Roadmap Manajemen Keamanan Informasi SIK di Faskes

BAB I PENDAHULUAN

4. BAB IV. HASIL DAN PEMBAHASAN

4.5 Implikasi Penelitian

4.5.3 Roadmap Manajemen Keamanan Informasi SIK di Faskes

Peneliti mengajukan roadmap manajemen keamanan informasi SIK pada Faskes sebagai output dari proses sintesa hasil penelitian dari RQ1, RQ2, dan RQ3 yang telah mendapatkan evaluasi dan rekomendasi dari akademisi, praktisi dan regulator di bidang keamanan informasi. Roadmap ini merupakan gambaran dari implikasi praktis penelitian kepada semua pemangku kepentingan yang terlibat dalam penelitian ini. Hasil RQ1 memberikan pemahaman bahwa perlindungan keamanan informasi di Faskes masih sangat kurang karena belum didukung oleh kebijakan keamanan yang memadai serta regulasi yang mengatur secara jelas dan tegas. Selain itu, masih banyak Faskes yang belum memiliki sumber daya yang memadai untuk keamanan informasi, seperti pegawai yang bertanggung jawab untuk keamanan informasi, anggaran, maupun infrastruktur TI.

Hasil RQ2 memberikan pemahaman bahwa dukungan manajemen seperti kebijakan dan edukasi mengenai keamanan informasi dapat mempengaruhi persepsi pengguna SIK akan manfaat perlindungan keamanan sehingga mendorong perilaku keamanan informasi yang baik. Kesadaran akan regulasi umum mengenai perlindungan data juga mempengaruhi persepsi manfaat dan persepsi keparahan akan konsekuensi hukum yang diterima jika terjadi insiden keamanan. Akan tetapi, persepsi keparahan yang dirasakan belum signifikan dalam mempengaruhi pengguna untuk melakukan perilaku keamanan yang baik. Salah satu penyebabnya adalah belum ada sanksi yang jelas secara langsung dirasakan oleh individu pengguna. Oleh karena itu, Faskes harus menetapkan kebijakan dan panduan teknis yang lebih jelas, mengkomunikasikannya kepada pihak terkait serta meningkatkan kesadaran pengguna melalui edukasi dan pelatihan. Hasil RQ3 memberikan pemahaman perilaku keamanan pengguna SIK, baik pegawai Faskes maupun pasien. Beberapa perilaku masih perlu ditingkatkan karena dapat meningkatkan risiko terjadinya insiden keamanan informasi. Pengukuran perilaku keamanan informasi pada penelitian ini dapat diadopsi sebagai alat ukur secara kuantitatif untuk perbaikan berkelanjutan dari program keamanan informasi di Faskes. Roadmap manajemen keamanan informasi yang diusulkan mendorong penyusunan regulasi menjadi acuan dalam penyusunan kebijakan dan program perlindungan keamanan informasi di Faskes.

Kebijakan dan program yang diterapkan mengakibatkan perubahan perilaku pengguna saat berinteraksi dengan SIK. Edukasi tentang manfaat perlindungan atau konsekuensi yang diterima jika melakukan pelanggaran akan memperbaiki perilaku pengguna secara tidak langsung. Roadmap ini (Gambar 4.10) dibagi ke dalam lima tahapan yang mengadopsi Pedoman Manajemen Keamanan Informasi SPBE pada Peraturan BSSN Nomor 4 Tahun 2021.

Gambar 4.10 Roadmap manajemen keamanan informasi SIK untuk Faskes Berdasarkan Peraturan Kementerian Kesehatan No. 82 Tahun 2013 tentang Sistem Informasi Manajemen Rumah Sakit (SIMRS) Pasal 7, keamanan SIMRS meliputi keamanan fisik, keamanan jaringan, dan keamanan sistem aplikasi. Keamanan fisik meliputi hak akses pada ruang data center/server dan komputer pengguna. Keamanan jaringan meliputi otorisasi terhadap informasi untuk mengakses dan mengubah data, kenirsangkalan pengirim maupun penerima informasi, serta autentikasi pengirim informasi. Keamanan sistem aplikasi mencakup implementasi protokol keamanan transfer data, autentikasi pengguna, remote access, dan kompatibilitas anti-virus.

Peraturan Kementerian Kesehatan No. 31 Tahun 2019 tentang Sistem Informasi Puskesmas (SIMPUS) mewajibkan pengelola untuk menjamin keamanan dan kerahasiaan informasi sesuai ketentuan yang berlaku. Hasil RQ1 memberikan pemahaman bahwa mayoritas Puskesmas dan Klinik menggunakan sistem aplikasi dari penyedia layanan SIK yang berbasis cloud karena keterbatasan sumber daya untuk pengembangan sistem sendiri. Oleh karena itu, keamanan informasi SIK di Puskesmas/Klinik mencakup keamanan fisik untuk pengaturan hak akses komputer pengguna, keamanan jaringan untuk otorisasi dan autentikasi pengiriman informasi, serta keamanan sistem aplikasi terkait autentikasi pengguna.

Peneliti mengusulkan alur kerja untuk operasionalisasi roadmap manajemen keamanan informasi untuk ruang lingkup rumah sakit (Gambar 4.11) dan Puskesmas/klinik (Gambar 4.12). Alur kerja ini memberikan gambaran proses apa saja

Tahap 1 Tahap 2 Tahap 3 Tahap 4 Tahap 5

Penetapan ruang lingkup

& penanggung jawab

Perencanaan Pengoperasian Evaluasi Kinerja Perbaikan Berkelanjutan

Kementerian Kesehatan

a. Harmonisasi kebijakan keamanan informasi b. Peta kebutuhan SDM keamanan informasi di Faskes

a. Sanksi pelanggaran keamanan SIK b. Kurikulum keamanan informasi SDM kesehatan

BSSN a. Peta Okupansi Keamanan Siber Kesehatan

Penanganan insiden keamanan SIK

Direksi

a. Kebijakan keamanan informasi SIK b. Edukasi kesadaran keamanan SIK c. Komunikasi kebijakan keamanan SIK

a. Alokasi anggaran keamanan SIK b. Peningkatan kompetensi SDM keamanan informasi

a. Pengukuran kuantitatif sesuai indikator kinerja

b. Analisis efektifitas keamanan SIK

a. Solusi permasalahan keamanan SIK b. Perbaikan tata kelola keamanan SIK berkala

Unit TI

a. Prosedur penanganan insiden keamanan SIK b. Penilaian kerentanan keamanan SIK c. Standar teknis dan prosedur keamanan SIK

a. Penanganan insiden keamanan SIK b. Pengawasan keamanan SIK berkala

BPJS-K

Vendor SIK

Pegawai Faskes

a. Mematuhi kebijakan keamanan SIK b. Mengikuti pelatihan kesadaran keamanan SIK

Pasien

a. Proaktif melindungi perangkat dan informasi pribadi

b. Mengikuti panduan keamanan SIK Manajeme

n Faskes

a. Ruang lingkup keamanan informasi Faskes

b. Self-assessment tata kelola dan risiko keamanan informasi c. Struktur organisasi

keamanan informasi Audit keamanan

informasi SIK berkala

Perbaikan pengendalian keamanan SIK Penyedia

Layanan SIK

Pemangku kepentingan

Regulator

a. Petunjuk teknis keamanan informasi kesehatan b. Pemenuhan SDM keamanan informasi kesehatan

Evaluasi penerapan regulasi

Perbaikan regulasi berdasarkan evaluasi

Standar keamanan informasi pada proses pengembangan SIK

a. Bimbingan teknis pengelola dan pengguna SIK

b. Koordinasi penanganan insiden keamanan SIK Pengguna

SIK

Tahap 1 Penetapan ruang lingkup

& penanggung jawab

Tahap2

Perencanaan Tahap3

Pengoperarisan Tahap4

Evaluasi Kinerja

Tahap5 Perbaikan berkelanjutan

yang perlu dilakukan oleh pimpinan dan pengelola SIK di Faskes serta bagaimana keterkaitan antar proses. Proses dalam alur kerja diturunkan dari usulan roadmap manajemen keamanan informasi (Gambar 4.10) yang mengadopsi program kerja pada Peraturan BSSN Nomor 4 Tahun 2021 dan standar keamanan informasi ISO/IEC 27799:2016.

Gambar 4.11 Alur kerja manajemen keamanan informasi di rumah sakit Manajemen Keamanan Informasi Rumah Sakit

Direksi Rumah Sakit Unit TI/SIRS

Tahap 5Tahap 1Tahap 2Tahap 3Tahap 4

Penetapan ruang lingkup manajemen

keamanan informasi di rumah sakit

Penilaian tata kelola keamanan informasi

Penilaian risiko keamanan data center, perangkat pengguna, jaringan dan aplikasi SIMRS Penetapan struktur organisasi dan tugas pokok

penanggung jawab keamanan informasi

Penyusunan kebijakan keamanan SIMRS

Sosialisasi kebijakan keamanan SIK kepada pegawai, penyedia layanan,

pasien, dan pihak terkait lainnya

Edukasi kesadaran keamanan kepada

pegawai dan pasien Penyusunan prosedur

operasional penanganan insiden keamanan SIMRS Penyusunan standar teknis keamanan infrastruktur dan

aplikasi

Penyusunan prosedur operasional keamanan SIMRS, data center, jaringan, dan perangkat

pengguna

Penyusunan anggaran keamanan SIMRS

Pemberian program pelatihan kompetensi teknis SDM SIRS dan kompetensi dasar

pegawai RS

Penanganan insiden keamanan SIMRS Pengawasan keamanan fisik,

jaringan, dan aplikasi SIMRS secara berkala

Audit keamanan informasi SIMRS berkala

Perbaikan standar teknis dan prosedur pengendalian keamanan informasi SIMRS Pengukuran secara kuantitatif keberhasilan

pengendalian keamanan informasi dan perilaku keamanan pengguna SIMRS

Analisis efektifitas keamanan SIMRS

Perbaikan tata kelola keamanan informasi SIMRS Penentuan solusi permasalahan

keamanan informasi SIMRS

Gambar 4.12 Alur kerja manajemen keamanan informasi di Puskesmas/klinik Manajemen Keamanan Informasi Puskesmas/Klinik

Pimpinan Puskesmas/Klinik SDM TI

Tahap 5Tahap 1Tahap 2Tahap 3Tahap 4

Penetapan ruang lingkup manajemen

keamanan informasi di Puskesmas/Klinik

Penilaian tata kelola keamanan informasi

Penilaian risiko keamanan perangkat pengguna, jaringan, dan hak akses pengguna SIK Penetapan tugas pokok penanggung jawab

keamanan informasi

Penyusunan kebijakan keamanan SIK

Sosialisasi kebijakan keamanan SIK kepada pegawai, penyedia layanan,

pasien, dan pihak terkait lainnya

Edukasi kesadaran keamanan kepada

pegawai dan pasien Penyusunan prosedur

operasional penanganan insiden keamanan SIK Penyusunan standar teknis

keamanan jaringan dan perangkat pengguna

Penyusunan prosedur operasional keamanan hak

akses SIK, jaringan, dan perangkat pengguna

Penyusunan anggaran keamanan SIK

Pemberian program pelatihan kompetensi teknis SDM TI dan kompetensi dasar pegawai

Penanganan insiden keamanan SIK Pengawasan keamanan fisik,

jaringan, dan aplikasi SIMRS secara berkala

Pendampingan kepada penyedia layanan SIK dalam

audit keamanan informasi SIK berkala

Perbaikan standar teknis dan prosedur pengendalian keamanan informasi SIK Pengukuran secara kuantitatif keberhasilan

pengendalian keamanan informasi dan perilaku keamanan pengguna SIK

Analisis efektifitas keamanan SIK

Perbaikan tata kelola keamanan informasi SIK Penentuan solusi permasalahan

keamanan informasi SIK

Dalam dokumen KATA PENGANTAR (Halaman 62-66)