CISA Sınavındaki Değişiklikler

Kısa Kısa Yenilikler;

• Sınav paper-based uygulamadan computer-based uygulamaya geçiyor. Sık Sorulan sorular sayfası için burayı tıklayınız.
• Sınav salonlarında bilgisayarlı sınav uygulama merkezlerine kayıyor.
• Sınav soru sayısı 200'den 150'ye çekildi.
• Alanların ağırlıklarında değişiklikler mevcut. Güvenlik ile alakalı domain olan 5. alanın ağırlığında önemli bir azalma, BT denetim süreci ile alakalı domain olan 1. alanda ciddi artış mevcut.
• Sınavlar eskiden Ankara ve İstanbulda uygulanabiliyordu, artık İzmir'de de uygulanabiliyor. Güncelleme (17.08.2017): Sınavların hangi illerde ve test merkezlerinde uygulandığının en güncel bilgisini buradan edinebilirsiniz.
• CISA Review manual elektronik kitap formatında da sunuluyor. Epub uzantılı, Adobe Digital Rights uygulaması üzerinden.
• Sınav konularında güncellemeler mevcut. Göz atmakta fayda var.
• ISACA tarafından sunulan online eğitim modülü mevcut. Online olarak kaydedilmiş içerikleri dinleyebiliyorsunuz. Detaylar burada. 

İyi günler,

CISA sınavına hazırlık serüvenimi paylaştığım bu sayfalarda zaman zaman CISA ve ISACA tarafından sunulan diğer sertifika sınavları ile ilgili gelişmeleri paylaşmıştım. Bu yazı aracılığı ile de 2017 yılı içerisinde sınavların uygulanmasına yönelik değişiklikleri paylaşıyor olacağım. Amacım kariyerine BT denetim ve yönetişim alanında yön vermek isteyen profesyonellere bir nebze de olsa katkı sağlamaktır.

ISACA tarafından sunulan sınavlar yıllardır Paper-based olarak, belirlenen sınav lokasyonlarında sunulmaktaydı. Kayıt işleminde seçimini yaptığınız lokasyona göre adaylara sınava girmeden önce sınav salon adresleri duyurulur ve Türkiyede hepimizin aşina olduğu kağıt tabanlı yöntem ile sınavlar uygulanırdı. (Bu uygulama ile son sınav 10 Aralık itibari ile bitiyor.)

Öncelikle belirtmekte fayda var ki 2016 yılı içerisinde sınav konularında güncelleme oldu ve domain ağırlıkları değiştirildi. Bu güncellemeler ile birlikte ISACA'da Job Pratice Areas olarak nitelendirilen İş Pratikleri diye Türkçeye çevirdiğimiz ve CISA sınavı kapsamında soru yöneltilen alanlara buradan ulaşabilirsiniz.

CISA temelde 5 alandan (domainden) oluşmaktadır. Bu beş alanda adayların Bilgi Sistemleri Denetim sürecine, BT Yönetim ve Yönetişim süreçlerine, Bilgi Sistemleri Edinim, Geliştirme ve Implemente etme (Uygulama) süreçlerine, Bilgi Sistemleri operasyon, bakım ve servis yönetimi süreçleri ve bilgi varlıklarını koruma süreçlerine yönelik bilgi düzeyleri ölçülmektedir. Alanların İngilizcesi aşağıdaki gibidir;

Domain 1—The Process of Auditing Information Systems (21%)
Domain 2—Governance and Management of IT (16%)
Domain 3—Information Systems Acquisition, Development and Implementation (18%)
Domain 4—Information Systems Operations, Maintenance and Service Management (20%)
Domain 5—Protection of Information Assets (25%)

2016 yılı içerisindeki değişiklikle alanlardaki soru ağırlıkları değiştirilmiştir. Eskiden sınavda büyük bir ağırlığa sahip olan Domain 5'in ağırlığı yüzde 30'dan yüzde 25'e indirilmiştir. Teknik altyapıya sahip olmayan ya da Bilgi Güvenliği alanına göreceli az ilgi duyan adayları zorlayan bu alana ilişkin yöneltilen soru sayısı azaltıldı. Alan 5' e ek olarak Bilgi Sistemleri operasyon, bakım ve destek süreci olan Alan 4'ün  (Yüzde 3'lük azalma) ve Alan 2 olan Yönetişim ve Yönetim alanlarının (yüzde 4'lük azalma) de soru ağırlığı azaltılmıştır. Alan 1 olan BT Denetim sürecinin ağırlığı yüzde 7'lik bir oran ile önemli oranda artırılmıştır. Alan 3 ise yüzde 3'lük bir ağırlık artışı görmüştür.

Özetle, öncesinde temelde Bilgi Varlıklarının Korunması alanındaki ağırlığın Bilgi Teknolojileri Denetim sürecine kaydığını söylemek çok da yanlış olmayacaktır.

ISACA tarafından sınav hazırlığına yönelik sunulan kaynaklara buradan ulaşabilirsiniz.

Sunulan kaynaklara göz gezdirdiğim zaman şimdiye kadar baskı şeklinde sunulan temel kaynak olan CISA Review Manual'ın artık ebook formatında da sunulduğunu ve baskı kitap fiyatı ile aynı fiyata sunulduğunu görüyorum. Öncesinde maalesef bu opsiyon olmadığı için kargoyu ciddi bir zaman dilimi beklemeniz gerekiyordu.

Bir diğer önemli değişiklik ise sınav lokasyon sayısının artması. Türkiye özelinde İstanbul ve Ankarada uygulanabiliyorken sınavlar artık Bilgisayar destekli sınav merkezlerinde uygulanmaya başlanması ile birlikte Bursa, Gaziantep ve İzmirde de adaylar sınavlara girebilecekler.

Sınav uygulaması artık şu şekilde gerçekleştiriliyor; isaca.org üzerinden kaydınızı gerçekleştiriyorsunuz ve sınav uygulaması açıldığı zaman kendinize bir sınav günü tanımlıyorsunuz. İlgili sınav merkezine tanımladığınız günde gidip, sınavınızı alıyorsunuz.

2017 Yılı için tarihler şu şekilde;

İlk uygulanacak sınav için kayıtlar 15 Kasım itibari ile açılmış görünüyor. İlk sınav için erken kayıt 28 Şubatta, sonrasında 23 Hazirana kadar kayıt olabiliyorsunuz. Erken kayıt imkanından faydalanarak indirimli fiyat ile sınava kayıt olabiliyorsunuz. Kayıttan sonra 1 Mayıs ile 30 Haziran aralığında sınavınızı sınav merkezinin web sitesinden belirleyebiliyorsunuz.

Sınav 2017 yılı için;

İlk pencere 1 Mayıs - 30 Haziran
İkinci pencere 1 Ağustos - 30 Eylül
Üçüncü pencere ise 1 Kasım - 31 Aralık tarihlerinden oluşuyor.

Dolayısıyla bu tarihler arasında belirlediğiniz bir tarihte sınavınızı alabiliyorsunuz.

Her sertifika sınavı için toplamda 150 soru yöneltiliyor adaylara ve toplam sınav süresi 4 saat olarak veriliyor. Sınavdan 15 dakika önce sınav merkezinde olmanız bekleniyor.

Sınavın uygulanması ile ilgili daha fazla detayı buradan edinebilirsiniz.

Hazırlanma periyodu ile ilgili önerilerimi ise ayrıca vurgulamak istiyorum. Hazırlanma aşamasında konulara hakimiyetten emin olana kadar okumak, sonrasında ise bol soru çözmek önemli. ISACA tarafından sunulan soru kaynakları yukarı paylaştığım bağlantıda yer alıyor. Benim hayati gördüğüm bir nokta ise ISACA Istanbul tarafından sunulan CISA Sınavı Hazırlık Eğitimleri. 5 gün süren hızlı bir bilgi bombardımanından sonra örnek soru çözümleri ile sınava son hazırlığı gerçekleştirmiş oluyorsunuz. ISACA tarafından sunulan eğitimlere buradan göz atabilirsiniz.

Hazırlanmaya yönelik bir diğer önerebileceğim kaynak ise online eğitim modeli. ISACA tarafından sunulan ve online eğitim içeriklerinin yer aldığı sayfadan konuları eğitmenden dinlemeniz mümkün. Bu eğitimin detayları için ise sizi buradan alalım.

Umarım yazı CISA adayları için faydalı olur. Sormak istediğiniz sorular için bana hayrican.duygun@isaca-istanbul.org mail adresinden ulaşabilirsiniz.

En sağlam ödeme platformu Paypal neden Türkiyede lisans alamamış olabilir?

Dün Paypal'in Türkiyedeki operasyonlarını 6 Haziran 2016 sonrasında durduracağını açıklamasının akabinde sosyal medya kullanıcıları ve bir şekilde yolu alıcı ya da satıcı olarak elektronik ticaretten geçen herkesi ilgilendiren bu olay internet üzerinde geniş yankı buldu.

Bir kesim Dünyanın en sağlam ödeme platformu olarak nitelendirilen Paypal'in Türkiye Bankacılık sektörü otorite kuruluşu BDDK tarafından lisanslanmamasını eleştirirken, bir kesim ise Paypal'in faaliyet gösteremediği ülkeler listesini paylaşarak geneliyle demokrasinin uygulanışı konusunda problemli olan Kuzey Kore, İran gibi ülkelerin yer aldığı bu listede Türkiye'nin de yer almasının olumsuz yönlerini ön plana çıkarmaya çalıştı. Elektronik ticaretin bu derece hayatımızın neredeyse her alanına girdiği bir çağda acaba BDDK ne olmuş olabilir de Dünyada güvenirliğini kanıtlamış olan bir global şirket lisans alma başarını gösterememiş olabilir sorusunu biraz irdelemek istiyorum bu yazı ile.

Öncelikle başlangıçta belirtmekte fayda vardır ki amacım bu yazı ile herhangi bir kurumu savunmak ya da eleştirmek asla değildir. Sadece yapılan yorumlara yönelik perspektifi uygulamalara yönelik genişletmek ve bu şekilde daha doğru yargılaya varılabilmesine vesile olmaktır. Türkiyedeki faaliyetlerin durdurulması ile ilgili bu gelişme göstermektedir ki; global ölçekte faaliyet gösteren çok uluslu bir şirket olmak, tüketiciler tarafından en sağlam (tahmin ediyorum bu tabirle güvenilirliği vurgulamak istiyorlar) ya da milyonlarca kullanıcıya sahip olmak başlı başına BDDK tarafından lisanslanmak ve Türkiye'de ödeme hizmeti kuruluşu olarak faaliyet göstermek için gerekli olan lisansa sahip olmak adına yeterli olmuyormuş.

Aslında konuyu başlangıcından ele almak, biraz yasal altyapı açısından değerlendirmek oldukça önemli. Bu yasal gerekliliklerin uygulanabilir olması ise ayrı bir konu. Bankacılık, aracı kurumlar ve ödeme kuruluşları faaliyetlerini düzenlemek ve denetlemek ile yükümlü kurum BDDK 27 Haziran 2013 tarihli ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN isimli kanun ile ödeme ve menkul kıymet mutabakat sistemlerine, ödeme hizmetlerine, ödeme kuruluşlarına ve elektronik para kuruluşlarına ilişkin usul ve esasları düzenlemektedir. Bu kanun ile ilgili sektörde yer alacak firmaların kuruluş yapılarından tutun, kurumsal yönetim yapılarına, faaliyetlerini yürütmelerine yönelik genel kabul görmüş şeffaflık, denetlenebilirlik gibi yapılara sahip olmalarına kadar hükümler bu kanun ile tanımlanmıştır. Ek olarak ödeme hizmeti, ödeme hizmeti kuruluşu, elektronik para, elektronik para kuruluşu gibi kavramların BDDK açısından tanımlarını açıkça yapmıştır. Bu kanunun önemli başlıklarından birisi belirlenmiş olan yükümlülükleri yerine getirmek ve BDDK'nın belirlemiş olduğu gereksinimleri ön görülen süreye kadar tamamlamak ve faaliyete devam edebilmek için faaliyet lisansı almak olarak tanımlanmıştır. Bunlara ek olarak kanun içerisinde denetim hükümleri, fonların korunması ve teminat hükümleri, kurumlar arası işbirliği hükümleri, kuruluş pay sahipliği hükümleri ele alınmış; lisanssız faaliyet göstermek ya da bildirim hükümlerine uymamak gibi durumların cezai yaptırımları da kanunda yerini almıştır. Yeri gelmiş iken bilgi olarak paylaşayım lisanssız olarak faaliyet göstermenin cezası bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası olarak belirlenmiştir. 

Kanunun akabinde amacı Türkiye’de faaliyet gösteren ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirilmesi ve faaliyetleri ile ödeme hizmetleri ve elektronik para ihracına ilişkin usul ve esasların düzenlenmesi olan yönetmelik 27 Haziran 2014 tarihinde yayınlanmıştır. Bu yönetmelik ile faaliyet izni elde edebilmek için yerine getirilmesi gereken yükümlülükler ifade edilmiş ve bu yükümlülüklerin sektörde faaliyet gösteren aktörler tarafından yerine getirilmesi akabinde lisans alınması için BDDK'ya başvurulması gerekliliği vurgulanmıştır. Bu lisans başvurusu için kuruluşlar hem süreçlerinde hem kurumsal yapılarında düzenlemeler yapmak, yazılım ve donanım altyapılarına yönelik denetlenebilir bir yapı oluşturmak, belirli standartlarda kaliteli hizmet verebilmek adına BDDK tarafından yönetmelik ile belirlenen süreçleri tanımlamak ve işletmekle mükellef kılınmışlardır. Kurumsal yapıyı değerlendirmek gerekirse BDDK kuruluşlardan bir iç kontrol ve denetim mekanizmasını kurmasını, Yönetim Kurulu üyelerini Bankacılık Kanununda tanımlanan Banka Kurucuları gereksinimlerine sahip adaylar arasından seçmelerini, Bilgi Güvenliği anlamında hem sorumlu profesyonele sahip olmalarını, hem süreçlerini tanımlayıp, işletebilir hale gelmelerini istemektedir. Süreçler ile ilgili olarak ise sisteme gönderici tarafından eklenen ve alıcı tarafından alınmayan paraları ya da ihraç edilen ve henüz hizmete dönüşmeyen elektronik paraların Kuruma bildirilmiş banka hesaplarında bloke edilmesi ve düzenli raporlamasını içeren bir dizi sürecin olması örnek verilebilir. Hatta ve hatta Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ isimli tebliğ ile denetimi çok önemli bir noktaya gelen bilgi sistemlerinin nasıl yönetileceğini tariflenmiştir. Bu tebliğ aynı zamanda Bilgi Teknolojileri denetim kapsamı hakkında da genel bir fikir vermektedir. Bu tebliğden yola çıkarak basit bir yorumla şunları söyleyebilirim; kuruluşlardan sistemlerini yurt içerisinde konumlandırmaları, faaliyetlerine yönelik iz kayıtlarını yurt içerisinde tutmaları ve gerekmesi dahilinde kurum talep ederse denetime açmaları (dolayısıyla Türkiyede global aktörlerin acentesi gibi çalışan şirketler ya kendi yapılarını kurma ya da global sistem sahibi ile denetime yönelik yapının tasarlanabilirliğini müzakere etme durumunda kalmışlardır), bilgi sistemlerine yönelik riskleri belirlemeleri ve düzenli takip gerçekleştirmeleri, bilgi güvenliği süreçlerini tanımlamaları, işletecekleri yapıları kurmaları ve düzenli raporlamaları, güvenlik olaylarına yönelik yönetim süreçlerini tanımlamaları, veri gizliliği, güvenliği ve yetkilendirme mekanizmalarına yönelik süreçleri tanımlamaları ve işletmeleri, bağımsız denetim ve BDDK tarafından gerçekleştirilecek denetimlere yönelik denetim izlerini oluşturmaları ve saklamaları, kimlik doğrulama mekanizmalarını belirlenen spesifikasyonlara göre oluşturmaları, bilgi sistemlerine yönelik olarak süreklilik planları hazırlamaları, planları güncel tutmaları, periyodik olarak planlara yönelik tatbikatlar gerçekleştirmeleri, bilgi sistemlerine yönelik dış hizmet alımlarını belirli standartlara göre yapmaları, bizzat kontrolü kendilerinde olacak şekilde yönetmeleri, hizmet sunumu esnasında belirli aşamalarda kullanıcıları bilgilendirmeleri (dolayısıyla buna uygun altyapı kurmaları), elbette kullanıcı bilgilerinin gizliliğini sağlamaları, üye kuruluş, şube gibi yapıları izleyebilecek ve denetleyebilecek yapılar kurmaları, iç denetim unsurları ile denetlemeleri, bilgi sistemleri yapılarını iki yılda bir bağımsız denetim kuruluşlarına denetletmeleri, tahsis edilen iç kontrollere yönelik güvence vermek adına yönetim beyanı faaliyetleri yürütmeleri beklenmektedir.

Görüleceği gibi şeffaf, yüksek standartlarda hizmet sunulması, gerekli güvenliğin ve gizliliğin sağlanmasına yönelik adımlar atılması, denetlenebilir bir yapı kurulması, iç denetim yapılarının işletilmesi ve iç denetim fonksiyonu ile yönetimin desteklenmesi, üst düzey yönetim yapılarının bankacılık kanunu 6. maddede yer alan banka kurucularında aranan şartlara sahip kişiler tarafından oluşturulması, şeffaf ve ulaşılabilir bir şekilde pay sahipliği yapısına sahip olunması gibi özelliklere sahip bir yapı kurulması planlanmıştır.

Bu genel bilgilendirme sonrasında insanların aklında acaba belirlenen bunca yasal gereksinim ile acaba global aktörlerin ülkemizde faaliyet göstermesi zorlaştırılıyor mu sorusu gelebilir. Aslında burada sektör direkt para ile ilişkili mahiyette olması sebebiyle sosyal medya araçları sunan girişimlerle bir tutulmaması gerektiğini ve yapıyı güçlendirebilecek bu gereksinimlerin önemli olabileceğini vurgulamak isterim. Zaten hali hazırda yasal otorite sektörde faaliyet gösteren aktörlerden gelen geri dönüşleri değerlendirmekte ve uygulanabilirliğinin tekrar değerlendirilmesi talep edilen hükümlere yönelik düzenlemeler yapmaktadır ve ilgili sektöre yönelik de yapmıştır.

Denilebilir ki; global çapta yüzlerce kişi tarafından kullanılan Paypal tüm bu gereksinimleri yerine getirebilecek yetkinliğe ve yeterliliğe sahip değil midir yani, ya da Türkiye bu aktörleri bu kadar gereksinim ile Türkiye piyasasında faaliyet getiremeyecek noktaya mı getirmektedir? 

Yukarıda da sıraladığım gibi bu lisansa sahip olmak için ciddi bir yapıya, ciddi altyapı yatırımına, otorite kuruluş ve bağımsız denetim şirketleri ile (denetime yönelik gerekliliklerden dolayı) ilişki geliştirilmesine kısacası ciddi bir şekilde çalışmaya ve yatırım yapmaya gerek olduğu çok açık. Niyetim asla Paypal gereken bu yatırımı yapmamıştır demek ya da lisans alamaması sebebiyle eleştirmek gibi bir şey değildir. Daha ziyade sektörün ciddi bir şekilde otorite kuruluş tarafından yapılandırıldığı, denetim mekanizmasının (özellikle bilgi teknolojileri yönetişim ve denetimine gösterilen önem benim gibi Bilgi Teknolojileri Denetçileri için oldukça güzel haber- ki bu konuda lisans sahibi denetçinin Türkiye'de 400'ü geçemeyecek olması gerçeği daha net fikir verebilir.) ve kurumsal yönetime yönelik yapıların kuruluşlarda ciddi şekilde kurulmasına yönelik adımların atıldığı, periyodik raporlamalar ile faaliyetlerin de yakinen izleneceğini vurgulamaya çalışıyorum.

Özetle, aslında gerçekten de bu alanda ilgili lisans sahibi olmak kolay olmamakla birlikte hem maddi, hem insan kaynağı açısından ciddi bir yatırım gerektiriyor.

Linkedin üzerinden gördüğüm ise Paypal'ın Türkiye'de yapılanmaya gittiği, bilgi güvenliği ve bilgi teknolojileri denetimine yönelik sektörde istihdam gerçekleştirdiği yönünde. Anladığım kadarı ile BDDK tarafından tanımlanan süre içerisinde lisans almaya yönelik faaliyetlerin tamamını gerçekleştiremediği ve bu sebebiyetle de BDDK'nın faaliyetlerini durdurması ya da askıya alması yönünde talimatta bulunduğu. Bu sürecin diğer bir değerlendirilmesi gereken yönü ise Paypal tarafından gerçekleştirilen bunca yatırımın ve istihdam edilen profesyonelin akıbetinin ne olacağı. 

Paylaşılması gereken bir diğer husus ise 31.05.2016 tarihi itibari ile 14 ödeme kuruluşunun, 6 elektronik para kuruluşunun bahsi geçen lisansı aldığıdır. Tahmin ediyorum ki Paypal'in çekilmesi ile oluşan bu boşluk lisans sahibi firmalar tarafından doldurulacaktır. (Kriz gibi görünen durum aslında birileri için fırsat barındırıyor olabilir.)

Gelecek vadede hem tüketici, hem de elektronik ticaret alanında faaliyet gösteren anlamında ticari paydaşların bu gelişmeden etkileneceği kesin olmakla birlikte ne gibi gelişmelerin olacağını ise hep birlikte göreceğiz.

Bilişim Güvenliği ile ilgili temel kontrol listesi örneği

Geneli itibari ile Bilişim Güvenliği ile ilgili bir kontrol listesi yer alıyor aşağıda. Kendi kontrol listesini oluşturmak isteyen profesyoneller için genel hatları ile fikir verebileceğini düşündüğüm ve geliştirilebilir yanları olduğunu düşündüğüm liste aşağıdaki gibidir;

1- Güvenli bir altyapı

1.1 Veri Merkezleri

• Güvenli erişim (access)
• Güvenli Üçüncü Parti Yönetimi
• Giriş Logları, video kayıtları ve giriş saatleri de dahil olmak üzere
• Redundancy
• Doğal afetlerden kaçınma (deprem bölgelerine göre konum tercihi, fırtına güzergahlarında yer alma ya da sele maruz kalabilecek havzalarda yer alma)

1.2 Network - Ağ

• Güçlü bir çevresel kontrol
•  Firewall
•  Demilitarized zone (DMZ)
• Yetkinlendirilmemiş erişimi önlemek için Network Access Control (NAC) mekanizmasını zorlayın.( www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html) 
• Network altyapısının güvenliğine yönelik kontroller
• Yönetilen Switch ve Routerlar
• Sadece yetkinlendirilmiş personellerin erişim sağlayabildiğinden emin olun.

1.3 Sunucular ve Domain

• Dual-factor authentication (Çift Faktörlü Kimlik Doğrulama) 
• Yanlış uyarıları azaltmak
• IT için olan response time artırılmalı
• Doğru konfigürasyondan emin ol
• Değişiklik Yönetimi

1.4 Veritabanları ve Uygulamalar

• Erişim haklarını gerektiği kadarı ile sınırlayın
• Operasyon ile geliştirmeyi ayırın.
• Geliştiricilerin canlı ortama erişimini ve canlı ortamda değişiklik yapmasını tamamen engelleyin

1.5 Bilgisayarlar

• Gerekmesi durumunda kilitleyin
• Öncesinde white list içerisinde tanımladığınız uygulamaların çalışmasına izin verin
• Whitelist haricinde bir uygulamanın yüklenemediği ve çalıştıırılamadığından emin olun. (Kullanıcılarda local admin yetkisi olmamalı.)
• • Antivirüs ve zararlı yazılım(malware) tarama yazılımları kullanın.

1.6 Güvenilir Taşınabilir Cihazlar (Telefon, Tablet gibi)

• Mümkünse kurum varlıklarından farklı bir ağ üzerinde yer almalarını sağlayın.
• Gerçekten gerekmedikçe kurumsal uygulamalara erişimlerine izin vermeyin, erişim gerçekleştiren cihaz sayısını gerekse bile minimumda tutmaya özen gösterin.

2- Altyapının Yönetilmesi

2.1 Planlama

• Değerlerine göre varlıkları önceliklendiriniz (En değerli varlığı öncelikli korumalısınız.)
• Felaket kurtarma
• İş Sürekliliği Planlama (BCP)

2.2 İzleme

• Penetrasyon testleri (Alanında uzman, dış firmalar tarafından yapılması en iyi yoludur)
• İzinsiz Giriş Tespit (Intrusion detection)
• Özel yetenek ve bilgi gerektiren güvenlik fonksiyonları için hizmet alımı gerçekleştirebilirsiniz. Bünyenizde bu tarz yapıları kurmak maliyetli olabilir.

Eyvah!! Facebook hesabım çalınmış, ne yapmalıyım şimdi?

Son dönemlerde sosyal medya üzerinden özellikle saldırılan kişilerden elektronik para anlamına gelen kontör isteme şeklindeki saldırıların çok artması ve bu saldırıların Facebook üzerinden bir şekilde ele geçirilen hesaplar üzerinden ağırlıklı gerçekleştirilmesi sebebiyle bu yazıyı yazma gereği duydum. Kaybettiğiniz hesabınızı mail adresiniz üzerinden ve doğru hatırladığınız bir kaç bilgi ile geri almanız mümkün.

Adım 1: https://www.facebook.com/hacked adresini açıyorsunuz.

Adım 2: Hesap ile ilişkilendirilmiş bir bilgiyi 8e-posta, telefon, kullanıcı adı veya ad ve soyad) girdikten sonra bu hesap ile kullandığınız mevcut veya eski Facebook şifreinizi girmeniz istenecektir. Şifreniz saldırgan tarafından değiştirildiği için sizin hatırladığınız şifre eski şifre olarak değerlendirilecektir ve Üzgünüz, eski bir şifre girdin uyarısı gelecektir. Bu değişiklikliği yaptığını hatırlıyor musun? sorusuna Hayır yanıtını verin.

Adım 3: Bu adımda ise şifreniz saldırgan tarafından değiştirildiyse kullanmaya çalışacaktır. Bunu engellemek için hesabınızı geçici olarak kapatabilirsiniz.

Adım 4: Bu adımda e-posta adresinize yeni bir şifre gönderme opsiyonu olacaktır. Diyelim e-postanızda çalındı ve oraya gelecek şifre sıfırlama bağlantısı işinizi görmeyecek, o zaman Bunlara artık erişimin yok mu? seçeneğini seçmeniz gerekmektedir.

Adım 5: Size ulaşabilecekleri bir mail adresinizi paylaşıyorsunuz Facebook ile.

Adım 6: Devam ettiğinizde doğrudan Facebook Yardım Ekibine gönderebileceğiniz bir form geliyor önünüze. Bu aşamada hesabın size ait olduğunun doğrulanması için kimlik kopyanızın gönderilmesi beklenmektedir.

Adım 7: İlgili ekipler gerekli incelemeyi yaptıktan sonra tanımladığınız yeni mail adresine yeni bir şifre göndereceklerdir.

Akla burada hemen benim nüfus cüzdanıma birisi erişirse Facebook hesabım çalınabilir mi sorusu gelebilir. Bunun olabilmesi için yakın zamanda şifrenizin değiştirilmiş olması ve bu ekranların açılması için de sizin kullandığınız eski bir şifreyi bilmesi gerekecektir. Tutun ki size yakın birisi, tanıdığınız, bir akrabanız böyle bir işlem gerçekleştirdi. Tam da o vakit ip adresi kayıtları tutulduğu için Savcılık kanalıyla ihbarda bulunursanız kişinin kimliğine ulaşmanız olasıdır.

Genel hatlarıyla COBIT 5

COBIT 5 çerçevesi genel olarak iş paydaşları yöneticilerinin hedefler ve sonuçlara yönelik iletişim kurmalarını sağlamak amacıyla ortak bir dil (a common language) sunmayı hedeflemektedir.

COBIT, Control OBjectives for Information and related Technologies açılımının kısaltması için kullanılmaktadır ve çerçeveyi temsilen bu uzun açıklama yerine kısaltma daha yaygın kullanılır hale gelmiştir. Günümüzde temelde Bilgi Teknolojileri Yönetimi ve Yönetişiminin nasıl gerçekleştirileceği hususlarına yönelik iyi uygulamarın tarif edildiği bir çerçeve halini almıştır. Günümüzde diyorum çünkü çıkış noktası öncelikle denetim odaklıdır, sonra zamanla kontrol ve yönetim odaklı hale gelen standart COBIT 4.0 ve COBIT 4.1 ile Bilgi Teknolojileri Yönetişim odaklı hale gelmiştir. COBIT 5 ile ise Bilgi Teknolojileri Yönetişim ve Yönetiminin sadece BT temel aktörlerinin değil, bütün kurum paydaşlarını da katarak ele alınması gerektiğini vurgulamaktadır. Bilgi Teknolojilerinin yönetişiminden kurum Bilgi Teknolojileri yaklaşımının yönetişimi anlayışına geçilmiştir. COBIT 4.1 içerisinde IT fonksiyonlarının sorumlulukları daha ağırlıklı olarak vurgulanır ve tariflenirken, COBIT 5 ile artık kurumun bütün paydaşlarının sorumlulukları üzerinde durulur olmuştur.

Şekil1 - COBIT'in tarihsel gelişimi

Amaç:

 

COBIT 5, ISACA tarafından BT varlık ve hizmetleri değer yönetimine yönelik geliştirilen Val IT, BT risklerinin yönetilmesine yönelik geliştirilen Risk IT gibi standartların da bağlantısının sağlanması ve ISACA'nın bütün knowledge varlıklarının tek çatı altında toplanması amacıyla Bilgi Teknolojilerinin yönetimi ve yönetişimi alanında kabul görmüş bir rehber yayınlamak amacıyla oluşturulmuştur. (Yönetim ve Yönetişim arasındaki farkı bu yazımda bulabilirsiniz.) 

COBIT 5'in geliştirilmesi motivasyonu nedir?

 

Kurumların Bilgi Teknolojilerine olan bağımlılığı temelde COBIT 5'in geliştirilmesi motivasyonudur. Kurumlar içerisinde IT fonksiyonları diğer bütün fonksiyonlar ile çok içli-dışlı yapıya sahiptir. Kurum içerisinde herhangi bir fonksiyon yoktur ki BT fonksiyonları ya da BT ekiplerinin hizmetlerinden faydalanmasın. BT ekipleri ve iş birimleri arasındaki net çizgilere sahip ayrımlar gün geçtikçe azalmaktadır. (Motivasyon 1) Dolayısıyla iş paydaşları BT üzerinden daha iyi kontrollerin oluşturulmasına ihtiyaç duyarlar. (Motivasyon 2) Bilgi Teknolojilerine yönelik fonksiyon ve hizmetlerin kurumun genelinde yaygınlaşması durumu beraberinde Bilgi Teknolojileri maliyetlerinin kurum içerisinde daha fazla orana sahip olmasına ve artmasına sebep olmuştur. (Motivasyon 3)

 

Dış kaynaklı motivasyonlar için ise günden güne artan yasal gereksinimler ve BT ile ilgili diğer standart ve çerçeveler (BT hizmetlerinin geliştirilmesi, sunulması ve yönetimi) sayılabilir.

 

COBIT 5 kimler için faydalıdır?

 

COBIT 5 uygulanacağı organizasyonun büyüklüğü ve yer aldığı sektörden bağımsız olarak bütün organizasyonlarda kolaylıkla uygulanabilir.  COBIT 5'in bilginin yönetilmesi ile doğrudan alakadar olduğunu söylemek doğru olacaktır.

 

Bilgi kurumlar için hayati öneme sahiptir

 

Doğru, güvenilir veriye ulaşmak organizasyonun faaliyetleri ile alakalı kararlar alınması için önemlidir. Doğru kararlar kaliteli bilgi ile mümkündür.

 

Kurumların bilgi teknolojileri fonksiyonları yönetilirken teknoloji elbette önemlidir ama unutulmamalıdır ki teknoloji kurum içerisinde bilginin yönetilmesi için bir araçtır. Burada asıl önemli olan bilginin bizzat kendisidir.

 

COBIT 5'in Faydaları

 

COBIT 5;

• İşe yönelik kararların verilmesi noktasında kaliteli verinin sağlanmasına,
• Bilgi Teknolojileri yönelik yatırımlardan değer elde edilmesine,
• Operasyonel mükemmeliyetin sağlanmasına yönelik olarak BT'nin kullanılmasına,
• BT ile alakalı risklerin kabul edilebilir seviyede yönetilmesine,
• BT maliyetlerinin etkin yönetilmesine,
• Yasal gereksinimlere uyulmasına,

yardımcı olarak BT Yönetişiminin ve yönetiminin sağlanmasına yönelik çerçevedir.

 

COBIT5,  Bilgi Teknolojileri ile alakalı risklerin maliyet - fayda dengesi içerisinde yönetilmesini sağlamaktadır.

 

The Goal Cascade yapısı iyice anlaşılmalıdır. COBIT 5 içerisinde paydaş beklentileri paydaş ihtiyaçlarını etkilemektedir, paydaş ihtiyaçları kurumsal hedefleri belirlemelidir, kurumsal hedefler BT hedeflerini oluşturmalıdır, BT hedefleri ise İngilizcesi enabler olan gerçekleyici hedeflerini oluşturmaktadır.

COBIT 5, Bilgi Teknolojileri ile alakalı bütün standartların bir şemsiye olarak bir araya getirilmesi ile oluşturulmuştur. Bu standartlar COBIT 5 domaini olarak nitelendirilen alanlara aşağıdaki şekliyle oturmaktadır;

Şekil 2 - COBIT5 Domainleri ve Bilgi Teknolojileri ile alakalı standartlar

Bu bağlamda beş anahtar ilkeden (key principle) oluşmaktadır:

• İlke 1: paydaşların ihtiyaçlarını karşılamak
• İlke 2: kurumu uçtan uca kapsamak
• İlke 3: entegre tek bir çerçeve uygulamak
• İlke 4: bütünsel bir yaklaşıma imkan tanımak
• İlke 5: yönetişim ve yönetimi ayırmak

Detayları hakkında bilgi edinmek için ISACA Istanbul ve ISACA Ankara tarafından Türkçeleştirilmiş olan COBIT 5 kütüphanesinde yer alan rehberlere göz atabilirsiniz.

COBIT 5 Kütüphanesi Türkçe belgelere buradan ulaşabilirsiniz.

İş Sürekliliği Planı gerekliliğini anlatırken karşılaşabileceğiniz muhtemel sorular nelerdir?

Size sorulacak muhtemel sorular;

1- Başlangıçta karşılaşacağmız maliyet nedir? Bu işe ne kadar para ayırmalıyız?

2- İş sürekliliği planını işletmenin yıllık maliyeti nedir?

3- İş Sürekliliği planlaması ne kadar zamanımızı alır?

4- Ne kadar insan gücüne ihtiyacımız vardır?

5- Eğitim gerekir mi?

6- Gerekirse ne kadar eğitime ihtiyacımız var?

7- Bilgisayar yazılımları bize yardımcı olabilir mi?

8- Bu yazılımların maliyetleri nedir?

9- Bina içerisinde güç beslemesi olmazsa ne olur? (Elektrik)

10- Binamız tamamen kullanılamaz hale gelirse ne olur?

11- Peki bir fırtına koparsa?

12- Bir süreliğine iş gücü kaybı yaşarsak ne olur?

13- Eğer çalışanların bir kısmı işe gel(e)mezse ne yapabiliriz?

14- Bu planın işletimi ve güncellenmesi için görevlendirilen kişi işten ayrılırsa ne olacak?

15- Yasal anlamda zorunluluklarımız bu konuda nelerdir?

16- Bilgi Teknolojileri ve Yasal Uyumluluk fonksiyonları ile İş Sürekliliği Planının görüştünüz mü?

17- İş sürekliliği planlaması yapmazsak yasal anlamda ne gibi yaptırımlara konu olabiliriz?

18- Planlama yaparken hangi doğal afetleri göz önünde bulundurmalıyız?

19-  Başka hangi açıklıkları göz önünde bulundurmalıyız?

20- Ben bu kurumu etkileyen hiç bir felaket hatırlamıyorum. Başımıza ne gelebilir ki sizce?

21- Yönetim olarak planlama yapmadan risklere çözüm getiremez miyiz yani?

22- İş sürekliliği bizi kesinlikle yavaşlatacaktır. Bu kadar histerik olmanın alemi var mı? 

İş Sürekliliği Planı isminin herhangi bir yerinde süreklilik, süreç iyileştime gibi ifadeleri içeren birimlerin sorumluluğunun üzerindedir. Herşeyin ötesinde bütün kurumu ilgilendiren, her birime ve daha önemlisi her bireye bir şekilde dokunan ve katılım gerektiren bir kavramdır. Peki iş sürekliliğine katılımı nasıl sağlamalıyız ve artırmalıyız?

Her şeyin ötesinde İş Sürekliliğini kurum süreçlerinin içerisine süreçlerin bir parçası olarak yedirmek çok önemlidir. Sonrasında süreç tasarımlarına cila tadında yedirilen planlamaların başarımı tartışılır. Süreçleri baştan tasarlarken ya da yeniden tasarlarken sürecin parçası olarak tasarlamanın yanı sıra kurum kültürüne iş sürekliliğini entegre etmek de oldukça önemlidir. Çünkü iş sürekliliği içerisinde teknik olarak yer alan konuların yanısıra herkes tarafından bilinmesi gereken hususlar da mevcuttur.

İş sürekliliğinin sadece bilgi teknolojileri ya da teknik konular ile ilgili bir husus olmadığı, iş süreçleri ile ilgili husus olduğu bütün kurum paydaşlarınca açık ve net bir şekilde anlaşılmaktadır.

Kurum kültüründe kendine yer bulamamış, süreçlere sonradan monte edilmiş iş sürekliliği planlamaları kısa süre içerisinde bitmeye ve sadece doküman olmaya mahkumlardır.