PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S

Transkripsi

1 PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S Asmaya Rhasyid Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Cindy Septiani Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Tika Listianty Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, Bambang Gunawan Universitas Bina Nusantara, Jakarta, DKI Jakarta, Indonesia 11480, ABSTRAK Tujuan penelitian ini ialah untuk mengetahui risiko-risiko yang terdapat pada Rumah Sakit Bhakti Yudha, untuk mengetahui hasil pengukuran risiko menggunakan metode OCTAVE-S pada Rumah Sakit Bhakti Yudha, dan untuk mengetahui kebutuhan praktik keamanan sistem informasi pada Rumah Sakit Bhakti Yudha. Metodologi penelitian yang digunakan ialah penelitian kepustakaan dan penelitian lapangan yang terdiri dari observasi, kuesioner dan wawancara. Metode pendekatan yang kami gunakan adalah OCTAVE-S yang meliputi identifikasi, analisis, dan perencanaan. Hasil yang dicapai dalam penelitian ini ialah mempermudah pihak manajemen dalam membuat keputusan yang berhubungan dengan perencanaan pemeliharaan dan pengembangan teknologi informasi pada Rumah Sakit Bhakti Yudha. Serta meminimalisir risiko yang mungkin terjadi sehingga pemanfaatan teknologi informasi yang dimiliki dapat memberikan hasil yang lebih optimal. Simpulan dari penelitian ini ialah Rumah Sakit Bhakti Yudha belum pernah melakukan pengukuran risiko sebelumnya. Dari lima belas praktek keamanan yang ada, Rumah Sakit Bhakti Yudha memiliki tiga kelemahan yang berada pada area merah. Area merah tersebut yaitu dalam hal: Manajemen Keamanan Kolaboratif, Manajemen Kerentanan, dan Manajemen Insiden. Kata Kunci : Pengukuran risiko, risiko, Teknologi informasi, OCTAVE-S

2 MEASUREMENT OF RISK INFORMATION TECHNOLOGY AT BHAKTI YUDHA HOSPITAL USING OCTAVE-S METHOD Asmaya Rhasyid Bina Nusantara University, Jakarta, DKI Jakarta, Indonesia 11480, Cindy Septiani Bina Nusantara University, Jakarta, DKI Jakarta, Indonesia 11480, Tika Listianty Bina Nusantara University, Jakarta, DKI Jakarta, Indonesia 11480, Bambang Gunawan Bina Nusantara University, Jakarta, DKI Jakarta, Indonesia 11480, ABSTRACT THE PURPOSE OF RESEARCH is to identify risks in Bhakti Yudha Hospital, to identify result of risk measurement using OCTAVE S and to identify security practice of information system in Bhakti Yudha Hospital. RESEARCH METHOD which is used is library research and field research include observation, quistionaire, and interview. Approach method whic we used is OCTAVE S include identification, analysis, and planning. RESULT of this research is to support management decision related to maintenance planning, and development of information technology in Bhkati Yudha Hospital, and minimize risk that could happen so the using ofinformation technology which is used can giv more optimum result. CONCLUSION of this research is Bhakti Yudha Hospital never did the risk measurement before. From 15 security practice, Bhakti Yudha Hospital has 3 weakness that in red stoplight. The red stoplight is Collaborative Security Management, Vulnerability Management, and Incindent Management. Keyword : risk measurement, risk, information technology, OCTAVE-S method

3 1. Pendahuluan 1.1 Latar Belakang Menurut jurnal Anjar Priandoyo (2006), Pengukuran atau assessment adalah hal yang mutlak dilakukan untuk mendapatkan peningkatan kualitas. Suatu perusahaan dapat meningkatkan penjualannya bila mengetahui bagaimana tingkat penjualannya, bagaimana efisiensinya. Dengan adanya pengukuran maka perusahaan dapat mengetahui kelemahan yang ada, membandingkannya dengan contoh penerapan di perusahaan lain dan ujungnya adalah peningkatan keuntungan perusahaan. Berdasarkan risiko yang terdapat pada jurnal Masing (2009), dikatakan bahwa dengan menggunakan sistem dengan metode manajemen risiko teknologi informasi yang tepat, dapat memiliki pengaruh yang positif bagi perusahaan yaitu dapat mengetahui risiko dan kerentanan, dan dapat mengurangi biaya yang dikeluarkan jika risiko terjadi. Kemungkinan suatu kejadian di masa datang/resiko harus memiliki persentasi lebih besar dari 0 % tetapi lebih kecil dari 100 %. Sangatlah banyak kejadian yang akan terjadi di masa datang tetapi tidak semuanya termasuk resiko. Kejadian di masa datang yang hanya memiliki kemungkinan 0 % atau 100 % bukanlah termasuk resiko. Ketika kita mengetahui dengan pasti (100 %) bahwa suatu kejadian akan terjadi di masa datang maka kita akan memiliki masalah, krisis atau isu, tetapi bukanlah suatu resiko. Ketika menyangkut suatu resiko, ingatlah bahwa kejadian tersebut harus memiliki kemungkinan diantara 0 % dan 100 % akan terjadi. Konsekuensi dari kejadian di masa datang tersebut tidaklah diharapkan atau tidak direncanakan. Banyak kejadian di masa datang yang mungkin akan terjadi. Ketika kejadian tersebut membawa keuntungan itu disebut resiko positif tetapi jika kejadian tersebut membawa kerugian maka disebut resiko negative. Ketika kita melihat bahwa akan ada suatu kejadian di masa datang dengan persentasi kemungkinan antara 0% dan 100% maka kita dapat mulai memperhatikan apakah konsekuensi yang akan ditimbulkan oleh kejadian tersebut. Rumah Sakit Bhakti Yudha merupakan sebuah institusi perawatan kesehatan profesional yang pelayanannya disediakan oleh dokter, perawat, dan tenaga ahli kesehatan lainnya. Dalam menjalankan proses bisnisnya, Rumah Sakit Bhakti Yudha menggunakan sistem informasi yang lebih terkomputerisasi, namun rumah sakit belum pernah melakukan pengukuran risiko terhadap teknologi informasinya dan belum menerapkan manajemen risiko. Untuk meminimalisir risiko-risiko yang mungkin terjadi Rumah Sakit Bhakti Yudha perlu melakukan pengukuran atau penilaian terhadap sistem mereka. Pengukuran dimaksudkan agar risiko risiko pada teknologi inforomasi perusahaan dapat diminimalisir dan diatasi. Lalu setelah dilakukan pengukuran maka dapat diketahui besarnya ancaman dan kerentanan dari setiap aset yang dinilai kritis, sehingga dapat diterapkan kontrol yang tepat dengan memprioritaskan asset yang paling berharga bagi perusahaan serta resiko dan ancaman yang paling besar. Dengan begitu, Rumah Sakit Bhakti Yudha dapat terus melakukan pengembangan manajemen sumber daya manusia dan peningkatan kualitas pelayanan kepada pasien. 1.2 Perumusan Masalah Masalah-masalah yang terdapat pada Rumah Sakit Bhakti Yudha, yaitu: 1. Rumah Sakit Bhakti Yudha belum pernah melakukan pengukuran risiko pada aset-aset rumah sakit yang berkaitan dengan teknologi informasi. 2. Minimnya pengamanan terhadap dampak ancaman pada aset-aset teknologi informasi pada Rumah Sakit Bhakti Yudha. 3. Bagaimana mengidentifikasi risiko dengan menggunakan metode OCTAVE-S pada Rumah Sakit Bhakti Yudha. 1.3 Ruang Lingkup Penulis membatasi ruang lingkup penelitian sebagai berikut: 1. Penelitian dilakukan pada Rumah Sakit Bhakti Yudha. 2. Penelitian dilakukan pada divisi TI Rumah Sakit Bhakti Yudha. 3. Penelitian dilakukan pada operasional bisnis yang berhubungan dengan IT rumah sakit, yang mencangkup infrastruktur, hardware, software, jaringan, aplikasi, dan juga karyawan. 4. Pengukuran risiko teknologi informasi menggunakan pendekatan OCTAVE-S.

4 1.4 Tujuan Tujuan yang ingin dicapai dengan pembuatan skripsi ini adalah: 1. Untuk mengetahui risiko-risiko yang terdapat pada Rumah Sakit Bhakti Yudha. 2. Untuk mengetahui hasil pengukuran risiko menggunakan metode OCTAVE-S pada Rumah Sakit Bhakti Yudha. 3. Untuk melakukan manajemen risiko pada Rumah Sakit Bhakti Yudha. 1.5 Manfaat Manfaat yang diharapkan dari pembuatan skripsi ini adalah: 1. Hasil analisis dapat digunakan oleh Rumah Sakit Bhakti Yudha untuk mengetahui risiko - risiko teknologi informasi sehingga dapat dijadikan panduan untuk menyempurnakan penerapan teknologi informasi secara keseluruhan. 2. Memberikan alternatif solusi terhadap dampak yang ditimbulkan dari risiko yang telah ditemukan untuk mengurangi kerugian dalam bidang teknologi informasi yang mungkin terjadi pada Rumah Sakit Bhakti Yudha. 3. Sebagai sarana bagi peneliti untuk dapat memperdalam ilmu dibidang teknologi informasi serta mempraktikan ilmu yang telah didapat selama ini mengenai manajemen resiko berkomputer. 4. Sebagai referensi untuk penulisan selanjutnya. 2. Metodologi Penelitian Metode yang digunakan untuk mengukur risiko teknologi informasi menggunakan teknik antara lain: 1. Teknik Pengumpulan Data a. Penelitian Kepustakaan (Library Research) Studi kepustakaan merupakan langkah yang penting dimana setelah seorang peneliti menetapkan topik penelitian. b. Penelitian Lapangan (Field Research) Penelitian lapangan merupakan penelitian kualitatif di mana peneliti mengamati dan berpartisipasi secara langsung dalam penelitian skala sosial kecil dan mengamati budaya setempat dengan cara mengunjungi perusahaan, data didapatkan dengan cara-cara: 1) Observasi Observasi adalah bagian dalam pengumpulan data yang berarti mengumpulkan data langsung dari lapangan. 2) Kuesioner Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawabnya. 3) Wawancara Wawancara adalah sebuah dialog yang dilakukan oleh pewawancara untuk memperoleh informasi dari terwawancara. 2. Teknik Analisis Dalam melakukan pengukuran risiko teknologi informasi pada Rumah Sakit Bhakti Yudha, kami menggunakan pendekatan OCTAVE-S dalam penelitian kami karena OCTAVE-S dapat menyajikan secara rinci langkah-langkah untuk mengukur tingkat risiko yang ada di rumah sakit. 3. Hasil dan Bahasan Dalam pengukuran risiko yang dilakukan pada Rumah Sakit Bhakti Yudha, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner yang telah dibagikan kepada Bapak Bambang Setiawan selaku manajer TI. Kuisioner yang dibagikan digunakan untuk mengetahui kelemahan dari hasil pengukuran risiko serta mencari solusi atas risiko-risiko yang terjadi dalam Rumah Sakit Bhakti Yudha. Kuisioner yang dibuat dengan menggunakan metode OCTAVE-S terdiri dari 3 tahap, yaitu: membangun aset berbasis profil ancaman, mengidentifikasi kerentanan infrastruktur, serta mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi 5 proses yang terdiri dari 16 aktivitas dan 30 langkah.

5 8.1 Kriteria Evaluasi Dampak Rumah Sakit Bhakti Yudha saat ini memiliki reputasi yang tergolong baik. Hal tersebut dapat dilihat dari pasien berkurang hanya sekitar 10% per tahunnya. Pada umumnya reputasi rumah sakit dinilai dari pelayanan dan tenaga medisnya. Meskipun dampaknya mempengaruhi pelayanan pada rumah sakit namun ancaman pada TI tidak banyak mempengaruhi reputasi. Dari segi keuangan, biaya operasional rumah sakit mengalami peningkatan antara 5% - 15%. Biaya tersebut digunakan untuk peralatan rumah sakit yang harus diganti, biaya maintenance, kenaikan gaji karyawan dan pada tahun ini (tahun 2012) ada renovasi dan perluasan rumah sakit, maka dari itu ada biaya extra yang dibutuhkan untuk kegiatan tersebut. Pasien yang bertambah mengakibatkan jam kerja karyawan meningkat antara 10%-30% untuk menunjang produktifitas rumah sakit. Perlindungan kesehatan bagi karyawan menjadi tanggung jawab rumah sakit. Rumah sakit memberikan tunjangan kesehatan sesuai dengan kebijakan yang diterapkan. Ancaman kesehatan karyawan tergolong rendah, tidak ada ancaman kesehatan yang berarti karena lingkungan rumah sakit memang dijaga agar selalu bersih dan higienis, jika ada ancaman pun dampaknya tidak terlalu fatal. Apabila rumah sakit mengalami dampak ancaman, maka denda yang harus dibayarkan tergolong rendah yakni kurang dari 50 juta. Denda tersebut digunakan untuk perbaikan hardware yang mengalami kerusakan atau penggantian jika terjadi kehilangan. Misalnya: jika server rusak total diperlukan biaya sekitar 40 juta untuk mengganti sebuah server baru. Selain itu, rumah sakit juga tidak terikat oleh pihakpihak tertentu serta pemerintah dalam investigasi. 8.2 Aset-Aset Kritis Aset aset yang dianggap kritis pada Rumah Sakit Bhakti Yudha yaitu, Database server dan QPro. Database server merupakan aset yang sangat vital pada rumah sakit karena digunakan sebagai tempat penyimpanan data yang sensitif secara keseluruhan, mulai dari data-data yang sederhana hingga data yang kompleks. QPro merupakan sistem utama yang digunakan perusahaan untuk menginput data dan menghasilkan laporan. Sistem ini menyangkut semua informasi kegiatan bisnis rumah sakit, termasuk diantaranya aplikasi rawat inap, rawat jalan, laboratorium, penunjang medis, dan farmasi. Dari kedua aset kritis yang disebutkan diatas, aset yang paling kritis adalah Database Server. Hal ini dikarenan database server merupakan pusat tempat penyimpanan data-data sensitif rumah sakit yang digunakan untuk melanjutkan operasional bisnis serta penyimpanan softcopy dokumentasi penting rumah sakit atau sebagai storage device. Database server yang digunakan oleh Rumah Sakit Bhakti Yudha adalah SQL Server Database server ini diakses oleh direktur, semua manajer, staf keuangan, staf akuntansi, HRD dan staf lainnya yang telah diberi hak akses. 8.3 Lima Belas Praktik Keamanan Rumah Sakit Bhakti Yudha juga memiliki 15 praktek keamanan, yang diantaranya meliputi sebagai berikut: Pertama, Kesadaran Keamanan dan Pelatihan. Kesadaran keamanan pada Rumah Sakit Bhakti Yudha tergolong cukup baik. Karyawan memahami peran keamanan dan tanggung jawab mereka masing-masing. Namun Rumah Sakit Bhakti Yudha belum secara resmi mengadakan pelatihan keamanan yang sesuai standar. Rumah Sakit Bhakti Yudha juga belum mempunyai dokumentasi resmi untuk kebijakan keamanan dan pelatihan serta pengingat periodik yang tersedia untuk semua personil. YELLOW. Kedua, Strategi Keamanan. Rumah Sakit Bhakti Yudha mempertimbangkan segi keamanan agar sesuai dengan tujuan bisnis yang ingin dicapai. Strategi, tujuan dan sasaran keamanan didokumentasikan dan ditinjau dengan cukup baik walaupun tidak secara rutin, dan selalu dikomunikasikan ke seluruh karyawan. GREEN. Ketiga, Manajemen Keamanan. Manajemen keamanan yang ada di Rumah Sakit Bhakti Yudha sudah berjalan cukup baik. Peran manajer tidak hanya dapat memberikan keputusan tentang efektifitas dan efisiensi, tetapi juga mampu mengambil langkah- langkah untuk mengurangi risiko. Setiap karyawan juga cukup baik dalam memahami masalah keamanan informasi. Dokumentasi untuk otorisasi dan pengawasan semua karyawan yang bekerja dalam penyajian informasi belum lengkap. YELLOW. Keempat, Kebijakan Keamanan dan Peraturan. Rumah Sakit Bhakti Yudha sudah cukup baik dalam menjalankan kebijakan keamanan dan peraturan bagi seluruh karyawan. Proses dokumentasi menyeluruh mengenai evaluasi untuk memastikan pemenuhan kebijakan sudah di

6 terapkan. Namun kebijakan kemanan dan peraturan belum dilaksanakan dengan baik oleh semua karyawan. YELLOW. Kelima, Manajemen Keamanan Kolaboratif. Pada praktik keamanan ini, manajemen perusahaan tergolong rendah. Hal ini dikarenakan Rumah Sakit Bhakti Yudha belum memiliki kebijakan dan prosedur dalam melindungi informasi serta data untuk perusahaan lain. Selain itu tidak adanya mekanisme formal untuk memverifikasi ke semua pihak di Rumah Sakit Bhakti Yudha termasuk mengoutsource keamanan layanan, mekanisme dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. RED. Keenam, Rencana Contingency. Rumah Sakit Bhakti Yudha sudah melakukan analisa dari operasional, aplikasi, dan data - data penting, namun rencana contingency belum cukup baik untuk menghadapi bencana yang terjadi. Kesadaran karyawan akan rencana kemungkinan pemulihan bencana dan kontinuitas bisnis cukup baik. Mereka memahami dalam melaksanakan tanggung jawab mereka pada saat pemulihan bencana walaupun belum secara maksimal. YELLOW. Ketujuh, Pengendalian Akses Fisik. Karyawan memiliki kesadaran akan tanggung jawab yang baik. Adanya dokumentasi kebijakan dan prosedur untuk mengelola pasien. Namun Rumah Sakit Bhakti Yudha belum melakukan kebijakan yang terdokumentasi dan prosedur untuk mengendalikan akses fisik ke tempat kerja dan hardware serta software. YELLOW. Kedelapan, Pemantauan Audit dan Keamanan Fisik. Pemantauan audit dan keamanan fisik di Rumah Sakit Bhakti Yudha tergolong cukup baik. Rumah Sakit Bhakti Yudha Sudah melakukan kontrol fisik secara berkala, sehingga ancaman kerusakan dan kehilangan tergolong rendah. Namun, belum ada catatan audit dan pemantauan secara rutin yang diperiksa terhadap kesalahan dan tidak ada tindakan korektif yang diambil. YELLOW. Kesembilan, Manajemen Sistem dan Jaringan. Manajer TI telah melakukan dengan baik. Informasi-informasi penting telah di back-up dan disimpan dengan sangat baik. Instalasi software sudah dilakukan secara teratur dan diverifikasi serta adanya laporan terhadap perbaharuan sistem. Tetapi karyawan sudah cukup baik dalam mengikuti prosedur ketika menerbitkan, mengubah, dan mengakhiri password, account, dan hak istimewa, walaupun terkadang ada beberapa karyawan yang tidak mengikuti prosedur. GREEN. Kesepuluh, Pemantauan Audit dan Keamanan TI. Rumah Sakit Bhakti Yudha sudah melakukan pemantauan dan mengaudit sistem dan jaringan. Firewall dan komponen keamanan lainnya diaudit secara berkala. Namun pemantauan keamanan TI belum dikomunikasikan kepada semua pihak pemantau sistem dan jaringan serta belum adanya verifikasi. YELLOW. Kesebelas, Pengesahaan dan Otorisasi. Dalam pelaksanaan otorisasi Rumah Sakit Bhakti Yudha tergolong cukup baik. Penggunaan TI dan akses tertentu dikontrol cukup baik, namun tidak ada prosedur yang jelas dalam menjalankan dan mengakhiri akses tertentu. Hal ini menimbulkan dampak ancaman, misalnya jika karyawan tidak menutup akses penting pada rumah sakit dapat menyebabkan terjadinya kebocoran data pasien. YELLOW. Keduabelas, Manajemen Kerentanan. Manajemen kerentan tergolong rendah. Tidak ada prosedur yang terdokumentasi untuk mengelola tingkat kerentanan. Namun, prosedur manajemen kerentanan diikuti dan ditinjau serta diupdate secara berkala walaupun belum secara maksimal. Persyaratan manajemen kerentanan tidak dikomunikasikan kepada penyedia layanan teknologi yang mengelola kerentanan dan tidak ada verifikasi secara resmi. Selain itu Rumah Sakit Bhakti Yudha juga belum secara maksimal melakukan penilaian kerentanan teknologi, tetapi kerentanan langsung diatasi ketika ditemukan. RED. Ketigabelas, Enkripsi. Rumah Sakit menggunakan login password sebelum karyawan menggunakan komputer. Hal ini merupakan salah satu usaha perusahaan dalam melindungi data yang ada dan untuk pembatasan hak akses data. Namun, tidak memiliki protokol terenkripsi pada sistem informasinya. YELLOW. Keempatbelas. Desain dan Arsitektur Keamanan Desain dan arsitektur keamanan masih dikelola secara informal oleh manajer TI dan belum pernah dilakukan pembaharuan. Rumah Sakit Bhakti Yudha mempunyai diagram untuk menunjukan topologi jaringan yang digunakan oleh rumah sakit. YELLOW. Kelimabelas, Manajemen Insiden. Rumah Sakit Bhakti Yudha telah memiliki prosedur yang cukup untuk mengidentifikasi, melaporkan, dan menanggapi dugaan insiden dan pelanggaran keamanan. Namun, praktik keamanan ini belum dilakukan secara maksimal, yakni prosedur manajemen insiden tidak secara berkala diuji, diverifikasi, dan diperbaharui, tidak

7 adanya pengawasan secara periodik yang dilakukan oleh pihak manajemen serta tidak adanya prosedur untuk bekerjasama dengan pihak penegak hukum. RED. 8.4 Ancaman Pada Aset Kritis Kemungkinan ancaman yang tidak dapat diabaikan dalam rumah sakit terhadap aset kritis adalah terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi yang dapat merugikan rumah sakit dan menggangu kinerja karyawan. Ancaman bisa terjadi melalui akses jaringan dan fisik. Setiap akses mempunyai dua aktor yaitu pelaku yang berasal dari dalam dan luar rumah sakit. Dan terdapat dua motif yaitu secara sengaja dan tidak sengaja. Pada database server (SQL Server 2000), ancaman pada akses jaringan dari pihak internal rumah sakit yang mungkin dilakukan secara tidak sengaja adalah kelalaian manajer TI dalam melakukan maintenance dan update server. Ancaman tersebut tergolong rendah karena hanya terjadi satu kali dalam satu tahun dan masih dapat ditangani oleh manajer TI tersebut. Sedangkan untuk ancaman yang mungkin dilakukan dengan sengaja dari pihak internal rumah sakit adalah karyawan mengacaukan server dan sistem informasi, atau mencuri data rumah sakit. Tidakan tersebut dikategorikan sebagai ancaman sedang karena dapat menyebabkan error pada aplikasi lain namun masih dapat diatasi oleh manajer TI. Untuk ancaman dari pihak external rumah sakit yang mungkin dilakukan secara tidak sengaja adalah adanya virus yang menyerang server. Ancaman tersebut juga tergolong rendah karena hanya terjadi satu kali dalam tiga tahun dan dapat diatasi dengan penggunaan antivirus. Untuk ancaman pihak external rumah sakit yang mungkin dilakukan secara sengaja adalah adanya pencurian data yang bersifat rahasia dan merusak sistem jaringan rumah sakit melalui hacking. Tindakan tersebut tergolong sebagai ancaman yang tinggi karena data rahasia rumah sakit dapat disalah gunakan oleh para hacker. Namun hal tersebut belum pernah terjadi pada rumah sakit. Pada akses fisik, ancaman yang berasal dari pihak internal rumah sakit yang mungkin dilakukan secara tidak sengaja adalah karyawan mengentri data dengan menggunakan komputer milik karyawan lain. Tindakan tersebut dikategorikan sebagai ancaman sedang karena dapat mengakibatkan kerusakan data server. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. Sedangkan ancaman yang berasal dari pihak internal rumah sakit yang mungkin dilakukan secara sengaja adalah perusakan atau pencurian server oleh karyawan. Tindakan ini dikategorikan sebagai ancaman tinggi karena rumah sakit akan mengalami kerugian materil. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. Ancaman yang berasal dari pihak external rumah sakit secara tidak disengaja, yaitu sering terjadinya petir besar merusak jaringan server sehingga mengganggu pelayanan di dalam rumah sakit. Ancaman tersebut tergolong sedang karena terjadi 3 kali dalam satu tahun. Namun masih dapat diatasi dengan menambah pemasangan anti petir. Sedangkan ancaman yang berasal dari pihak external rumah sakit yang mungkin dilakukan secara sengaja adalah adanya pihak luar rumah sakit yang mencuri server rumah sakit. Tindakan tersebut dikategorikan sebagai ancaman yang tinggi karena dapat menyebabkan rumah sakit mengalami kerugian materil. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. Pada QPro, ancaman pada akses jaringan dari pihak internal rumah sakit yang mungkin dilakukan secara tidak sengaja adalah karyawan salah entry di system mengakibatkan database error. Hal tersebut terjadi tiga kali dalam setahun namun dapat diatasi dengan melakukan training ulang pada user yang bersangkutan. Sedangkan ancaman dari pihak internal yang dilakukan secara sengaja adalah karyawan membuka aplikasi lain yang bukan menjadi hak aksesnya. Hal tersebut tidak terlalu mengancam kami mengkategorikan ancaman tersebut sebagai ancaman yang rendah karena hanya terjadi satu kali dalam satu tahun dapat langsung ditangani oleh manajer TI. Untuk ancaman dari pihak external rumah sakit yang mungkin dilakukan secara tidak sengaja adalah adanya virus yang mengakibatkan aplikasi menjadi error. Ancaman tersebut tergolong sedang karena dapat diatasi dengan penggunaan antivirus. Namun hal tersebut belum pernah terjadi pada rumah sakit. Untuk ancaman pihak external rumah sakit yang mungkin dilakukan secara sengaja adalah adanya pencurian data yang bersifat sensitif oleh hacker. Tindakan tersebut tergolong sebagai ancaman yang tinggi karena data rahasia rumah sakit dapat disalah gunakan oleh para hacker. Namun hal tersebut belum pernah terjadi pada rumah sakit. Pada akses fisik, ancaman yang berasal dari pihak internal rumah sakit yang mungkin dilakukan secara tidak sengaja adalah kesalahan karyawan dalam melakukan operasional. Tindakan tersebut dikategorikan sebagai ancaman sedang karena dapat mengakibatkan aplikasi

8 error. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. Sedangkan ancaman yang berasal dari pihak internal rumah sakit yang mungkin dilakukan secara sengaja adalah karyawan menginstall software atau games tanpa adanya izin dari pihak IT. Tindakan ini dikategorikan sebagai ancaman rendah. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. Ancaman yang berasal dari pihak external rumah sakit yang mungkin dilakukan secara sengaja adalah Terdapat hacker yang mencuri data rahasia di dalam aplikasi QPro. Tindakan tersebut dikategorikan sebagai ancaman yang tinggi karena data tersebut dapat disalahgunakan oleh para hacker. Namun tindakan tersebut belum pernah terjadi pada rumah sakit. 8.5 Dampak Ancaman Pada Database Server (SQL server 2000), dampak ancaman yang paling besar ditimbulkan melalui akses jaringan dan fisik adalah yang dilakukan secara sengaja. Dalam hal ini berasal dari pihak external yang dilakukan secara sengaja. Hal ini dikarenakan apabila terjadi ancaman dari pihak luar yang dilakukan secara sengaja hasil dari modifikasi yang dilakukan akan mengakibatkan data rumah sakit mungkin saja diubah ubah atau dicuri oleh pelaku untuk kepentingan pribadi sehingga data menjadi rusak dan tidak asli lagi. Selain itu produktifitas rumah sakit juga terganggu karena data yang biasa digunakan tidak valid atau tidak tersedia dan dapat memperlambat kinerja karyawan yang dapat mengakibatkan penumpukan pasien. Untuk hal tersebut kami memberikan nilai tinggi untuk dampaknya terhadap produktifitas. Jika terjadi kegiatan yang menyebabkan kehancuran atau kerusakan pada server, rumah sakit akan mengalami kerugian secara financial karena ada biaya yang harus dikeluarkan untuk memperbaiki kerusakan tersebut, karena itu kami memberikan nilai tinggi untuk dampak terhadap keuangan. Tetapi apabila pelakunya diketahui si pelaku tersebut yang harus mengganti kerugian rumah sakit. Untuk reputasi tidak terlalu berdampak besar pada rumah sakit. Pada QPro, dampak ancaman yang paling besar ditimbulkan melalui akses jaringan dan fisik adalah yang dilakukan secara sengaja. Dalam hal ini berasal dari pihak internal karena setiap hari karyawan menggunakan sistem ini dalam melakukan pekerjaannya. Modifikasi data yang dilakukan dapat menyebabkan data menjadi tidak valid karena data tersebut sudah dimodifikasi. Selain itu adanya pihak pihak tertentu yang dengan sengaja menginstal games atau software untuk kepentingan pribadi dengan tidak mempertimbangkan spesifikasi komputer sehingga dapat mengakibatkan menurunnya performa komputer atau menyebabkan kerusakan. Hal tersebut akan menyebabkan produktifitas rumah sakit menjadi terganggu karena akan memperlambat kinerja karyawan. Untuk itu kami memberikan nilai tinggi terhadap dampak yang ditimbulkan pada produktifitas. Jika terjadi kegiatan yang menyebabkan kehancuran atau kerusakan pada server, rumah sakit akan mengalami kerugian secara financial karena ada biaya yang harus dikeluarkan untuk memperbaiki kerusakan tersebut. Namun pelakunya mungkin akan mudah dilacak karena yang melakukan adalah dari pihak internal. Apabila pelakunya terungkap maka sanksi atau denda yang harus ditanggung adalah mengganti kerusakan yang dilakukan dan yang paling parah akan dipecat dari rumah sakit tersebut karena orang atau oknum tersebut dapat dikhawatirkan akan memberikan dampak yang buruk terhadap rumah sakit jika dipertahankan, karena itu kami memberi nilai tinggi untuk keuangan dan denda. Sedangkan untuk reputasi tidak terlalu berdampak besar pada rumah sakit. Untuk kegiatan yang sama, tidak menutup kemungkinan dampak tersebut bisa juga ditimbulkan dari pihak external. 8.6 Mengembangkan Rencana Mitigasi Risiko Pada Area Red 1. Manajemen Keamanan Kolaboratif Untuk aktivitas mitigasi di praktik keamanan ini, meliputi: a. Membuat kebijakan dan prosedur terdokumentasi untuk melindungi informasi tertentu saat bekerja sama dengan pihak outsource QPro. Dengan adanya kegiatan ini maka informasi penting rumah sakit menjadi terlindungi. Dalam membuat kebijakan ini, seharusnya ditinjau langsung oleh direktur utama. Serta adanya dukungan dari kedua belah pihak serta diterapkannya sanksi jika terdapat pelanggaran pada kegiatan ini. b. Melakukan verifikasi terhadap kebijakan dan prosedur pengamanan. Dengan adanya kegiatan ini maka kerjasama dapat dijalankan secara resmi. Kegiatan ini seharusnya

9 menjadi tanggung jawab direktur utama. Dan adanya dukungan dari petinggi rumah sakit dalam melakukan verifikasi. 2. Manajemen Kerentanan Untuk aktifitas mitigasi di praktik keamanan ini, meliputi: a. Mendokumentasikan prosedur untuk mengelola tingkat kerentanan dan melakukan evaluasi. Kegiatan ini bertujuan agar dapat mengukur tingkat kerentanan yang dihadapi. Tanggung jawab dilakukan oleh direktur dan manajer TI. Serta dukungan dan kesadaran dari karyawan yang terlibat dalam menjalani menjalankan prosedur dan pelaksanaan evaluasi. b. Prosedur manajemen kerentanan dikontrol dan diupdate secara berkala. Tujuannya agar rumah sakit dapat mengetahui kerentanan pada teknologi yang digunakan. Tanggung jawab dilakukan oleh manajer TI. Serta dengan adanya dukungan kesadaran karyawan terhadap teknologi yang digunakan. 3. Manajemen Insiden Untuk aktifitas mitigasi di praktik keamanan ini, meliputi: a. Membuat prosedur manajemen insiden secara resmi dan memberikan pelatihan mengenai manajemen insiden. Dengan adanya kegiatan ini maka rumah sakit dapat meningkatkan kewaspadaan dalam menjalankan proses bisnisnya. Kegiatan ini dipertanggung jawabkan oleh direktur utama. Dengan dukungan dari setiap karyawan untuk menjalankan prosedur yang telah dibuat. 4. Simpulan Berdasarkan pengukuran risiko yang telah dilakukan dengan menggunakan pendekatan OCTAVE-S terhadap Rumah Sakit Bhakti Yudha didapat beberapa kesimpulan sebagai berikut: 1. Aset-aset kritis pada Rumah Sakit Bhakti Yudha yang teridentifikasi adalah: Database Server (SQL server 2000) yang merupakan pusat tempat penyimpanan data-data sensitif rumah sakit yang digunakan untuk operasional bisnis serta penyimpanan softcopy dokumentasi penting rumah sakit dan QPro yang merupakan sistem informasi utama rumah sakit yang menyangkut semua informasi kegiatan bisnis rumah sakit. 2. Dari lima belas praktik keamanan, Rumah Sakit Bhakti Yudha memiliki tiga kelemahan yang berada pada area merah. Area merah tersebut yaitu dalam hal: Manajemen Keamanan Kolaboratif, Manajemen Kerentanan, dan Manajemen Insiden. 3. Pada tiga kelemahan dari lima belas praktik keamanan yaitu dalam hal: Manajemen Keamanan Kolaboratif, Manajemen Kerentanan, Manajemen Insiden, kami telah membuat rencana mitigasi untuk penanganan risiko yang mungkin terjadi. 4. Rumah Sakit Bhakti Yudha memiliki kebijakan untuk keamanan penggunaan Teknologi Informasi, namun kebijakan tersebut belum terdokumentasi secara resmi hanya dilakukan training saja kepada karyawan karyawan yang bersangkutan. 5. Rumah Sakit Bhakti Yudha belum pernah melakukan pengukuran risiko TI secara menyeluruh sebelumnya. Setelah kami melakukan pengukuran risiko menggunakan OCTAVE-S ternyata terdapat ancaman yang dapat mengganggu proses bisnis rumah sakit yang berasal dari pihak internal dan external. 6. Pada akses jaringan dan akses fisik terdapat ancaman-ancaman yang mengancam aset kritis database server dan QPro. Ancaman tersebut berasal dari pihak internal dan external rumah sakit dengan motif yang disengaja dan tidak disengaja. Namun dampak yang paling besar ditimbulkan dari motif yang disengaja.

10 Daftar Pustaka Alberts, C., Dorofee, A., Stevens, J., Woody, C. (2005). Introduction to OCTAVE-S U.S. Patent & Trademark Office by Carnegie Mellon University, U.S Blokdijk., Gerard., Engle., Claire., Brewster., Jackie. (2008). Complete Risk Management Toolkit Guide for Information Technology Processes and Systems. Brisbane. Dede Sopandi Instalasi dan Konfigurasi Jaringan Kompuer, Informatika. Jakarta. Djojosoedarso, Soeisno. (2005). Prinsip-prinsip Manajemen Risiko Asuransi. (Edisi revisi). Jakarta: Salemba Empat. Gondodiyoto, Sanyoto. (2007). Audit Sistem Informasi Lanjutan + standar, Panduan, Prosedur Audit SI dari ISACA. Edisi Pertama. Jakarta: Mitra Wacana Media. Gondodiyoto, Sanyoto. (2009). Pengelolaan Fungsi Audit Sistem Informasi. (Edisi2). Jakarta: Mitra Wacana Media. Hughes, Greg. (2006). Five Steps to IT Risk Management Best Practices. Risk Management, Vol. 53, Issue 7, p34. Jones, Federick L, & Rama, Dasaratha (2008). Sistem Informasi Akuntansi. Jakarta: Salemba Empat. Jordan E., & Silcock L. (2005). Beating IT Risks. John Wiley and Sons, Inc. England: Laudon. Maulana, Muhammad M, & Supangkat, Suhono H. (2006). Pemodelan Framework Manajemen Resiko Teknologi Informasi untuk Perusahaan di Negara Berkembang. McLeod, R. & Schell, G.P. (2007). Management Information Systems, edisi ke-10. New Jersey: Pearson Prentice Hall. O Brien, James A., & Marakas, George M. (2007). Management Information Systems, Edisi ke-7. New York: McGraw-Hill. Turban, E., Rainer, R. K., & Potter, E. (2007). Introduction to Information Systems : Supporting and Transforming Business. New York: John Wiley & Sons, Inc. Turban, E., Rainer, R. K., & Potter, E. (2009). Introduction to Information Systems : Supporting and Transforming Business (International Student Version). New York: John Wiley & Sons, Inc.

11 Riwayat Penulis 1. Asmaya Rhasyid, lahir di Jakarta pada tanggal 18 Desember Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun Cindy Septiani, lahir di Bogor pada tanggal 9 September Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun Tika Listianty, lahir di Jakarta pada tanggal 13 Juni Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Komputerisasi Akuntansi pada tahun 2013.