IDENTIFIKASI PENILAIAN DAN MITIGASI RISI (1)
IDENTIFIKASI, PENILAIAN, DAN MITIGASI RISIKO KEAMANAN
INFORMASI PADA SISTEM ELECTRONIC MEDICAL RECORD
(STUDI KASUS : APLIKASI HEALTHY PLUS MODUL REKAM
MEDIS DI RSU HAJI SURABAYA)
Dea Anjani1), Dr. Apol Pribadi Subriadi, S.T, M.T 2) Anisah Hediyanti, S.Kom, M.Sc3)
Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
e-mail: [email protected]), [email protected] 2) [email protected])
ABSTRAK
Rumah Sakit Umum Haji adalah institusi sarana pelayanan kesehatan milik Pemerintah Provinsi Jawa Timur yang tidak
tidak hanya berfungsi sosial, tetapi telah berkembang menjadi unit pelayanan kesehatan yang harus bisa mengoptimalkan
penndapatannya dengan jalan meningkatkan dan mengembangkan jenis-jenis pelayanan yang optimal sesuai dengan
kebutuhan masyarakat. Untuk mencapai tujuan dan melaksanakan fungsi Rumah Sakit Umum Haji, diperlukan adanya
suatu manajemen risiko untuk mengarahkan dan mengendalikan organisasi dalam mengelola risiko yang mungkin terjadi.
Rumah Sakit Umum Haji telah mengimplementasikan Teknologi Informasi sebagai pendukung keberlangsungan bisnisnya.
Implementasi Teknologi Informasi(TI) di Rumah Sakit Umum Haji selain memberikan keuntungan juga menimbulkan
berbagai ancaman timbulnya risiko. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi
risiko yang berkaitan dengan aplikasi healthty plus yang merupakan Electronic Medical Record (EMR) system yang
digunakan Rumah Sakit Umum Haji berdasarkan metode OCTAVE. Dalam perjalanannya, penerapan rekam medis
elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit
menjadi terganggu. Metode analisis risiko yang digunakan dalam tugas akhir ini adalah metode octave yang merupakan
metodologi yang berfungsi untuk meningkatkan proses pengambilan keputusan terhadap perlindungan dan pengelolaan
sumberdaya di suatu informasi berdasarkan penilaian risiko. Kontribusi tugas akhir ini berfokus pada memberikan solusi
penanganan risiko yang mungkin terjadi pada aplikasi healthy plus yang digunakan di RSU Haji Surabaya. Harapan dari
penelitian tugas akhir adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk aplikasi healthty plus yang
dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR Sistem di Rumah Sakit Umum
Haji Surabaya.
Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).
1. PENDAHULUAN
Teknologi informasi merupakan bagian yang tidak
terpisahkan dari suatu perusahaan karena dapat membantu
meningkatkan efektifitas dan efisiensi proses bisnis
perusahaan. Tetapi untuk mencapai hal tersebut, diperlukan
adanya pengelolaan TI yang baik dan benar agar
keberadaan TI mampu menunjang kesuksesan organisasi
dalam pencapaian tujuannya. Begitu pula dengan sektor
kesehatan, rumah sakit sebagai penyelenggara layanan
kesehatan bertumpu pada informasi. Oleh karena itu rumah
sakit menggunakan TI untuk mengelola informasi yang
didapatkan dari pasien dan menyajikan informasi untuk
pasien dalam bentuk rekam medis elektronik .
Salah satu rumah sakit yang menggunakan teknologi
informasi sebagai pendukung keberlangsungan bisnis
adalah Rumah Sakit Umum Haji Surabaya. RSU Haji
Surabaya menggunakan TI untuk mengelola informasi yang
didapatkan dari pasien dan menyajikan informasi untuk
pasien dalam bentuk rekam medis. RSU Haji Surabaya
menggunakan dua sistem rekam medis yaitu rekam medis
dalam bentuk dokumen tertulis dan dalam bentuk aplikasi
yaitu healthty plus. Data-data kesehatan yang terdapat di
dokumen rekam medis diinputkan ke dalam rekam medis
elektronik. Hal ini tentunya akan menyebabkan ketidakkonsistenan data dan data menjadi tidak lengkap, karena
belum tentu semua data-data penting terkait pasien yang
terdapat di dalam dokumen rekam medis juga ada pada
rekam medis elektronik.
Dalam perjalanannya, penerapan rekam medis elektronik
tentu saja mempunyai beberapa permasalahan dan
hambatan yang menyebabkan proses bisnis rumah sakit
menjadi terganggu. Misalnya, data loss, data corrupt dan
penyalahgunaan hak akses. Hal ini tentunya akan
menyebabkan data-data penting terkait pasien hilang dan
dapat disalah gunakan oleh pihak yang tidak bertanggungjawab yang dapat mencoreng nama baik RSU Haji
Surabaya. Rekam medis elektronik juga dapat menjadi
masalah bagi dokumen rekam medis karena ada
kemungkinan ketidak-konsistenan data dan ketidaklengkapan data. Adanya kemungkinan munculnya
permasalahan-permasalahan terkait penerapan teknologi
informasi itulah yang mendasari pentingnya analisis risiko
terkait penerapan teknologi informasi di RSU Haji
Surabaya. Dengan melakukan analisis risiko-risiko TI di
RSU Haji Surabaya, pihak rumah sakit dapat mengetahui
risiko-risiko apa saja yang mungkin akan dihadapi di
kemudian hari. Dengan mengetahui risiko-risiko tersebut,
pihak rumah sakit dapat membuat langkah-langkah
penanganan terhadap masing-masing risiko. Selain itu,
pihak rumah sakit akan lebih siap dalam menghadapi
dampak yang muncul apabila risiko tersebut terjadi.
Oleh karena itu tujuan dari penelitian ini adalah untuk
melakukan identifikasi risiko yang dapat terjadi di Rumah
Sakit Umum Haji Surabaya terkait dengan aset TI yang
digunakan dalam system Electronic Medical Record (EMR)
dan memberikan masukan atau rekomendasi kepada pihak
rumah sakit bagaimana langkah mitigasi risiko yang tepat
sesuai dengan hasil identifikasi risiko yang akan muncul
terkait system EMR di Rumah Sakit Umum Haji Surabaya.
Harapan dari penelitian tugas akhir ini adalah mampu
menghasilkan sebuah dokumen mitigasi risiko untuk
Electronic Medical Record (EMR) yang dapat digunakan
sebagai pedoman dalam menangani permasalahan yang
terjadi pada EMR di Rumah Sakit Umum Haji Surabaya
sehingga dapat dipastikan teknologi informasi memberikan
nilai bisnis dan mendukung tujuan rumah sakit.
2. TINJAUAN PUSTAKA
2.1 Risiko
Risiko dalam TI merupakan sebuah ancaman yang
diberikan yang akan mengeksploitasi kerentanan dari
aset atau kumpulan aset. Hal ini dapat menyebabkan
kerusakan dari organisasi. [4] Pengukuran Risiko TI ini
dilakukan berdasarkan kombinasi probabilitas dan
dampaknya..
2.2 Diagram fishbone
Fishbone adalah alat (tool) yang menggambarkan
sebuah cara yang sistematis dalam memandang
berbagai dampak dan penyebab yang berkontribusi
dalam berbagai dampak tersebut. Dalam penelitian
ini,
diagram
fishbone
digunakan
untuk
mempertimbangan risiko dari berbagai penyebab dan
sub penyebab dari dampak tersebut, termasuk
risikonya secara global.
2.3 Risk Breakdown Structure (RBS)
Risk Breakdown Structure adalah suatu aktifitas
pengelompokkan risiko ke dalam suatu komposisi
hirarki risiko organisasi yang sistematis dan tersturktur
sesuai dengan struktur organisasi atau proyek. Dalam
tugas akhir ini, RBS digunakan untuk mengelompokan
risiko berdasarkan akar permasalahannya ataupun
berdasarkan kategori yang dianggap penting dapat
membantu meningkatkan efektivitas penaggulangan
resiko.
1. Fase 1 Build Asset-Based Threat Profiles
Fase ini merupakan tahapan untuk membuat profil
ancaman (threat profile) dengan cara menentukan aset
yang penting bagi organisasi dan kebutuhan
pengamanannya. Penentuan aset yang penting dilakukan
melalui pengumpulan informasi tentang aset, kebutuhan
keamanan, ancaman, dan kekuatan serta kelemahan
organisasi dari beberapa tingkatan manajemen mulai dari
senior manajer, operasional, sampai dengan staf. Hasil
dari fase ini adalah pendefinisian kebutuhan keamanan
informasi
2. Fase 2 Identify Infrastructure Vulnerabilities
Fase ini melihat vulnerability secara teknis yang terjadi
pada aset kritis dan komponen infrastruktur yang
mendukung aset tersebut.
3. Fase 3 Develop Security Strategy and Plans
Pada proses ini melibatkan pengembangan, pengkajian
dan penerimaan strategi proteksi organisasi secara
menyeluruh, rencana mitigasi untuk risiko terhadap
critical asset.
2.5 Metode
FMEA
Gambar 2. 4 Tahapan OCTAVE [7]
Modes
and
Effect
Analysis)
FMEA (Failure Modes and Effect Analysis)
merupakan suatu metode yang digunakan untuk
mengidentifikasi dan menganalisa suatu kegagalan
beserta
akibatnya.
Kegagalan
digolongkan
berdasarkan dampak yang diberikan terhadap
kesuksesan suatu misi dari sebuah system. Tahapan
dari penilaian menggunakan FMEA adalah sebagai
berikut:
1. Identifikasi sistem dan elemen sistem.
2. Mengidentifikasi kegagalan dan efeknya
3. Menentukan tingkat keparahan efek dari suatu
kegagalan (Severity)
Rank
10
Effect
Catastrophic/
Dangerous High
9
Extremly High
8
Very High
7
High
6
Moderate
5
Low
4
Very Low
3
Minor
2
Very Minor
2.4 Metode OCTAVE (Operationally Critical Threat,
Asset, and Vulnerability Evaluation)
OCTAVE adalah metodologi untuk mengidentifikasi,
memprioritaskan, dan mengelola risiko keamanan
informasi. OCTAVE memiliki 3 tahap dalam
melakukan evaluasi risiko, dan berikut merupakan
gambarannya serta penjelasannya : [7]
(Failure
Severity of Effect
Sumber daya tidak tersedia dan kegagalan
tidak dapat dikendalikan atau kegagalan
dapat melukai staff atau pelanggan
Sumber daya tidak tersedia, tetapi
kegagalan dapat dikendalikan atau
kegagalan menyebabkan proses bisnis
tidak dapat beroperasional
Sumber daya tidak tersedia, tetapi
kegagalan dapat dikendalikan
Sumber daya tersedia atau kegagalan
menyebabkan efek yang besar terhadap
kebijakan
Sumber daya tersedia atau kegagalan
memiliki efek yang besar terhadap proses
bisnis
Sumber daya tersedia atau kegagalan
menyebabkan efek yang besar terhadap
prosedur
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
kebijakan
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
proses bisnis
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
prosedur
1
None
Kegagalan tidak menyebabkan efek
gangguan yang mempengaruhi proses
bisnis
4. Menentukan Occurrence
Occurrence menyatakan tingkat frekuensi kegagalan
yang terjadi karena suatu penyebab yang
dikuantifikasi dengan angka 1 (tingkat kejadian
rendah) hingga 10 (tingkat kejadian sering).
5. Menentukan Deteksi (Detection)
Tingkat deteksi digunakan untuk mendeteksi
kegagalan yang dapat dikuantifikasikan dengan angka
1 hingga 10.
6. Menghitung RPN
RPN mengkuantifikasikan tingkat risiko dari suatu
kegagalan. RPN didapatkan dari perkalian antara nilai
severity, occurance, dan detection.
RPN Calculation
< 20
< 80
< 120
< 200
> 200
Level
Very Low
Low
Medium
High
Very High
2.6 ISO 27002
ISO 27002 digunakan sebagai pedoman dan prinsipprinsip umum untuk memulai, melaksanakan,
memelihara, dan meningkatkan manajemen keamanan
informasi dalam sebuah organisasi. Dalam tugas akhir
ini, ISO 27002 digunakan sebagai pedoman untuk
melakukan mitigasi risiko dalam pengendalian dan
kontrol keamanan indormasi.
3. METODE PENELITIAN
3.1. Penyiapan perangkat wawancara
Pada proses penyiapan perangkat wawancara
dilakukan interview atau wawancara, yang akan
dilaksanakan terhadap staf SIM-RSU Haji Surabaya
selaku perwakilan yang memiliki wewenang dalam
tahap perencanaan dan teknis khususnya mengenai
pengembangan aplikasi healthty plus di RSU Haji
Surabaya. Pada proses pembuatan daftar pertanyaan
wawancara ini tentunya menghasilkan data hasil
wawancara yang nantinya akan digunakan untuk
menggali data penelitian.
3.2. Pengidentifikasian pengetahuan management
Pada
metode
OCTAVE
dilakukan
pengidentifikasian pengetahuan senior management,
operasional, staf dan staf TI. Untuk menggali
informasi dari bagian operasional, maka peneliti
menggunakan kuisioner dan interview protocol
dengan kepala instalasi rekam medis. Untuk
menggali informasi dari bagian staf, maka peneliti
menggunakan kuisioner dan interview protocol
dengan staf casemix instalasi rekam medis. Untuk
menggali informasi dari bagian staf TI, maka
peneliti menggunakan kuisioner dan interview
protocol dengan manajer TI di instalasi SIM-RS.
3.4. Pengidentifikasian komponen utama
Proses ini berfokus untuk menggali informasi yang
lebih detail terkait Electronic Medical Record
(EMR). Pada proses ini mengidentifikasi proses
bisnis dan aset informasi yang didukung dengan
EMR. Selain itu pada proses ini juga dilakukan
penggalian ancaman terhadap aset-aset kritis yang
terkait dengan aplikasi healthy plus modul rekam
medis setelah itu akan didapatkan profil ancaman
terhadap asset kritis
3.5. Pengidentifikasian kerentanan asset
Setelah mendapatkan profil ancaman asset kritis
maka proses yang akan dilakukan adalah
menganalisa kelemahan atau kerentanan dari asetaset tersebut secara teknologi dan organisasi.
Kerentanan adalah kondisi tidak adanya prosedur
keamanan, kontrol teknik, kontrol fisik, atau kontrol
lain yang dapat dieksploitasi oleh ancaman.
Kerentanan berkontribusi mengambil risiko karena
memungkinkan ancaman untuk membahayakan
system. Kerentanan asset akan digunakan sebagai
refrensi untuk membuat diagram fishbone dan
potensial causes pada risk register.
3.6. Pengidentifikasian risiko
Identifikasi risiko dibuat berdasarkan daftar
ancaman yang terjadi pada asset-aset yang telah
diidentifikasikan
sebelumnya.
Pada
proses
pengidentifikasian risiko terdapat beberapa proses
didalamnya yaitu
a) Pengidentifikasian potensial causes
Potensial causes merupakan penyebab dari
timbulnya risiko yang terjadi dan didapatkan
dari identifikasi kerentanan dan ancaman dari
asset-aset informasi rumah sakit yang penting
yang telah dipaparkan sebelumnya
b) Pengidentifikasian Risk Breakdown Structure
(RBS)
Dalam tugas akhir ini, RBS digunakan untuk
mengelompokan risiko berdasarkan akar
permasalahannya ataupun berdasarkan kategori
yang dianggap penting dapat membantu
meningkatkan efektivitas penaggulangan resiko
c) Risk Register
Risk register adalah tabel yang berisi daftar
potensi kejadian-kejadian risiko yang telah
diidentifikasi beserta dengan penyebabnya
(potensial causes), probabilitas dan dampak
(potensial effects) dari setiap kejadian risiko
tersebut bagi organisasi
d) Diagram Fishbone
Diagram fishbone akan dibuat berdasarkan
risiko yang terjadi terhadap asset-aset informasi
yang terdapat di SIM-RS dan instalasi Rekam
Medis yang terkait dengan aplikasi healthy plus
modul rekam medis RSU Haji Surabaya.
3.7. Penilaian risiko dengan metode FMEA
Pada tahap ini dilakukan penentuan tingkat severity,
occutance, dan detection. Tahapan ini dilakukan
dengan mendeskripsikan informasi secara lebih
dalam terhadap risiko yang telah diidentifikasi.
Hasil dari tahap ini adalah nilai severity, occurance
dan detection pada setiap proses risiko yang
nantinya akan digunakan untuk menghitung RPN
(Risk Priority Number).
3.8. Mitigasi Risiko
Proses
terakhir
adalah
proses
pemberian
rekomendasi. Melalui hasil penelitian yang di dapat
maka dapat diberikan rekomendasi mitigasi risiko
berdasarkan ISO 27002. Rekomendasi tersebut dapat
membantu rumah sakit dalam menghadapi risiko
yang ada maupun yang akan datang untuk
meningkatkan kualitas sistemnya.
i
Healthy
Plus
modul
Rekam
Medis
an
Fasilitas
Umum
Risiko
Internal
4. HASIL DAN ANALISIS
4.1. Daftar asset kritis
Penentuan aset yang penting dilakukan melalui
pengumpulan informasi tentang aset, kebutuhan
keamanan, ancaman, dan kekuatan serta kelemahan
organisasi dari beberapa tingkatan manajemen mulai
dari senior manajer, operasional, sampai dengan staf.
Kelompok Aset
Aset kritis
Alasan/Sebab
Data-data terkait pasien sangat
Data Pasien
Data
riwayat dibutuhkan oleh tenaga medis
dalam pengambilan keputusan
penyakit
tindakan apa yang harus dilakukan
pasien
untuk pasien tersebut.
Data rujukan.
Jaringan yang dapat mengakses
Jaringan
informasi, seperti mengakses
database rekam medis pasien.
Aplikasi
Healthy
Plus modul Rekam
Medis
Dokumen
Medis
Rekam
SDM
Server
PC
Aplikasi pendukung kegiatan di
RSU Haji Surabaya memiliki
banyak modul yang saling
terintegrasi. Salah satu modul
yang paling penting adalah rekam
medis yang menghimpun semua
data-data terkait pasien yang
dibutuhkan oleh modul-modul
lainnya.
Dokumen penting yang berisi
data-data terkait pasien yang
dibutuhkan sebagai inputan untuk
aplikasi healthy plus modul rekam
medis.
Suatu aset yang paling penting
didalam sebuah perusahaan karena
SDM yang handal , maka semua
proses bisnis dapat berjalan lancer
Komputer yang menyediakan
sumberdaya dan mengendalikan
akses didalam suatu jaringan
Hampir
semua
stakeholder
bergantung pada PC. Karena
mereka menggunakannya untuk
mengakses informasi penting
4.2. Hasil identifikasi Risk Breakdown Structure
(RBS)
Dalam tugas akhir ini, RBS digunakan untuk
mengelompokan
risiko
berdasarkan
akar
permasalahannya ataupun berdasarkan kategori yang
dianggap penting dapat membantu meningkatkan
efektivitas penaggulangan resiko. Pada table dibawah
ini, telah diidentifikasi bahwa terdapat sebanyak 13
risiko yang memiliki potensial mengancam asset-aset
informasi RSU Haji Surabaya.
LEVEL
0
RBS
untuk
Aplikas
LEVEL
1
Risiko
Eksterna
l
LEVEL
2
Bencana
Alam
Ganggu
LEVEL 3
Kebakaran
RBS
CODE
RBS-01
Cybercrime
RBS-02
Operatio
nal
Power Failure
Pencurian
media/dokum
en penting
Hardware
Failure
Software
Failure
Network
Failure
Modifikasi
dan pencurian
database dari
user internal
Backup data
Failure
Human/Techn
ician error
Pelanggaran
terhadap
peraturan atau
regulasi yang
berlaku
Penyalahguna
an hak akses
Memory full
RBS-03
RBS-04
RBS-05
RBS-06
RBS-07
RBS-08
RBS-09
RBS-10
RBS-11
RBS-12
RBS-13
4.3. Hasil penilaian risiko TI menggunakan metode
FMEA
Pembahasan hasil penilaian risiko didapatkan output
berupa risk assessment Rumah Sakit Umum Haji
Surabaya yang terkait dengan rekam medis elektronik,
daftar risiko, penyebab dan dampak yang dapat terjadi
serta hasil penilaian. Penilaian terhadap risiko
menggunakan tools FMEA (Failure Modes and Effect
Analysis). Dari proses penilaian risiko menggunakan
metode FMEA (Failure Mode & Effect Analysis)
didapatkan risiko yang mempunyai skor assessment
tertinggi hingga terendah.
Level
Very
High
(210392)
Risiko
Human/Tec
hnician eror
Penyalahgu
naan Hak
akses
High
(168180)
Hardware
Failure
Modifikasi
dan
pencurian
database
Potensial Causes
Staf tidak logut ketika
meinggalkan komputer
Kesalahan
dalam
penginputan data pasien.
RPN
336
Adanya share login
antar staf rekam medis
dan pendaftaran
Password untuk masingmasing staf tidak pernah
diganti
Penyalahgunaan
wewenang pada hak
akses
yang
dimiliki
untuk
melakukan
modifikasi data
Server terserang malware
392
User yang bukan petugas
kesehatan
yang
berwenang
berhasil
masuk ke dalam database
SIM-RS dan melakukan
perubahan data
168
324
210
224
Level
Risiko
Human/Tec
hnician
error
Software
Failure
Network
Failure
Potensial Causes
Data yang terdapat di
aplikasi healthy plus
belum diupdate
Kesalahan menginputkan
dan penghapusan data
Cara
penggunaan
komputer yang salah
Penggunaan yang tidak
sesuai dengan prosedur
Adanya
virus
yang
menyerang komputer
IP Conflict
Kerusakan infrastruktur
jaringan
Gangguan jaringan pada
provider
Jaringan Down
Korsleting listrik
RPN
180
175
180
180
180
Medi
um
(8096)
Kebakaran
pengamanan
96
Low
(2472)
Kapasitas memori server
yang
sudah
tidak
memenuhi kebutuhan
Database penuh karena
banyaknya data yang
diinputkan
Beban kerja server yang
terlalu tinggi
Kapasitas
memori
server yang sudah tidak
memenuhi
kebutuhan/(memori full)
Cybercrime Kegagalan pengamanan
(hacker
pada firewall
attack)
Kurangnya mekanisme
pemantauan pada lalu
lintas jaringan
Hardware
Server Overheat
failure
AC diruang Server mati
Beban kerja server yang
terlalu tinggi
Kesalahan
dalam
melakukan konfigurasi
dan perawatan server
Maintenance yang tidak
teratur
Power
Korsleting listrik
Failure
Pemadaman listrik
Kebakaran
Generator Rumah Sakit
terbakar
Software
Kesalahan coding pada
failure
fungsional software
Penggunaan yang tidak
sesuai dengan prosedur
Human Eror Staf baru melakukan
kesalahan penggunaan
karena antarmuka yang
rumt.
Pelanggaran Kurangnya
sosialisasi
terhadap
tentang
regulasi
dan
aturan atau
sanksinya
regulasi
Poor attitude
yang
berlaku
24
Pencurian
media atau
dokumen
penting
Memory full
Kurangnya
perusahaan
80
24
48
48
72
48
40
72
24
60
60
Level
Risiko
Network
Failure
Very
Low
Backup
Data
Failure
Potensial Causes
Kabel LAN digigit oleh
hewan
Peletakkan kabel-kabel
disembarang tempat
Server down
Koneksi intranet (LAN)
putus
RPN
20
18
4.4. Hasil Mitigasi Risiko
Dari hasil identifikasi dan penilaian risiko maka berikut
beberapa kontrol objektif dari standar ISO/IEC 27002
yang direkomendasikan untuk penanganan risiko-risiko
yang telah diidentifikasi tersebut adalah :
a. User Responsibilites
b. User Access Management
c. Network Access Control
d. Application and information access control
e. Correct Processing application
f. Security of system files
g. Network security Management
h. Back-up
i. Perencanaan system dan penerimaan
j. Manajemen keamanan jaringan
k. Protection against malicious and mobile code
l. Equipment security
m. Secure areas
n. During Employment
Untuk kontrol objektif yang sering digunakan dalam
penanganan risiko-risiko tersebut adalah :
a) Sub-klausul “User Access Management” dengan
sub-sub klausul “Previllege Management”, “User
Password management”, dan “review of user access
right” yang terdapat pada 5 risiko, dimana rumah
sakit seharusnya memberikan batasan hak akses
terhadap instalasi rekam medis dan pendaftaran
untuk memastikan akses pengguna yang berwenang
dan untuk mencegah akses tidak sah ke sistem
informasi.. Selain itu alokasi dan penggunaan hak
akses harus dikontrol.
b) Sub-Klausul “Equipment security” dengan sub-sub
klausul “Equipment Maintenance”, “Supporting
utilities”, “Cabling Security”, “Letak Peralatan dan
pengamanannya” yang terdapat 5 risiko, dimana
perusahaan harus melindungi peralatan (contoh :
hardware, kabel, switch, server, dll) tersebut dari
risiko terjadinya kerusakan fisik.
c) Sub-klausul “Secure areas” dengan sub-sub
klausul “Protecting against external and
environmental threats” dan “Securing offices,
rooms, and facilities” yang terdapat 4 risiko, dimana
rumah sakit harus melindungi keamanan fisik untuk
kantor, ruangan, dan fasilitas harus dirancang dan
diterapkan oleh suatu organisasi terhadap kerusakan
dari kebakaran, banjir, dan pencurian.
6 KESIMPULAN
Berdasarkan pada hasil penelitian yang telah dilakukan,
maka didapatkan kesimpulan yaitu:
1. Dari proses identifikasi risiko yang terdapat pada
aplikasi healthy plus diperoleh 13 risiko dengan 25
kejadian risik, dengan demikian terdapat risiko yang
memiliki kejadian risiko lebih dari satu dikarenakan
perbedaan penyebab. Untuk risiko yang paling
banyak terjadi terdapat pada aset people dengan
risiko penyalahgunaan hak akses dengan total
kejadian risiko sebanyak lima kali.
2. Dari proses penilaian risiko menggunakan metode
FMEA(Failure Mode & Effect Analysis) didapatkan
risiko yang mempunyai skor assessment tertinggi
hingga terendah. Untuk risiko very high dengan nilai
RPN (Risk Priority Number) sebesar 392, yaitu pada
kategori risiko people dengan identifikasi risiko
Penyalahgunaan hak akses dan untuk risiko paling
rendah dengan nilai RPN 18 terdapat pada risiko
Backup data failure.
3. Dari hasil penilaian risiko menggunakan metode
FMEA(Failure Mode & Effect Analysis, maka
diberikan penanganan atau tindakan pengendalian
risiko untuk mengontrol risiko-risiko tersebut.
Tindakan pengendalian untuk semua risiko-risiko
tersebut mengacu pada ISO 27002 yang berfokus
pada standarisasi Sistem Manajemen Keamanan
Informasi (SMKI). Untuk risiko yang telah
diidentifikasi diatas terdapat 14 sub-klausul yang
digunakan, akan tetapi yang sering digunakan ada 3
sub-klausul yaitu User Access Management,
Equipment security, dan Secure area.
7 SARAN
Berdasarkan pelaksanaan penelitian tugas akhir ini, saran
yang dapat diberikan agar bisa dijadikan rekomendasi
untuk penelitian selanjutnya adalah
Metode OCTAVE seharusnya menerapkan metode
identify senior management knowledge, tetapi karena
keterbatasan akses peneliti melakukan pendekatan
dengan menanyakan bagaimana senior management
dipandang dukungannya terhadap keamanan informasi
oleh pihak operasional dan staf. Maka untuk penelitian
selanjutnya perlu dipertimbangkan untuk melakukan
penggalian informasi terhadap senior management di
organisasi.
DAFTAR PUSTAKA
[1] P. Weill and M. Vitale, "Assessing the Health of an
Information Systems Applications Portfolio: An Example
from Process Manufacturing," MIS Quarterly, vol. 23, no.
4, pp. 601-624, 1999.
[2] William
R.
Hersh
Biomedical
Information
Communication Center, "The Electronic Medical Record:
Promises and Problems".
[3] I. S. Vered Holzmann, "Developing risk breakdown
structure for information technology organizations,"
Science Direct, p. 10, 2010.
[4] B. M. Susanto, "Mengukur Keamanan Informasi :
Studi Komparasi ISO 27002 dan NIST 800-55," 2013.
[5] S. SIM-RSU, Interviewee, Struktur Organisasi SIMRSU Haji Surabaya. [Interview]. 10 03 2015.
[6] R. E. McDermott, R. J. Mikulak and R. M.
Beauregard, The Basic of FMEA, New York: CRC Press
Taylor & Francis Group, 2009.
[7] A. J. Dorofee and C. J. Alberts, "OCTAVE Criteria,
Version 2.0," 2001.
[8] R. Charette, "Software Engineering Risk Analysis and
Management," 2008.
[9] T. N. Archives, "What is an Information Asset?," The
National Archives.
[11] Peraturan Pemerintah Nomor 24, 2005.
[12] Peraturan Menteri Kesehatan 269, 2008.
[13] Laporan Akuntabilitas Kinerja Instansi Pemerintah
(LAKIP) RSU Haji Surabaya, 2013.
[14] ISO/IEC 27002, Information technology Security
Techniques - Code of Practice for Information Security
Management, 2005.
[15] ISO/IEC 27001, 2005.
[17] "http://www.comindwork.com/weekly/2014-0728/productivity/fishbone-diagram-Ishikawa," 28 07 2014.
[Online].
INFORMASI PADA SISTEM ELECTRONIC MEDICAL RECORD
(STUDI KASUS : APLIKASI HEALTHY PLUS MODUL REKAM
MEDIS DI RSU HAJI SURABAYA)
Dea Anjani1), Dr. Apol Pribadi Subriadi, S.T, M.T 2) Anisah Hediyanti, S.Kom, M.Sc3)
Jurusan Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)
Jl. Arief Rahman Hakim, Surabaya 60111 Indonesia
e-mail: [email protected]), [email protected] 2) [email protected])
ABSTRAK
Rumah Sakit Umum Haji adalah institusi sarana pelayanan kesehatan milik Pemerintah Provinsi Jawa Timur yang tidak
tidak hanya berfungsi sosial, tetapi telah berkembang menjadi unit pelayanan kesehatan yang harus bisa mengoptimalkan
penndapatannya dengan jalan meningkatkan dan mengembangkan jenis-jenis pelayanan yang optimal sesuai dengan
kebutuhan masyarakat. Untuk mencapai tujuan dan melaksanakan fungsi Rumah Sakit Umum Haji, diperlukan adanya
suatu manajemen risiko untuk mengarahkan dan mengendalikan organisasi dalam mengelola risiko yang mungkin terjadi.
Rumah Sakit Umum Haji telah mengimplementasikan Teknologi Informasi sebagai pendukung keberlangsungan bisnisnya.
Implementasi Teknologi Informasi(TI) di Rumah Sakit Umum Haji selain memberikan keuntungan juga menimbulkan
berbagai ancaman timbulnya risiko. Tujuan dari penelitian ini adalah untuk mengidentifikasi, menilai dan memitigasi
risiko yang berkaitan dengan aplikasi healthty plus yang merupakan Electronic Medical Record (EMR) system yang
digunakan Rumah Sakit Umum Haji berdasarkan metode OCTAVE. Dalam perjalanannya, penerapan rekam medis
elektronik tentu saja mempunyai beberapa permasalahan dan hambatan yang menyebabkan proses bisnis rumah sakit
menjadi terganggu. Metode analisis risiko yang digunakan dalam tugas akhir ini adalah metode octave yang merupakan
metodologi yang berfungsi untuk meningkatkan proses pengambilan keputusan terhadap perlindungan dan pengelolaan
sumberdaya di suatu informasi berdasarkan penilaian risiko. Kontribusi tugas akhir ini berfokus pada memberikan solusi
penanganan risiko yang mungkin terjadi pada aplikasi healthy plus yang digunakan di RSU Haji Surabaya. Harapan dari
penelitian tugas akhir adalah mampu menghasilkan sebuah dokumen mitigasi risiko untuk aplikasi healthty plus yang
dapat digunakan sebagai pedoman dalam menangani permasalahan yang terjadi pada EMR Sistem di Rumah Sakit Umum
Haji Surabaya.
Kata Kunci: Mitigasi Risio, Metode OCTAVE, Electronic Medical Record(EMR).
1. PENDAHULUAN
Teknologi informasi merupakan bagian yang tidak
terpisahkan dari suatu perusahaan karena dapat membantu
meningkatkan efektifitas dan efisiensi proses bisnis
perusahaan. Tetapi untuk mencapai hal tersebut, diperlukan
adanya pengelolaan TI yang baik dan benar agar
keberadaan TI mampu menunjang kesuksesan organisasi
dalam pencapaian tujuannya. Begitu pula dengan sektor
kesehatan, rumah sakit sebagai penyelenggara layanan
kesehatan bertumpu pada informasi. Oleh karena itu rumah
sakit menggunakan TI untuk mengelola informasi yang
didapatkan dari pasien dan menyajikan informasi untuk
pasien dalam bentuk rekam medis elektronik .
Salah satu rumah sakit yang menggunakan teknologi
informasi sebagai pendukung keberlangsungan bisnis
adalah Rumah Sakit Umum Haji Surabaya. RSU Haji
Surabaya menggunakan TI untuk mengelola informasi yang
didapatkan dari pasien dan menyajikan informasi untuk
pasien dalam bentuk rekam medis. RSU Haji Surabaya
menggunakan dua sistem rekam medis yaitu rekam medis
dalam bentuk dokumen tertulis dan dalam bentuk aplikasi
yaitu healthty plus. Data-data kesehatan yang terdapat di
dokumen rekam medis diinputkan ke dalam rekam medis
elektronik. Hal ini tentunya akan menyebabkan ketidakkonsistenan data dan data menjadi tidak lengkap, karena
belum tentu semua data-data penting terkait pasien yang
terdapat di dalam dokumen rekam medis juga ada pada
rekam medis elektronik.
Dalam perjalanannya, penerapan rekam medis elektronik
tentu saja mempunyai beberapa permasalahan dan
hambatan yang menyebabkan proses bisnis rumah sakit
menjadi terganggu. Misalnya, data loss, data corrupt dan
penyalahgunaan hak akses. Hal ini tentunya akan
menyebabkan data-data penting terkait pasien hilang dan
dapat disalah gunakan oleh pihak yang tidak bertanggungjawab yang dapat mencoreng nama baik RSU Haji
Surabaya. Rekam medis elektronik juga dapat menjadi
masalah bagi dokumen rekam medis karena ada
kemungkinan ketidak-konsistenan data dan ketidaklengkapan data. Adanya kemungkinan munculnya
permasalahan-permasalahan terkait penerapan teknologi
informasi itulah yang mendasari pentingnya analisis risiko
terkait penerapan teknologi informasi di RSU Haji
Surabaya. Dengan melakukan analisis risiko-risiko TI di
RSU Haji Surabaya, pihak rumah sakit dapat mengetahui
risiko-risiko apa saja yang mungkin akan dihadapi di
kemudian hari. Dengan mengetahui risiko-risiko tersebut,
pihak rumah sakit dapat membuat langkah-langkah
penanganan terhadap masing-masing risiko. Selain itu,
pihak rumah sakit akan lebih siap dalam menghadapi
dampak yang muncul apabila risiko tersebut terjadi.
Oleh karena itu tujuan dari penelitian ini adalah untuk
melakukan identifikasi risiko yang dapat terjadi di Rumah
Sakit Umum Haji Surabaya terkait dengan aset TI yang
digunakan dalam system Electronic Medical Record (EMR)
dan memberikan masukan atau rekomendasi kepada pihak
rumah sakit bagaimana langkah mitigasi risiko yang tepat
sesuai dengan hasil identifikasi risiko yang akan muncul
terkait system EMR di Rumah Sakit Umum Haji Surabaya.
Harapan dari penelitian tugas akhir ini adalah mampu
menghasilkan sebuah dokumen mitigasi risiko untuk
Electronic Medical Record (EMR) yang dapat digunakan
sebagai pedoman dalam menangani permasalahan yang
terjadi pada EMR di Rumah Sakit Umum Haji Surabaya
sehingga dapat dipastikan teknologi informasi memberikan
nilai bisnis dan mendukung tujuan rumah sakit.
2. TINJAUAN PUSTAKA
2.1 Risiko
Risiko dalam TI merupakan sebuah ancaman yang
diberikan yang akan mengeksploitasi kerentanan dari
aset atau kumpulan aset. Hal ini dapat menyebabkan
kerusakan dari organisasi. [4] Pengukuran Risiko TI ini
dilakukan berdasarkan kombinasi probabilitas dan
dampaknya..
2.2 Diagram fishbone
Fishbone adalah alat (tool) yang menggambarkan
sebuah cara yang sistematis dalam memandang
berbagai dampak dan penyebab yang berkontribusi
dalam berbagai dampak tersebut. Dalam penelitian
ini,
diagram
fishbone
digunakan
untuk
mempertimbangan risiko dari berbagai penyebab dan
sub penyebab dari dampak tersebut, termasuk
risikonya secara global.
2.3 Risk Breakdown Structure (RBS)
Risk Breakdown Structure adalah suatu aktifitas
pengelompokkan risiko ke dalam suatu komposisi
hirarki risiko organisasi yang sistematis dan tersturktur
sesuai dengan struktur organisasi atau proyek. Dalam
tugas akhir ini, RBS digunakan untuk mengelompokan
risiko berdasarkan akar permasalahannya ataupun
berdasarkan kategori yang dianggap penting dapat
membantu meningkatkan efektivitas penaggulangan
resiko.
1. Fase 1 Build Asset-Based Threat Profiles
Fase ini merupakan tahapan untuk membuat profil
ancaman (threat profile) dengan cara menentukan aset
yang penting bagi organisasi dan kebutuhan
pengamanannya. Penentuan aset yang penting dilakukan
melalui pengumpulan informasi tentang aset, kebutuhan
keamanan, ancaman, dan kekuatan serta kelemahan
organisasi dari beberapa tingkatan manajemen mulai dari
senior manajer, operasional, sampai dengan staf. Hasil
dari fase ini adalah pendefinisian kebutuhan keamanan
informasi
2. Fase 2 Identify Infrastructure Vulnerabilities
Fase ini melihat vulnerability secara teknis yang terjadi
pada aset kritis dan komponen infrastruktur yang
mendukung aset tersebut.
3. Fase 3 Develop Security Strategy and Plans
Pada proses ini melibatkan pengembangan, pengkajian
dan penerimaan strategi proteksi organisasi secara
menyeluruh, rencana mitigasi untuk risiko terhadap
critical asset.
2.5 Metode
FMEA
Gambar 2. 4 Tahapan OCTAVE [7]
Modes
and
Effect
Analysis)
FMEA (Failure Modes and Effect Analysis)
merupakan suatu metode yang digunakan untuk
mengidentifikasi dan menganalisa suatu kegagalan
beserta
akibatnya.
Kegagalan
digolongkan
berdasarkan dampak yang diberikan terhadap
kesuksesan suatu misi dari sebuah system. Tahapan
dari penilaian menggunakan FMEA adalah sebagai
berikut:
1. Identifikasi sistem dan elemen sistem.
2. Mengidentifikasi kegagalan dan efeknya
3. Menentukan tingkat keparahan efek dari suatu
kegagalan (Severity)
Rank
10
Effect
Catastrophic/
Dangerous High
9
Extremly High
8
Very High
7
High
6
Moderate
5
Low
4
Very Low
3
Minor
2
Very Minor
2.4 Metode OCTAVE (Operationally Critical Threat,
Asset, and Vulnerability Evaluation)
OCTAVE adalah metodologi untuk mengidentifikasi,
memprioritaskan, dan mengelola risiko keamanan
informasi. OCTAVE memiliki 3 tahap dalam
melakukan evaluasi risiko, dan berikut merupakan
gambarannya serta penjelasannya : [7]
(Failure
Severity of Effect
Sumber daya tidak tersedia dan kegagalan
tidak dapat dikendalikan atau kegagalan
dapat melukai staff atau pelanggan
Sumber daya tidak tersedia, tetapi
kegagalan dapat dikendalikan atau
kegagalan menyebabkan proses bisnis
tidak dapat beroperasional
Sumber daya tidak tersedia, tetapi
kegagalan dapat dikendalikan
Sumber daya tersedia atau kegagalan
menyebabkan efek yang besar terhadap
kebijakan
Sumber daya tersedia atau kegagalan
memiliki efek yang besar terhadap proses
bisnis
Sumber daya tersedia atau kegagalan
menyebabkan efek yang besar terhadap
prosedur
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
kebijakan
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
proses bisnis
Sumber daya tersedia atau kegagalan
menyebabkan efek yang kecil terhadap
prosedur
1
None
Kegagalan tidak menyebabkan efek
gangguan yang mempengaruhi proses
bisnis
4. Menentukan Occurrence
Occurrence menyatakan tingkat frekuensi kegagalan
yang terjadi karena suatu penyebab yang
dikuantifikasi dengan angka 1 (tingkat kejadian
rendah) hingga 10 (tingkat kejadian sering).
5. Menentukan Deteksi (Detection)
Tingkat deteksi digunakan untuk mendeteksi
kegagalan yang dapat dikuantifikasikan dengan angka
1 hingga 10.
6. Menghitung RPN
RPN mengkuantifikasikan tingkat risiko dari suatu
kegagalan. RPN didapatkan dari perkalian antara nilai
severity, occurance, dan detection.
RPN Calculation
< 20
< 80
< 120
< 200
> 200
Level
Very Low
Low
Medium
High
Very High
2.6 ISO 27002
ISO 27002 digunakan sebagai pedoman dan prinsipprinsip umum untuk memulai, melaksanakan,
memelihara, dan meningkatkan manajemen keamanan
informasi dalam sebuah organisasi. Dalam tugas akhir
ini, ISO 27002 digunakan sebagai pedoman untuk
melakukan mitigasi risiko dalam pengendalian dan
kontrol keamanan indormasi.
3. METODE PENELITIAN
3.1. Penyiapan perangkat wawancara
Pada proses penyiapan perangkat wawancara
dilakukan interview atau wawancara, yang akan
dilaksanakan terhadap staf SIM-RSU Haji Surabaya
selaku perwakilan yang memiliki wewenang dalam
tahap perencanaan dan teknis khususnya mengenai
pengembangan aplikasi healthty plus di RSU Haji
Surabaya. Pada proses pembuatan daftar pertanyaan
wawancara ini tentunya menghasilkan data hasil
wawancara yang nantinya akan digunakan untuk
menggali data penelitian.
3.2. Pengidentifikasian pengetahuan management
Pada
metode
OCTAVE
dilakukan
pengidentifikasian pengetahuan senior management,
operasional, staf dan staf TI. Untuk menggali
informasi dari bagian operasional, maka peneliti
menggunakan kuisioner dan interview protocol
dengan kepala instalasi rekam medis. Untuk
menggali informasi dari bagian staf, maka peneliti
menggunakan kuisioner dan interview protocol
dengan staf casemix instalasi rekam medis. Untuk
menggali informasi dari bagian staf TI, maka
peneliti menggunakan kuisioner dan interview
protocol dengan manajer TI di instalasi SIM-RS.
3.4. Pengidentifikasian komponen utama
Proses ini berfokus untuk menggali informasi yang
lebih detail terkait Electronic Medical Record
(EMR). Pada proses ini mengidentifikasi proses
bisnis dan aset informasi yang didukung dengan
EMR. Selain itu pada proses ini juga dilakukan
penggalian ancaman terhadap aset-aset kritis yang
terkait dengan aplikasi healthy plus modul rekam
medis setelah itu akan didapatkan profil ancaman
terhadap asset kritis
3.5. Pengidentifikasian kerentanan asset
Setelah mendapatkan profil ancaman asset kritis
maka proses yang akan dilakukan adalah
menganalisa kelemahan atau kerentanan dari asetaset tersebut secara teknologi dan organisasi.
Kerentanan adalah kondisi tidak adanya prosedur
keamanan, kontrol teknik, kontrol fisik, atau kontrol
lain yang dapat dieksploitasi oleh ancaman.
Kerentanan berkontribusi mengambil risiko karena
memungkinkan ancaman untuk membahayakan
system. Kerentanan asset akan digunakan sebagai
refrensi untuk membuat diagram fishbone dan
potensial causes pada risk register.
3.6. Pengidentifikasian risiko
Identifikasi risiko dibuat berdasarkan daftar
ancaman yang terjadi pada asset-aset yang telah
diidentifikasikan
sebelumnya.
Pada
proses
pengidentifikasian risiko terdapat beberapa proses
didalamnya yaitu
a) Pengidentifikasian potensial causes
Potensial causes merupakan penyebab dari
timbulnya risiko yang terjadi dan didapatkan
dari identifikasi kerentanan dan ancaman dari
asset-aset informasi rumah sakit yang penting
yang telah dipaparkan sebelumnya
b) Pengidentifikasian Risk Breakdown Structure
(RBS)
Dalam tugas akhir ini, RBS digunakan untuk
mengelompokan risiko berdasarkan akar
permasalahannya ataupun berdasarkan kategori
yang dianggap penting dapat membantu
meningkatkan efektivitas penaggulangan resiko
c) Risk Register
Risk register adalah tabel yang berisi daftar
potensi kejadian-kejadian risiko yang telah
diidentifikasi beserta dengan penyebabnya
(potensial causes), probabilitas dan dampak
(potensial effects) dari setiap kejadian risiko
tersebut bagi organisasi
d) Diagram Fishbone
Diagram fishbone akan dibuat berdasarkan
risiko yang terjadi terhadap asset-aset informasi
yang terdapat di SIM-RS dan instalasi Rekam
Medis yang terkait dengan aplikasi healthy plus
modul rekam medis RSU Haji Surabaya.
3.7. Penilaian risiko dengan metode FMEA
Pada tahap ini dilakukan penentuan tingkat severity,
occutance, dan detection. Tahapan ini dilakukan
dengan mendeskripsikan informasi secara lebih
dalam terhadap risiko yang telah diidentifikasi.
Hasil dari tahap ini adalah nilai severity, occurance
dan detection pada setiap proses risiko yang
nantinya akan digunakan untuk menghitung RPN
(Risk Priority Number).
3.8. Mitigasi Risiko
Proses
terakhir
adalah
proses
pemberian
rekomendasi. Melalui hasil penelitian yang di dapat
maka dapat diberikan rekomendasi mitigasi risiko
berdasarkan ISO 27002. Rekomendasi tersebut dapat
membantu rumah sakit dalam menghadapi risiko
yang ada maupun yang akan datang untuk
meningkatkan kualitas sistemnya.
i
Healthy
Plus
modul
Rekam
Medis
an
Fasilitas
Umum
Risiko
Internal
4. HASIL DAN ANALISIS
4.1. Daftar asset kritis
Penentuan aset yang penting dilakukan melalui
pengumpulan informasi tentang aset, kebutuhan
keamanan, ancaman, dan kekuatan serta kelemahan
organisasi dari beberapa tingkatan manajemen mulai
dari senior manajer, operasional, sampai dengan staf.
Kelompok Aset
Aset kritis
Alasan/Sebab
Data-data terkait pasien sangat
Data Pasien
Data
riwayat dibutuhkan oleh tenaga medis
dalam pengambilan keputusan
penyakit
tindakan apa yang harus dilakukan
pasien
untuk pasien tersebut.
Data rujukan.
Jaringan yang dapat mengakses
Jaringan
informasi, seperti mengakses
database rekam medis pasien.
Aplikasi
Healthy
Plus modul Rekam
Medis
Dokumen
Medis
Rekam
SDM
Server
PC
Aplikasi pendukung kegiatan di
RSU Haji Surabaya memiliki
banyak modul yang saling
terintegrasi. Salah satu modul
yang paling penting adalah rekam
medis yang menghimpun semua
data-data terkait pasien yang
dibutuhkan oleh modul-modul
lainnya.
Dokumen penting yang berisi
data-data terkait pasien yang
dibutuhkan sebagai inputan untuk
aplikasi healthy plus modul rekam
medis.
Suatu aset yang paling penting
didalam sebuah perusahaan karena
SDM yang handal , maka semua
proses bisnis dapat berjalan lancer
Komputer yang menyediakan
sumberdaya dan mengendalikan
akses didalam suatu jaringan
Hampir
semua
stakeholder
bergantung pada PC. Karena
mereka menggunakannya untuk
mengakses informasi penting
4.2. Hasil identifikasi Risk Breakdown Structure
(RBS)
Dalam tugas akhir ini, RBS digunakan untuk
mengelompokan
risiko
berdasarkan
akar
permasalahannya ataupun berdasarkan kategori yang
dianggap penting dapat membantu meningkatkan
efektivitas penaggulangan resiko. Pada table dibawah
ini, telah diidentifikasi bahwa terdapat sebanyak 13
risiko yang memiliki potensial mengancam asset-aset
informasi RSU Haji Surabaya.
LEVEL
0
RBS
untuk
Aplikas
LEVEL
1
Risiko
Eksterna
l
LEVEL
2
Bencana
Alam
Ganggu
LEVEL 3
Kebakaran
RBS
CODE
RBS-01
Cybercrime
RBS-02
Operatio
nal
Power Failure
Pencurian
media/dokum
en penting
Hardware
Failure
Software
Failure
Network
Failure
Modifikasi
dan pencurian
database dari
user internal
Backup data
Failure
Human/Techn
ician error
Pelanggaran
terhadap
peraturan atau
regulasi yang
berlaku
Penyalahguna
an hak akses
Memory full
RBS-03
RBS-04
RBS-05
RBS-06
RBS-07
RBS-08
RBS-09
RBS-10
RBS-11
RBS-12
RBS-13
4.3. Hasil penilaian risiko TI menggunakan metode
FMEA
Pembahasan hasil penilaian risiko didapatkan output
berupa risk assessment Rumah Sakit Umum Haji
Surabaya yang terkait dengan rekam medis elektronik,
daftar risiko, penyebab dan dampak yang dapat terjadi
serta hasil penilaian. Penilaian terhadap risiko
menggunakan tools FMEA (Failure Modes and Effect
Analysis). Dari proses penilaian risiko menggunakan
metode FMEA (Failure Mode & Effect Analysis)
didapatkan risiko yang mempunyai skor assessment
tertinggi hingga terendah.
Level
Very
High
(210392)
Risiko
Human/Tec
hnician eror
Penyalahgu
naan Hak
akses
High
(168180)
Hardware
Failure
Modifikasi
dan
pencurian
database
Potensial Causes
Staf tidak logut ketika
meinggalkan komputer
Kesalahan
dalam
penginputan data pasien.
RPN
336
Adanya share login
antar staf rekam medis
dan pendaftaran
Password untuk masingmasing staf tidak pernah
diganti
Penyalahgunaan
wewenang pada hak
akses
yang
dimiliki
untuk
melakukan
modifikasi data
Server terserang malware
392
User yang bukan petugas
kesehatan
yang
berwenang
berhasil
masuk ke dalam database
SIM-RS dan melakukan
perubahan data
168
324
210
224
Level
Risiko
Human/Tec
hnician
error
Software
Failure
Network
Failure
Potensial Causes
Data yang terdapat di
aplikasi healthy plus
belum diupdate
Kesalahan menginputkan
dan penghapusan data
Cara
penggunaan
komputer yang salah
Penggunaan yang tidak
sesuai dengan prosedur
Adanya
virus
yang
menyerang komputer
IP Conflict
Kerusakan infrastruktur
jaringan
Gangguan jaringan pada
provider
Jaringan Down
Korsleting listrik
RPN
180
175
180
180
180
Medi
um
(8096)
Kebakaran
pengamanan
96
Low
(2472)
Kapasitas memori server
yang
sudah
tidak
memenuhi kebutuhan
Database penuh karena
banyaknya data yang
diinputkan
Beban kerja server yang
terlalu tinggi
Kapasitas
memori
server yang sudah tidak
memenuhi
kebutuhan/(memori full)
Cybercrime Kegagalan pengamanan
(hacker
pada firewall
attack)
Kurangnya mekanisme
pemantauan pada lalu
lintas jaringan
Hardware
Server Overheat
failure
AC diruang Server mati
Beban kerja server yang
terlalu tinggi
Kesalahan
dalam
melakukan konfigurasi
dan perawatan server
Maintenance yang tidak
teratur
Power
Korsleting listrik
Failure
Pemadaman listrik
Kebakaran
Generator Rumah Sakit
terbakar
Software
Kesalahan coding pada
failure
fungsional software
Penggunaan yang tidak
sesuai dengan prosedur
Human Eror Staf baru melakukan
kesalahan penggunaan
karena antarmuka yang
rumt.
Pelanggaran Kurangnya
sosialisasi
terhadap
tentang
regulasi
dan
aturan atau
sanksinya
regulasi
Poor attitude
yang
berlaku
24
Pencurian
media atau
dokumen
penting
Memory full
Kurangnya
perusahaan
80
24
48
48
72
48
40
72
24
60
60
Level
Risiko
Network
Failure
Very
Low
Backup
Data
Failure
Potensial Causes
Kabel LAN digigit oleh
hewan
Peletakkan kabel-kabel
disembarang tempat
Server down
Koneksi intranet (LAN)
putus
RPN
20
18
4.4. Hasil Mitigasi Risiko
Dari hasil identifikasi dan penilaian risiko maka berikut
beberapa kontrol objektif dari standar ISO/IEC 27002
yang direkomendasikan untuk penanganan risiko-risiko
yang telah diidentifikasi tersebut adalah :
a. User Responsibilites
b. User Access Management
c. Network Access Control
d. Application and information access control
e. Correct Processing application
f. Security of system files
g. Network security Management
h. Back-up
i. Perencanaan system dan penerimaan
j. Manajemen keamanan jaringan
k. Protection against malicious and mobile code
l. Equipment security
m. Secure areas
n. During Employment
Untuk kontrol objektif yang sering digunakan dalam
penanganan risiko-risiko tersebut adalah :
a) Sub-klausul “User Access Management” dengan
sub-sub klausul “Previllege Management”, “User
Password management”, dan “review of user access
right” yang terdapat pada 5 risiko, dimana rumah
sakit seharusnya memberikan batasan hak akses
terhadap instalasi rekam medis dan pendaftaran
untuk memastikan akses pengguna yang berwenang
dan untuk mencegah akses tidak sah ke sistem
informasi.. Selain itu alokasi dan penggunaan hak
akses harus dikontrol.
b) Sub-Klausul “Equipment security” dengan sub-sub
klausul “Equipment Maintenance”, “Supporting
utilities”, “Cabling Security”, “Letak Peralatan dan
pengamanannya” yang terdapat 5 risiko, dimana
perusahaan harus melindungi peralatan (contoh :
hardware, kabel, switch, server, dll) tersebut dari
risiko terjadinya kerusakan fisik.
c) Sub-klausul “Secure areas” dengan sub-sub
klausul “Protecting against external and
environmental threats” dan “Securing offices,
rooms, and facilities” yang terdapat 4 risiko, dimana
rumah sakit harus melindungi keamanan fisik untuk
kantor, ruangan, dan fasilitas harus dirancang dan
diterapkan oleh suatu organisasi terhadap kerusakan
dari kebakaran, banjir, dan pencurian.
6 KESIMPULAN
Berdasarkan pada hasil penelitian yang telah dilakukan,
maka didapatkan kesimpulan yaitu:
1. Dari proses identifikasi risiko yang terdapat pada
aplikasi healthy plus diperoleh 13 risiko dengan 25
kejadian risik, dengan demikian terdapat risiko yang
memiliki kejadian risiko lebih dari satu dikarenakan
perbedaan penyebab. Untuk risiko yang paling
banyak terjadi terdapat pada aset people dengan
risiko penyalahgunaan hak akses dengan total
kejadian risiko sebanyak lima kali.
2. Dari proses penilaian risiko menggunakan metode
FMEA(Failure Mode & Effect Analysis) didapatkan
risiko yang mempunyai skor assessment tertinggi
hingga terendah. Untuk risiko very high dengan nilai
RPN (Risk Priority Number) sebesar 392, yaitu pada
kategori risiko people dengan identifikasi risiko
Penyalahgunaan hak akses dan untuk risiko paling
rendah dengan nilai RPN 18 terdapat pada risiko
Backup data failure.
3. Dari hasil penilaian risiko menggunakan metode
FMEA(Failure Mode & Effect Analysis, maka
diberikan penanganan atau tindakan pengendalian
risiko untuk mengontrol risiko-risiko tersebut.
Tindakan pengendalian untuk semua risiko-risiko
tersebut mengacu pada ISO 27002 yang berfokus
pada standarisasi Sistem Manajemen Keamanan
Informasi (SMKI). Untuk risiko yang telah
diidentifikasi diatas terdapat 14 sub-klausul yang
digunakan, akan tetapi yang sering digunakan ada 3
sub-klausul yaitu User Access Management,
Equipment security, dan Secure area.
7 SARAN
Berdasarkan pelaksanaan penelitian tugas akhir ini, saran
yang dapat diberikan agar bisa dijadikan rekomendasi
untuk penelitian selanjutnya adalah
Metode OCTAVE seharusnya menerapkan metode
identify senior management knowledge, tetapi karena
keterbatasan akses peneliti melakukan pendekatan
dengan menanyakan bagaimana senior management
dipandang dukungannya terhadap keamanan informasi
oleh pihak operasional dan staf. Maka untuk penelitian
selanjutnya perlu dipertimbangkan untuk melakukan
penggalian informasi terhadap senior management di
organisasi.
DAFTAR PUSTAKA
[1] P. Weill and M. Vitale, "Assessing the Health of an
Information Systems Applications Portfolio: An Example
from Process Manufacturing," MIS Quarterly, vol. 23, no.
4, pp. 601-624, 1999.
[2] William
R.
Hersh
Biomedical
Information
Communication Center, "The Electronic Medical Record:
Promises and Problems".
[3] I. S. Vered Holzmann, "Developing risk breakdown
structure for information technology organizations,"
Science Direct, p. 10, 2010.
[4] B. M. Susanto, "Mengukur Keamanan Informasi :
Studi Komparasi ISO 27002 dan NIST 800-55," 2013.
[5] S. SIM-RSU, Interviewee, Struktur Organisasi SIMRSU Haji Surabaya. [Interview]. 10 03 2015.
[6] R. E. McDermott, R. J. Mikulak and R. M.
Beauregard, The Basic of FMEA, New York: CRC Press
Taylor & Francis Group, 2009.
[7] A. J. Dorofee and C. J. Alberts, "OCTAVE Criteria,
Version 2.0," 2001.
[8] R. Charette, "Software Engineering Risk Analysis and
Management," 2008.
[9] T. N. Archives, "What is an Information Asset?," The
National Archives.
[11] Peraturan Pemerintah Nomor 24, 2005.
[12] Peraturan Menteri Kesehatan 269, 2008.
[13] Laporan Akuntabilitas Kinerja Instansi Pemerintah
(LAKIP) RSU Haji Surabaya, 2013.
[14] ISO/IEC 27002, Information technology Security
Techniques - Code of Practice for Information Security
Management, 2005.
[15] ISO/IEC 27001, 2005.
[17] "http://www.comindwork.com/weekly/2014-0728/productivity/fishbone-diagram-Ishikawa," 28 07 2014.
[Online].