kadar kulağa ilk etapta soğuk gelse de aslında soğuk görünen bu kavramı uygulanabilir kılmak ve kurumunuz için faydalı hale getirmek, kurum içerisinde hangi fonksiyonda faaliyet gösteriyor olursanız olun sizin elinizde!

İlk etapta soğuk görünüyor dedim çünkü maalesef uygulama açısından baktığımızda evet kurumların yazılı politikaları çoğunlukla mevcut, aslanlar gibi yazılmış, kitapçıklarla basılmış, belki de mail aracılığı ile bütün çalışanlarla paylaşılmış fakat yazılı bir metin olmaktan öteye gidememiş ise maalesef hiç bir anlamı yok.

Peki Bilgi Güvenliği Politikaları aslında nedir, nasıl olmalıdır? Nasıl daha çok uygulanabilir kılınabilir, burada asıl sorumluluk kimindir gibi soruların cevaplarını dilimiz döndüğünce vermeye çalışalım.

Önce politika (policy), standart, prosedür ve rehber (guidelines) kavramlarını ve aralarındaki ilişkiyi masaya yatırmakta fayda var. Politikalar, kurum için önemli ve gerekli olan eylemler ve davranışların yanı sıra yasaklanması gereken eylem ve davranışları içeren genel dokümanlardır. Bilgi Güvenliği Politikaları açısından baktığımız zaman literatürde çeşitli kaynaklarda iyi uygulamaları mevcuttur. Lakin bu iyi uygulamalar reçete misali al ve direkt kurum için uygula şeklinde işe yaramazlar. Kurumun büyüklüğü, kurum kültürü, kurumun risk algısı, yasal gereklilikler ve kurumun faaliyetlerine göre politikalar özel olarak belirlenmeli ve tasarlanmalıdır.

Standartlar, belirli durumlara göre politikaların yorumlanması ile vücut bulan, politikalara göre biraz daha spesifik bilgi içeren dokümanlardır.

Prosedürler, işin biraz daha uygulama tarafına yakın olan ve politika ve standartlara uygun nasıl iş yapılabileceğinin tariflendiği dokümanlardır.

Rehberler ise belirli bir duruma yönelik olarak ne yapılması gerektiğini söyleyen, daha detay seviyede tarifleyen İngilizce tabiri ile Guidance sağlayan belgelerdir.

Peki kurumlarda genel anlamda bilgi güvenliğine yönelik tasarlanan ve genel ifadeleri içeren politika başlı başına yeterli midir? (Genelde de ismi genel bilgi güvenliği politikası olur :) )

ISACA Cybersecurity Nexus Siber Güvenliğin Temelleri Çalışma Kitabı içerisinde yer alan Siber Güvenlik Kavramları'nın tanımlandığı kısımda Bilgi Güvenliği politika ya da politikaları ile yakın ilişkide olacak şekilde yaygın olarak tasarlanan politikalar aşağıdaki gibidir;

1. Risk Yönetimi
2. İş Sürekliliği / Felaket Kurtarma
3. Varlık Yönetimi
4. Temel Davranış Kuralları
5. Edinim / Geliştirme / Bakım
6. Tedarikçi Yönetimi
7. İletişim ve Operasyon
8. Uyum (Yasal Gereklilikler)

Yukarıda yer alan konulara ilişkin politikalar, içerdiği tanımlar ile Bilgi Güvenliği Politikaları ile uyumlu bir şekilde Bilgi Güvenliğinin sağlanmasına hizmet etmelidirler.

Bilgi Güvenliği Politikası içerisinde temelde neler olmalıdır?

Öncelikle kapsamın açık bir şekilde çizilmesi gereklidir. Bunun için kurum kendi açısında bilgi güvenliğinin tanımını yapmalıdır, bilgi güvenliği ile alakalı olan sorumluluklar belirlenmelidir, öncesinde belirlenmiş hedeflere, metriklere uygun, kurum vizyonunu destekleyecek şekilde bilgi güvenliğinin vizyonu çizilmelidir. Kurum politikaları ile bilgi güvenliği politikası arasındaki ilişki net bir şekilde açıklanmalı, bilgi güvenliği alanında önemli konular olan veri yönetimi, risk değerlendirmesi, yasal düzenlemeler ve sözleşme yaptırımlarına yönelik uyum gibi spesifik konular detaylandırılabilir. (Burada kastettiğim birebir politikanın içerisinde yer almasından ziyade ele alındığı belgelere referans edilmesi daha çok.) Bu konulara ek olarak, Bilgi Güvenliği Strateji Planı ve portföy yönetimi de konuları da ele alınmalıdır.

Politika bütün kurum tarafından özümsenecek şekilde bütün çalışanlara hitap etmeli ve bütün çalışanlar ile de paylaşılmalıdır. Bilgi Güvenliği tek başına IT birimlerinin sorumluluğu değildir. Hatta çalışanlara ek olarak sözleşmeli çalışanlara ve hizmet tedariği kapsamında kurum içerisinde faaliyet gösteren tedarikçi firma çalışanları ile de paylaşılmalıdır. Dokümanın gerektiği zamanlarda ve/veya periyodik olarak gözden geçirilmesi ve güncel ihtiyaçlara göre güncellenmesi önemlidir. Bu sorumluluğun kimde olduğu da açık bir şekilde tanımlanmalıdır.

Genel Bilgi Güvenliği Politikasına ek olarak erişim kontrol politikası, personel bilgi güvenliği politikası ve güvenlik ile alakalı vakaların ele alınmasına yönelik politikalar da önerilmektedir.

Erişim Kontrol Politikası

Erişim Kontrol Politikası, iş hedeflerine uygun olarak iç ve dış paydaşlara gerekli erişim yetkilerinin sağlanmasını düzenleyen politikadır. Politikanın başarımı; erişim ihlali sayısı, yetersiz yetkiden kaynaklanan iş kesintisi miktarı (yapılması gereken bir işe yönelik gerekli erişim yetkisinin tanımlanması gereken personele tanımlanmaması durumu), görevler ayrılığı ilkesi ihlalleri veya konuya ilişkin denetim bulguları gibi metrikler ile ölçülebilir. 

Erişim Kontrol Politikası kapsamında acil durumlarda gerekli olan erişim yetkilerinin nasıl tanımlanabileceği durumu da tanımlanmalıdır. Bunlara ek olarak ilgili politika içerisinde fiziksel ve mantıksal yetki tahsis mekanizması ve yaşam döngüsü (nasıl tanımlanacağından - ara ara nasıl gözden geçirileceğine -nasıl geri alınacağına kadar olan sürecin tariflenmesi), gerektiği kadar yetki / bilinmesi gerektiği kadar bilgi prensibi (yöneticiler tarafından kullanılmayan ve Türk Yönetim anlayışına uygun bir şekilde kendilerine tahsis edilmiş yetkilerin geri alınması), görevler ayrılığı ilkesidir. Güncellemeler sadece görev atanan birimi değil; insan kaynaklarını, veri ve sistem sahiplerini ve bilgi güvenliği fonksiyonunu ilgilendirdiği için değerlendirmelerin daha geniş bir kitle ile yapılması önemlidir.

Personel Bilgi Güvenliği Politikası

Özellikle kritik pozisyonda yer alan çalışanlar için düzenli sicil kaydı incelemesi yapılmalıdır. Bu hedef, inceleme yapılan kritik pozisyonda çalışan sayısı ile ölçülebilir. IT kritik süreçlerinde yer alan personel için de ayrıca inceleme yapılması önemlidir. Kritik Bilgi Güvenliği pozisyonları için halef (successior) planlaması yapılması bir diğer önemli konudur. Bu pozisyonların belirlenmesi (genelde bu planlama olmaz, biz de insan kaynağı asla yitirme olasılığı olmayan kaynakmışcasına iş yapış tercih edildiği için) iyi bir başlangıç olabilir. Gözden geçirme ve güncelleme konusunda sorumluluk her kimde olursa olsun süreçte İnsan Kaynakları, Yasal Uyum fonksiyonu (Hukuk müşavirliği olur, ayrı bir uyum birimi olur), Bilgi Güvenliği ve Bina Güvenliği fonksiyonu temsilcilerinin olması, güncellemelerin bütün çalışanlara ek olarak sözleşmeli personel ve tedarikçi firma çalışanları ile paylaşımı önerilir.

Bilgi Güvenliği ile alakalı vakaların ele alınması konusunu ise bir başka yazımda bulabilirsiniz.

CISA sınavı Türkçe sunulacak ama??

Öncesinde gerek ISACA İstanbul mail listelerinde, gerek sosyal medya araçları üzerinden CISA sınavlarının Haziran 2015'ten itibaren Türkçe olacağı duyurulmuştu. Bu noktada aldığım maillerde sorulan sorulardan fikir sahibi olduğum genel kaygılar üzerine sınavın Türkçe uygulanması noktasında bazı hususlara açıklık getirmeyi bu yazı vasıtasıyla isterim.

Öncelikle sınavın Türkçe sunulması noktasında ISACA İstanbul tarafında yaşanan süreci paylaşmanın yerinde olacağı kanısındayım. ISACA İstanbul tarafında sınavın Türkçe sunulması kararının ISACA tarafından alınması noktasında ciddi emekler sarfedildiğini söylemek doğru olacaktır. Gerek ISACA İstanbul yönetim temsilcileri tarafından yapılan görüşmeler, gerek sınavın Türkçe olarak sunulması dahilinde kabul görmesi noktasında ISACA'ya bir perspektif sunmak adına gerçekleştirilen başarılı sunumlar neticesinde CISA'nın Türkiyedeki sektörel gelişmeler göz önünde bulundurularak Türkçe dil seçeneği ile sunulmasının yerinde olacağı kararı çıkmıştır. Bu aşamadan sonra Haziran 2015 sınavının Türkçe dil seçeneği ile sunulmasına yönelik olarak hazırlıklar ISACA tarafından yürütülmüştür.

Peki ya sınavı Türkçe olarak almak adaylar için avantaj mıdır, yoksa dezavantaj mıdır sorusunu masaya yatırmak gerekebilir. Tabii öncesinde bir kaç hususu paylaştıktan sonra.

Öncelikle sınav tamamiyle Türkçe olarak sunulmayacak, Türkçe dil seçeneği ile sunulacaktır. Yani katılımcıların sınava kayıt olurken seçtikleri dil opsiyonları arasında Türkçe dil seçeneği de yer alacaktır. Türkçe dil seçeneğini tercih edenler sınavı tamamiyle Türkçe göreceklerdir.  Soruların İngilizce versiyonları Türkçe dil seçeneğini seçen CISA adayları tarafından görülmeyecektir. Bu noktada sınav sorularının Türkçeye çeviri kalitesi ile ilgili kaygılar oluşabilir. Bu kaygıların yersiz olduğunu sürece baştan sona hakim birisi olarak gönül rahatlığı ile söyleyebilirim.

Süreçten biraz bahsetmek gerekirse;

Birinci aşamada ISACA web sitesi üzerinde sunulan CISA sözlüğünde yer alan terimlerin Türkçe karşılıklarını içeren CISA Türkçe Terminoloji Listesi; öncelikle ISACA İstanbul Çeviri Komitesi tarafından yürütülen COBIT 5 rehberleri çeviri çalışmaları esnasında oluşturulan sözlük içeriğinden, sözlük içeriğinde mevcut değilse alanında uzman kişiler tarafından belirlenmiş, oluşan liste ISACA İstanbul ve ISACA Ankara Chapterlar'da görevli, gönüllü ve BT denetim, yönetişim ve uyum konularında çalışan uzmanlar tarafından ayrıca gözden geçirilmesi suretiyle oluşturulmuştur. Oluşturulan CISA Terminoloji listesi Türkçe çeviride kullanılmak üzere ISACA yetkilileri ile paylaşılmıştır.

Sonrasında sınav içerikleri ISACA tarafından belirlenen, İngilizce-Türkçe hakimiyeti yüksek profesyoneller tarafından CISA Terminoloji Listesi de kullanılarak Türkçeye çevirilmiştir. Çeviri işleminden sonra ise alanında uzman IT denetçileri tarafından sınav içeriği sınav alınıyormuşcasına tekrar gözden geçirilmiş, açıklık kazandırılmasının uygun düşünüldüğü noktalarda terimlerin ve tamlamaların İngilizcesi de ayrıca paylaşılmıştır. Sınav içeriğinde dilimize oturmuş Türkçe karşılığı olsa dahi açıklık sağlamak adına terimlerin İngilizce karşılıkları da paylaşılmıştır. (Merak etmeyin, kimse firewall için ateş duvarı gibi bir çeviri ile karşılaşmayacak.) Burada amaç İngilizce kaynaklardan çalışan adayların zorluk çekmelerini ve ikilemde kalmalarını engellemektir. Sınavı alacak adaylar sınavın Türkçe çevirisi arkasındaki hassasiyeti eminim fark edeceklerdir.

Sınava Türkçe kaynaklardan hazırlanmak isteyebilecek adaylar için sınava hazırlık sürecinin temel kaynağı olan CISA Review Manual'ın Türkçeye çevirilmesi çalışmaları devam etmektedir. Şu aşamada söyleyebileceğim İngilizce CISA Review Manual ile hazırlansa dahi bir adayın yabancılık çekmeden Türkçe sınav içeriği ile de rahatlıkla başarıya ulaşabileceğidir.

CISA sınavında başarıya ulaşmanın önemli bir yolu olarak da ISACA İstanbul tarafından, Lostar Bilgi Güvenliği işbirliğiyle organize edilen, sektörün duayenleri Kaya Kazmirci ve Murat Lostar tarafından verilen CISA Hızlandırma Kurslarını önerebilirim. Bu sene Haziran ayı sınavı için olan 25 Mayıs haftası yapılacak. Detaylı bilgileri  esra.gokalan@lostar.com.tr adresinden Esra Hanımdan alabilirsiniz. ISACA İstanbul web sitesinden de Eğitim sayfasında da bulabilirsiniz.

Bilgi Teknolojileri Yönetişim ve Denetim alanında gerek kamu, gerek özel sektör tarafındaki gelişmelere baktığımız zaman CISA sertifikasına sahip olmanın profesyoneller açısından farklılık yaratacağı açıktır. Taslak ve yürürlüğe girme arefesinde olan tebliğlerde CISA belgesine sahip denetçilerin çalışma gerçekleştirmelerinin direkt refere edilmesi, büyük holding ve çeşitli sektörlerdeki kuruluşlarda BT denetim fonksiyonuna verilen önemin ivmelenerek artması bahsi geçen sertifikanın önemini daha da artırmaktadır. Bu noktada kamu tarafında da yüksek derecede kabul gören CISA sertifikasının Türkçe dil seçeneği ile sunulmasının önemi bu alanda daha çok yetkin ve yeterli personele ihtiyaç olacağı düşüncesiyle ortadadır.

Konuya ilişkin sormak istedikleriniz için bana hayrican.duygun@isaca-istanbul.org adresinden ulaşabilirsiniz. Gelecek sorular ile birlikte yazının içeriğini de birlikte zenginleştirebiliriz diye düşünüyorum.

Öncesinden CISA'yı aldıktan sonra kaleme aldığım tecrübeleri ve hazırlanma ile ilgili tüyoları içeren blog yazıma buradan ulaşabilirsiniz.