16 Kasım 2013 tarihinde ISACA Ankara Chapter tarafından düzenlenen,
ISACA International Eski Başkanı Mr. Ken Vander Wal’ın Strategy, COBIT and
Vision isimli sunumuna ilişkin genel notları, sunumun kendisini ve etkinliğe
ilişkin düşüncelerimi bu blog yazısında bulabilirsiniz.
Mr. Ken Vander Wal sunumunda öncelikle BT (Bilgi Teknolojileri)
alanındaki hızlı değişimden ve geçmişten günümüze bu hızlı dönüşümün gerek
yönetim, gerekse yönetişim anlamında ne gibi etkileri olduğundan bahsetti. Bu
noktada BT Denetimin önemini vurguladıktan sonra ISACA’ya ilişkin
bilgilendirici bir sunum yaptı. ISACA’nın değişen BT alanındaki önemli rolünü,
ISACAnın yapısını, vizyon ve misyonunu katılımcılara aktardıktan sonra Bilgi
Teknolojileri Yönetişim çerçevesi olan COBIT5’e yönelik genel bir tanıtım
yaptı. Bundan sonrası için ise ISACA 2022 Stratejisini, stratejiye yönelik
gelecek vadedeki aksiyonları paylaştığı sunumu buradan edinebilirsiniz.
Sunuma ilişkin notlar şu şekildedir:
Bilgi Teknolojileri dünyasında performans ve kapasite metrikleri hesaplama (computing)
18 ayda, iletişim (Communication) anlamında 9 ayda, depolama kapasitesi (disk capacity) olarak 12 ayda ikiye
katlanmaktadır. Sosyal medya mecralarının gelişmesi ile birlikte oluşturulan
içeriklerin her geçen gün yüksek ivme ile arttığı da önemli bir gerçek. Dolayısıyla
bu hızlı değişime uyum sağlayabilmek adına kurum ve kuruluşların Bilgi
Teknolojileri alanlarındaki yatırımları her geçen gün artmaktadır. Gartner
raporuna göre 2014 yılına yönelik Dünya genelinde toplam 3,881 Trilyon Dolarlık
bir yatırım beklentisinden bahsedilmektedir. 2012 yılında gerçekleşen rakam ise
3,588 Trilyon Dolar. 2020’nin sonlarında Bilgi Teknolojileri harcamalarının %90’nına
yakın bir oranda dış kaynak kullanımına yöneleceği, Big Data kullanım ve
yönetimine ilişkin yeni iş alanları yaratılacağı, 2016 yılında 1,6 Milyardan
fazla mobil cihaz satılacağı, beş yıl içerisinde ise BT güvenliğine yönelik
harcamaların %56 oranında artacağı ve yasal mevzuatın bu artışa yönelik temel
nedenlerden birisi olacağı aynı araştırmada ön görülmektedir.
BT alanındaki hızlı değişim, artan yatırımlar, dış kaynak kullanımına
yönelim, yeni yaklaşımların gelmesi ve bu yaklaşımlara ilişkin yeni iş
alanlarının oluşması, mobil cihaz kullanımının yaygınlaşması ve gelecek vadede
bilgi güvenliğine ilişkin yatırımların artacak olması beraberinde önemli
fırsatları getirirken yönetilmesi gereken risklerin sayısını ve mahiyetini de
artırıyor. Bu noktada sadece Bilgi Teknolojileri alanında faaliyet gösteren
kurumlarda değil, bütün kurumlarda Bilgi Teknolojilerinin yönetim ve yönetişim
faaliyetlerinin aktif olarak yürütülmesi, gelişmiş denetim ve Güvenlik
yaklaşımlarının sağlanması ihtiyacı doğuyor.
Geçmiş dönemlerde öncelikli olarak denetim alanına odaklanan ISACA
yaklaşımı günümüzde yönetim ve yönetişim alanlarına doğru genişlemiştir. Bu
genişleme beraberinde geçmişte sadece BT denetçilerinden oluşan üyelere risk
yöneticilerinin, uyum sorumlusu personellerin, bilgi güvenliği, BT kontrol ve
BT Yönetişim alanlarıında çalışan profesyonellerin eklenmesini; denetime
odaklanan CISA sertifikasına ek olarak güvenliğe yönelik CISM, yönetişime
yönelik CGEIT ve riske yönelik CRISC sertifikalarınn eklenmesine ve 92 yılında
7.504 olan üye sayısının 2012 yılında 110.338 sayısına ulaşmasını getirmiştir.
Günümüzde ISACA Dünya genelinde 200 chaptera ulaşmış, 80’den fazla ülkede
faaliyet gösteren bir kuruluştur.
ISACA’nın vizyonu (“Trust in, and value from, information systems”)
Bilgi sistemlerinden yüksek derecede fayda elde edilmesi, bu faydayı elde
ederken de bilgi sistemlerine yönelik güven ortamının sağlanmasıdır.
ISACA’nın misyonu ise profesyoneller ve organizasyonlar için bilgi
sistemleri, uyum ve güvenlik, BT yönetişim, BT ile alakalı riskler ve uyum
konularında Dünyanın lider bilgi birikimi, sertifikasyon, kişisel networking ve
eğitim imkanları sağlayan kuruluşu olmak. (İngilizcesi: For professionals and organizations be the leading global provider of
knowledge, certifications, community, advocacy and education on information
systems, assurance and security, enterprise governance of IT, and IT-related
risk and compliance”)
Bu noktada ISACA standartları,
rehberleri, sureli yayınları ve blog yazılarında BT yönetişim, risk ve kontrol
profesyonellerinin istifade edebileceği kaynaklar oluşturulmakta, sayısı 200’ü
bulan chapterlarda bahsi geçen alanlarda çalışan personellerin bir araya
geleceği etkinlikler ve çalışmalar düzenlenmekte, profesyonellerin
yetkinliklerine göre sertifikalandırılmaları sağlanmaktadır. CPE modeli ile de
sertifika sahibi profesyonellerin güncel kalmaları teşvik edilmektedir.
BT Değer faktörleri konusuna değinen
Wal, İş ihtiyaçlarının Kurumsal Bilgi oluşturulurken kullanılan BT kaynaklarına
yatırımı tetiklediğini, İş gereksinimlerini döngüsel olarak oluşturan BT
proseslerinin de sunulan kurumsal bilgi ile oluşturulduğunu vurgulamıştır.
Özellikle vizyonda yer alan fayda ve
güven konularını detayı ile açtığı sunumunda BT’nin yeni Teknolojileri uygulamadan
ziyade IT kaynaklı değişim ile değer yarattığı konusunu işaret etmiştir. Değeri
ise göze alınan riskler ve maliyet sonrası kalan fayda olarak nitelendirmiştir.
Güveni ise davet ettiği bir katılımcı ile yaptığı bir uygulama ile göstermiş,
arkasını dönen dinleyiciden kendisini geri geriye bırakmasını istemiş,
dinleyici düşmeden once tutmuş ve dinleyiciden tutacağına dair güvene sahip
olduğu dönüşünü almıştır. İş birimlerinin asıl işlerine odaklanarak, bilgi sistemlerinden kendilerine sağlanan hizmetlere güven duyarak daha çok değer üretilebilineceğinden,
bilgi sistemlerine güven ortamlarının sağlanması noktasında risk, iç kontrol ve
denetim birimlerinin öneminden bahsetmiştir.
Güven değerin yaratılması için gereken
ortamı sağlarken, değer güven beklentisi üzerinden vücut bulmakta, güvence
verme ise bu iki unsur arasındaki ilişkiyi kurmaktadır. (Sunum Sayfa-15)
COBIT
5’e ilişkin genel bir tanıtımın yapıldığı sunumda, COBIT çerçevesinin BT
denetim odağından BT Yönetişime doğru evrildiği paylaşılmıştır. İlk sürümleri
denetim kontrolleri üzerinde yoğunlaşırken, günümüzde COBIT kurum içi BT
yönetişimin sağlanması için yol göstermektedir.
COBIT 5 Enabler rehberlerinin yanı sıra
Bilgi Güvenliği, Güvence ve Risk Profesyonellerine yönelik profesyonel
rehberlerden oluşmaktadır.
COBIT5 fayda, risk ve kaynak tüketimi
arasındaki dengeyi kurarak optimal seviyede değer yaratılmasını sağlamaktadır. BT
ve alakalı teknolojilere ilişkin yönetim ve yönetişimin sağlanmasına rehberlik
etmektedir. Bunu genele uygun, jenerik ilkeler ve enablerlar ile yapmaktadır.
Bu noktada COBIT 5’in dayandığı 5 prensip vardır; paydaşların ihtiyaçlarını
karşılamak, bütün kurumu baştan uca kapsamak, tek bütünleşik bir çerçeve
oluşturmak, bütünsel bir yaklaşım sergilemek ve yönetim ile yönetişimi ayırmak.
COBIT 5 temel alan ve 37 süreçten oluşmaktadır.
Gelecek vadede COBIT 5’in sektörlere
yönelik rehberlerinin çıkarılmasının hedeflendiğinin paylaşıldığı sunumda ISACA’nın
strateji haritası üzerinde ISACA’nın 2022 stratejisi katılımcılar ile
paylaşılmıştır. Bu bağlamda paydaş ihtiyaçlarına yönelik olarak siber Güvenlik ve
kişisel bilgilerin güvenliği konusuna eğilineceği, BT alanındaki trendlere göre
ihtiyaçlara uygun hizmetlerin sağlanacağı belirtilmiştir. Gelecekte ISACA
değerini artırmaya yönelik olarak vizyoner yaklaşımının COBIT’in alakalı
dokümanları ile iş ve BT entegrasyonu artırarak sağlamayı amaçlamaktadır.
Mr. Ken Vander Wal’ın sunumu Türkiye’de
İstanbul Chapterdan sonra yaklaşık 1,5 yıl öncesinde kurulan Ankara Chapter
üyelerine ve Ankara ikamet eden konuya ilgili katılımcılara ISACA, COBIT5 ve
ISACA’nın gelecek yönünü aktarmak yönünden faydalı bir sunumdu. Katılımcılar
arasında kamu kesimi başta olmak üzere özel sektörden bilişim alanında faaliyet
gösteren yöneticilerin olması da Bilgi Teknolojileri Denetimine yönelik ilginin
her geçen gün arttığını açıkca göstermektedir.
