14.11.2016 tarihli güncelleme: Sınavın uygulanmasında, soru sayısında, Domain ağırlıklarında değişiklikler mevcuttur. Bütün değişiklikleri değerlendirdiğim ve paylaştığım yazıma buradan ulaşabilirsiniz. Sınava hazırlanmak ile ilgili önerilerimi okuduktan sonra güncel bilgiler için güncel yazıma göz atmanızı öneririm.
Geçenlerde ISACA
İstanbul’da CISA Hazırlık Eğitimine ilişkin gelen bir mail Eylül 2013 ayında
yapılan CISA Sınavına ilişkin tecrübe ve anılarımı hatırlamama vesile oldu. Bu
sebeple uzun zamandır aklımda olan sertifika sınavına hazırlanma ve
sertifikasyon sürecine ilişkin blog yazımı yazmaya karar verdim. 2013 yılı için
14 Aralıkta yapılacak sınava ilişkin hazırlık eğitimine ilişkin detayları
buradan bulabilirsiniz.
Bu yazıyı
okuyorsanız şayet yüksek olasılıkla sertifikayı almaya adaysınız. Muhtemelen de
bankacılık ve finans sektöründe denetim, risk ya da iç kontrol alanlarından
birisinde çalışıyorsunuzdur. Gerçi artık çoğu sektörde BT Denetim yüksek öneme
sahip fakat Bankacılık Finans sektöründe yasal mevzuatla da bir adım önde
olduğunu söylemekte fayda var. Faydalı olması düşüncesi ile yazıda süreci detayı
ile anlatmaya çalışacağım.
Öncelikle sınav artık yılda 3
kere yapılıyor. Eskiden Haziran ve Aralık aylarında yapılan sınavlara ek olarak
bir de Eylül ayları eklendi. Tek bir farkla Eylül ayında rutin zamanda yapılan
lokasyonların hepsinde yapılmıyor sınav, liste ise ISACA International web
sayfasında yayınlanıyor. İyi haber bu listede İstanbulun olması. J
Öncelikle kendinizi hazır
hissettiğiniz ve iş yükünüze göre çalışmak için zaman ayırabileceğiniz oturumu
belirleyin ve bu tarihe göre hazırlıklarınızı yapın derim. Sınava erken kayıt
olmanız dahilinde erken kayıt imkanından yararlanıp, daha uygun bir ücretle
kayıt gerçekleştirebiliyorsunuz. Kayıt işlemlerini web sitesi üzerinden
gerçekleştirdikten sonra size detaylı bir mail ile bilgilendirme yapılıyor.
Sınavdan yaklaşık bir ay öncesine kadar da sınava giriş belgeniz mail
adresinize geliyor. Burada dikkat edilecek husus belgenin çıktısının sınav
esnasında, resminizin yer aldığı bir kimlikle birlikte yanınızda olması. İki
belgede de isimlerin aynı olması bir diğer önemli nokta. Sınav günü
tecrübelerimi ayrıca paylaşacağım.
Sınavın yapısından bahsetmek
gerekirse sınav 5 alandan oluşuyor. Bu alanların başarı puanınıza etki eden
ağırlıkları farklı. Alanların isimleri ve ağırlıkları şu şekildedir.
Domain 1
|
The Process of Auditing Information Systems
|
%14
|
Domain 2
|
Governance and Management ıf IT
|
%14
|
Domain 3
|
Information Systems Acquisition, Development and
Implementation
|
%19
|
Domain 4
|
Information Systems Operations, Maintanance and
Support
|
%23
|
Domain 5
|
Protection of Information Assets
|
%30
|
Görüleceği gibi neredeyse yarıdan fazla ağırlık 4. ve 5. Alanlarda. Teknik temelli bir denetçi olarak en sevdiğim
alan Domain 5. Şifrelemelerdi, politikalardı okurken zaman nasıl geçiyor
anlamıyorsunuz bile. Denetim tarafından geliyorsanız teorik anlamda öğrenmeniz
gereken ciddi konular bu alanda sizi bekliyor.
Alanları hızlıca değerlendirirsek
ilk domain bilgi teknolojilerin denetimine ilişkin genel kavramlar, yıllık
denetim nasıl yapılır, yıllık planlama, denetim yaparken dikkat edilecek hususlardan
tutun da denetim yöntemlerine kadar temel bilgileri içeriyorlar. Alanda yeni
olan ve teknik temelli olan arkadaşların zorlandıkları kısımlardan birisi demek
yanlış olmayacaktır. Teftiş kökenli üstadların ise normal teftişle örtüştüğü
için zorlanmayacakları bir alan. İkinci alan ise COBIT 5’le birlikte de
üzerinde önemle durulan yönetim ve yönetişim kavramlarını detaylandırıyor. Üçüncü
kısım hizmet alımları, yazılım geliştirme süreçleri, uyarlamalarda denetim gibi
konulara değiniyor. Domain 4 rutin operasyonlar, bakım ve destek
faaliyetlerinin tanımları ve yapılacak denetimleri örnekliyor. Son alan ise
Bilgi varlıklarının güvenliğine yönelik detaylı bir alan. Politikalar,
güvenliğe yönelik teknoloji ve çözümler ve bu alanların denetlenmesine ilişkin
başlıkları içeriyor. Güvenlik ilgi alanınız ise keyif alacaksınız.
Gelelim çalışma kısmına. Herkesin çalışma
alışkanlıkları ve öğrenme yöntemleri farklıdır elbette. Bu sebeple genel olacak
hususları paylaşıyor olacağım. Bu sınava ilişkin bir gerçek ise bol okumanız ve
çalışmanızın gerektiği. Sınava ilişkin ISACA kaynaklarının yanı sıra çeşitli
kitap evlerinden yayınlanmış çeşitli kaynaklar da mevcuttur. Öncelikle ISACA
kaynaklarını elbette öneririm. Dilini çok resmi buluyorum, örneklerle
açıklanması daha işime gelir, zamanım da oldukça boldur diyebiliyorsanız diğer
kaynaklara bakabilirsiniz. Fakat bu işin olmazsa olmazı CISA Review Manual 201X
olacaktır sizin için. ISACA kaynaklarına şu adresten ulaşabilirsiniz.
ISACA kaynaklarını tanıtmak
istersek CISA Review Manual öncelikle okumanız gereken kaynak. Mümkünse
kavramları genel öğrenmek üzere okuduktan sonra ikinci gözden geçirme ile
kavramları iyice oturtabilirsiniz. Bölümlerin sonundaki örnek sorular ile
konuları pekiştirebilirsiniz.
İkinci önemli kaynak ise CISA
Practice Question Database. Sınavın soru yapısına alışmak ve okuduğunuz
konuları özümsemek adına önemli bir kaynak. Yukarıda bahsettiğimiz alanlara
ilişkin 1200 civarında soru mevcut bu kaynakta. Sınava örnek olabilecek bir
adet de 200 soruluk deneme sınavı. Sertifikasyona yönelik denetim mantığını
daha iyi oturtmak adına şiddetle öneririm.
Bu kaynakların yanı sıra CISA
Review Questions, Answers & Explanations 2013 Supplement yeni 100 adet
sorunun yer aldığı örnek bir soru kitapçığı gibi düşünebilirsiniz. Ben
çalışırken kullanmadım. Daha da çok soru çözmek istiyorum diyorsanız faydalı
olacaktır eminim.
ISACA’nın resmi kaynaklarına ek
olarak aklıma gelen David Cannon tarafından yazılan Study Guide. Şu ilk
sayfasında Deniz Feneri resmi olan. 2011 yılında yazılmış bu kitabın üçüncü
baskısına ulaşmak mümkün. Bu kitap Review Manual kadar faydalı olur mu derseniz
örneklerle bazı konulara açıklık getiriyor kısmına katılırım. Bol vakti olanlar
için ek kaynak olabilir diye düşünüyorum. Kavramları detayı ve bazı yerlerde
örnekleri ile iyi açıklamaktadır. Bir de Peter H Gregory tarafından 2010
yılında yazılmış, McGraw Hill yayını olan All-in-one CISA Guide isimli bir
kitap mevcut. Lakin benim pek inceleme ve bakma şansım olmamıştı.
Kendi imkanlarınızla çalıştığınız,
domainleri oturttuğunuza emin olduktan sonra şiddetle tavsiye edebileceğim
diğer bir uygulama ISACA İstanbul Chapter tarafından verilen CISA Hazırlık Kursları.
5 muhteşem gün sonrasında Kaya Kazmirci ve Murat Lostar kafanızda kalan soru
işaretlerini ve kavram kargaşalarını bir çırpıda çöpe atıyor. 5 gün süren
eğitimlerde 5 domaine hızlıca değiniliyor. Önemli ipuçları paylaşılıyor.
Sorular üzerinden geçiliyor. Eğitim bittikten sonra farkını gerçekten
anlıyorsunuz. Eksik olmasınlar bizi 5 gün boyunca en güzel şekliyle ağırladılar
ve tecrübelerinden istifade etmemizi sağladılar. Bu eğitimleri ayrıcalıklı
kılan ise bu iki değerli insanın sektör tecrübelerini paylaşmaları konuları
birebir yaşadıkları örnek olaylar üzerinden somutlaştırmaları.
Sonrasında geldik çattık sınav
gününe. Tatlı bir heyecan duyuyor insan. Eğitim sistemimiz gereği ömrümüz
sınavlar ile geçse de CISA bir farklı. 4 saat ve 200 sorudan oluşan bir
sınav. Tıpkı KPSS gibi soru kitapçıkları ve optik formlar üzerinden bizlerin yabancılık çekmeyeceği şekilde yapılıyor. Aynı salonda ISACA
sertifika sınavlarının hepsi yapılıyor. Benim girdiğim sınav Kozyatağı'nda bir
otelde yapılmıştı. Merkezden kulak tıkaçlarına kadar detaylar
düşünülmüştü. Sınav esnasında makul sürelerde ihtiyaçlarınıza yönelik giriş çıkış yapabiliyorsunuz.
Günümüzde Türkiyede yapılan sınavlardaki gibi her adaya potansiyel kopyacı
muamelesi ile karşılaşmıyorsunuz. Rahat bir ortamda oluyor, bitiyor her şey.
Sınav bitince de ayrı bir evre
başlıyor. Sonuçların açıklanmasını beklemek. Artık sınavların da sıklaşması ile
birlikte sonuçların açıklanması tam 5 hafta alıyor. Size her alan için
puanlarınızı içeren bir mail geliyor. Sonuç olumlu ise içiniz içinize sığmıyor,
tadına doyum olmuyor J
Sınavı geçtiniz ya gerisi kolay. Sertifika
sahibi olmak için toplamda beş yıl BT denetimi tecrübesine sahip olmanız
gerekiyor. Lisans ve/veya Yüksek Lisans eğitiminin 2 yıl, üniversitede okutman
olarak görev yapılmasının her hangi bir üst sınır olmaksızın her iki yıl başına
1 yıl, BT denetimi harici denetim tecrübesinin maksimum 1 yıl ikame etmesi ile
toplamda beş yıl tecrübe dolduran CISA adaylarının başvuruları merkezi olarak değerlendiriliyor.
İkameler değerlendirilirken adayın en az 2 yıl BT denetim, kontrol, risk ya da
bilgi güvenliği alanlarında çalışması gerekiyor.
Doldurduğunuz bir form ile tecrübelerinizi kanıtlamanız ve incelemeye sunmanız gerekiyor. Formun incelenmesi ise maksimum 8 haftalık bir süreç.
Sertifikayı edindikten sonra ise
CPE’ler ile sertifikayı yaşatmanız gerekiyor. Ömür boyu öğrenme ve sürekli
yenilenme yaklaşımı ile katıldığınız aktiviteler, toplantılar, eğitimler, ISACA
İstanbul tarafındaki çalışma gruplarındaki faaliyetleriniz CPE olarak
değerlendiriliyor. Burada toplamanız gereken ise yıllık minimum 20 puan olmak
üzere üç yıl için 120 puan. ISACA International sitesi üzerindeki webinarları
dinleyip, 3-5 soruluk soru kağıtlarında başarı göstermeniz durumunda da CPE
kazanıyorsunuz.
CISA sertifikasını farklı kılan ISACA
şemsiyesi altında Dünya çapında Bilgi Teknolojileri Yönetişim ve Denetim alanında
çalışan profesyonellerin bir araya getirerek oluşturdukları sinerji ve değerle
sunulan sürekli yenilenme. ISACA üzerinden yayınlanan denetim rehberleri,
makaleler ve standartlar sistematik çalışmanın ve on binlerce IT
profesyonelinin deneyimlerinin ürünü. Dünyanın dört bir yanındaki chapterlarda
profesyonellerin bir araya geldiği etkinlikler ve paylaşım ortamları ise
cabası. CPE kazanmanın önemli bir yolu ISACA Chapterlar. İstanbul Chapter için
buradan, Ankara Chapter için buradan lütfen.
Geneliyle anlattıktan ve konudan
konuya bilgi paylaştıktan sonra özetlemek faydalı olacaktır. CISA’yı almanın ön
koşulu olan sınavı geçmenin yolu sistematik çalışmak, bol bol okumak ve soru
çözmek. En önemlisi ISACA’nın denetim mantığını iyice anlamak. Çünkü Türkiyedeki
uygulamalar ve iş yaşamında karşılaştığınız örnekler ISACA’nın mantığı ile
örtüşmediği noktada sizi yanıltabiliyor. Sınava giriyorsanız başarılar
diliyorum. Umarım yazı faydalı olmuştur.
