Bilişim Sistemleri Denetimi ve Kontrolü Derneği (ISACA)

Gün geçtikçe artan uluslararası ekonomik bağımlılık, küresel ölçeğe yayılan entegre ticaret ve elektronik altyapı; faaliyetlerin hızı ve kapasitesi üzerindeki olumlu ve genişleyici etkisinin yanında risklerin daha sofistike, yaygın ve etkin hale gelmesine neden olmaktadır. Geçmiş yıllarda yaşanan büyük finansal yolsuzluklardan kaçınmak için, doğru bilgi sitemleri ve finansal raporlama kurmanın güvencesi olan bilişim teknolojilerinin kontrol ve denetimi, önemini korumaya hatta arttırmaya devam etmektedir.¹⁶⁰

Bugün bilişim teknolojisi (BT) denetimi; standartları, metodolojisi ve etik kuralları küresel ölçekte yaygın bir organizasyon olan Bilişim Sistemleri Denetim ve Kontrolü Derneği (ISACA)¹⁶¹ tarafından belirlenen teknik, yöntem, amaç ve kalite standartlarına göre yapılan, denetim kuralları ve özgün amaçları olan, karakteristik niteliklere sahip sertifikalı meslek halini almıştır.¹⁶²

ISACA, 1967’de bilgisayar sistemleri denetimi işi ile uğraşan küçük bir grup tarafından, merkezi bir bilgi kaynağı ve rehberlik ihtiyacına cevap olarak tasarlanmış ve 1969’da Elektronik Bilgi İşlem Denetçileri Derneği (EDPAA) adıyla Los Angeles’da

160 Sandra Seft ve Frederick Gallegos, Information Technology Control and Audit, Third Edition, CRC Press, 2009, s.3 .

161 Information Systems Audit and Control Association.

162 Seft ve Gallegos, s.3-4.

kurulmuştur. Söz konusu dernek 1994 yılında Bilişim Sistemleri Denetim ve Kontrolü Derneği adını alarak yoluna devam etmiştir.¹⁶³

Günümüzde ISACA; bilişim sistemlerinin güvenliği, bilişim sistemleri ile ilgili riskler, sertifikasyon, eğitim, kurumsal yönetişim gibi alanlarda faaliyet göstermekte olup 182 ülkede 100.000’den fazla üyeye sahiptir. ISACA’nın yayınladığı bilgi sistemleri denetimi ve bilgi sistemleri kontrolü standartları tüm dünyadaki uygulayıcılar tarafından benimsenmiştir.

ISACA tarafından verilen sertifikalar şunlardır:¹⁶⁴

Bilişim Sistemleri Denetçisi Sertifikası (CISA – Certified Information Systems Auditor)

Bilişim Güvenliği Yöneticisi Sertifikası (CISM – Certified Information Security Manager)

Kurumsal Yönetişim Bilişim Teknolojisi Sertifikası (CGEIT – Certified in the Governance of Enterprise IT)

Bilgi Sistemleri Kontrol ve Risk Sertifikası (CRISC – Certified in Risk and Information Systems Control)

CISA (Bilişim Sistemleri Denetçisi Sertifikası); ülkemizde de geçerli kabul edilmektedir. 1978 yılında standartları belirlenmek suretiyle oluşturulmuş olan CISA sertifikasına 162 ülkede 90.000’in üzerinde kişi sahiptir. Bu sertifika, bilgi teknolojisi ve iş sistemlerinin denetim, kontrol, izleme ve değerlendirmesini yapanlar için dünyaca kabul edilen bir yeterlilik standardıdır.

CISM (Bilişim Güvenliği Yöneticisi Sertifikası); 2003 yılında verilmeye başlanmış olup, 19.000’in üzerinde profesyonel bu sertifikaya sahiptir. CISM sertifikası uluslararası güvenlik uygulamalarını teşvik eder. Diğer güvenlik sertifikalarının aksine, CISM yönetici odaklı olup, kurumsal bilgi güvenliği uygular. CISM, kişinin sadece

163 ISACA and IT Governance Institute, 2011 Annual Report, s.20.

164 ISACA and IT Governance Institute, s.3-20.

bilgi güvenlik uzmanı olmadığını aynı zamanda bilgi güvenlik programını geliştirme ile yönetim bilgisi ve deneyimine de sahip olduğunu belirtir.¹⁶⁵

ISACA tarafından 2008 yılından itibaren verilmeye başlanan diğer bir sertifika ise kamudaki BT güvenliği ile ilgili olan CGEIT (Kurumsal Yönetişim Bilişim Teknolojisi Sertifikası) sertifikasıdır. 5.000’in üzerinde profesyonel bu sertifikaya sahiptir. Bu sertifika yönetimdeki kritik konuları tartışma ve kişinin bilgi, beceri ve iş deneyimine dayalı stratejik uyumu konusunda güvenilirlik sağlar.¹⁶⁶

CRISC (Bilgi Sistemleri Kontrol ve Risk Sertifikası); risk tanımlama, risk değerlendirme, risk yanıtlama, risk izleme, bilgi sistemleri tasarımı ve kontrolü gibi konularda tecrübesi olan BT profesyonelleri için tasarlanmıştır. Bu sertifika 2010 yılından itibaren verilmeye başlanmış olup, 15.000’nin üzerinde profesyonel bu sertifikaya sahiptir. CRISC, bir kuruluş veya finans kurumundaki BT profesyonelleri ve diğer çalışanların risk yönetim yeterliliklerini değerlendirmek için kullanılabilir olan en güncel değerlendirmedir. BT risklerinin azaltılmasına ve ödüllerin artmasına yardımcı olur. CRISC sertifikalı profesyonel, organizasyon için daha kapsamlı ve etkili bir risk yönetimi yapılmasına yardımcı olur ve BT riskinin kabul edilebilir düzeye çekilmesini sağlar. Ayrıca uygun bilgi sistem denetimini yapmak için gerekli teknik bilgiye de sahiptir. CRISC, aynı zamanda BT riski ve örgüt üzerindeki etkisi ile ilgili olarak ortak bir dil ve bakış açısı oluşmasına yardımcı olur.¹⁶⁷

ISACA’nın en önemli faaliyetlerinden biri 1992 yılından itibaren geliştirmeye başladığı ve zaman içinde güncelleyerek yeniden yayınladığı, Bilgi ve İlişkili Teknolojiler Kontrol Hedefleri (COBIT)¹⁶⁸ dir. Bilişim teknolojisi organizasyonlar için önemli hale geldikçe bunu etkili ve verimli bir şekilde kontrol etmek de o derece önemli hale gelmektedir.¹⁶⁹

COBIT, COSO İç Kontrol Modeli esas alınarak, yazılım mühendisliğinin imkânlarıyla BT sisteminin yönetimi ve kontrolü konusunda oluşturulmuş bir modeldir.

165 ISACA and IT Governance Institute, s.3-20.

166 ISACA and IT Governance Institute, s.3-20.

167 ISACA and IT Governance Institute, s.3-20.

168 Control Objectives for Information and Related Technology.

169 Seft ve Gallegos, s.196.

ISACA tarafından yayınlanmış bulunan bilgi sistemleri denetimi ve bilgi sistemleri kontrolüne ilişkin bu standartlar tüm dünyada genel kabul görmüştür.

COBİT’in oluşturulması dört nedene dayandırılmıştır;¹⁷⁰

Bilgiye ve bilgi sağlayıcı sistemlere artan bağımlılık.

Artan güvenlik açıkları, bilişim savaşları ve siber tehditler gibi yaygın riskler.

Halihazırdaki ve gelecekteki bilişim yatırımlarının kapsamının genişliği ve maliyetinin fazlalığı.

Teknolojinin organizasyon ve iş yaşamını değiştiren, yeni fırsatlar sunan ve maliyetleri azaltan potansiyele sahip olması.

COBIT uygulamaları aşağıdaki dört ana alanda kendini göstermektedir;¹⁷¹ 1. Planlama ve organizasyon: Bu bölüm, strateji ve taktikleri içerir ve

BT’nin iş hedeflerine ulaşılmasına en iyi katkıda bulunabileceği yöntemlerin tanımlanmasını amaçlar.

2. Tedarik ve uygulama: BT stratejisini gerçekleştirmek için; BT çözümlerinin tanımlanması, geliştirilmesi veya edinilmesi, uygulanması ve iş süreçlerine entegre edilmesi gerekir. İlave olarak, bu sistemler için yaşam çevriminin devam ettiğinden emin olmak için, mevcut sistemlerdeki değişiklikler ve mevcut sistemlerin sürdürülmesi de bu bölümün kapsamı içindedir.

3. Teslim ve destek: Bu bölüm, geleneksel uygulamalardan güvenlik ve eğitime kadar geniş bir alanda gerekli hizmetlerin gerçek zamanlı sunuşuyla ilgilidir.

170 Seft ve Gallegos, s.196-197.

171 Seft ve Gallegos, s.197-198.

4. İzleme: Bütün BT süreçlerinin kalitesinin ve kontrol koşullarına uyumunun zaman içinde düzenli olarak incelenmesi ve değerlendirilmesi gerekir. Bu bölüm, kurumsal kontrol sürecinde yönetimin yaptığı izleme ile kontrolü ve ayrıca, iç ve dış denetimle sağlanan veya alternatif kaynaklardan alınan bağımsız güvenceyi irdeler.