BAB I PENDAHULUAN
4. BAB IV. HASIL DAN PEMBAHASAN
4.4 Sintesa Hasil Penelitian
Proses validasi hasil dilakukan melalui wawancara secara online menggunakan Zoom di waktu yang berbeda. Peneliti menyampaikan temuan dari hasil penelitian untuk setiap RQ dan rancangan rekomendasi untuk para pemangku kepentingan. Selanjutnya, narasumber memberikan tanggapan terhadap paparan tersebut dan memberikan masukan terkait implikasi penelitian dan rekomendasi.
4.4.1 Demografi Narasumber
Tabel 4.10 menunjukkan profil dari narasumber. Ketiga narasumber memiliki pengalaman kerja yang cukup lama dan wawasan di bidang keamanan informasi secara teori maupun praktik di lapangan.
Tabel 4.10 Profil narasumber validasi hasil
Kode Jenis Kelamin Kelompok Pengalaman kerja
N1 Laki-laki Regulator keamanan informasi >10 tahun
N2 Laki-laki Akademisi >10 tahun
N3 Laki-laki Kepala Unit TI Rumah Sakit >10 tahun 4.4.2 Hasil Evaluasi
(1) Regulasi keamanan informasi di sektor kesehatan.
Dalam paparan hasil penelitian, khususnya terkait faktor yang mempengaruhi perilaku keamanan informasi yaitu “General Policy Awareness”, responden penelitian di tahap kedua hanya menyebutkan sedikit regulasi terkait keamanan informasi yaitu UU ITE dan Regulasi perlindungan data konsumen. Narasumber [N1] menyebutkan ada beberapa regulasi lainnya terkait keamanan informasi, seperti UU No.27 Tahun 2022
46
tentang PDP, Perpres No.82 Tahun 2022 tentang IIV, Perban BSSN No.8 Tahun 2020 tentang SMPI, PP No.71 Tahun 2019 tentang PSTE, Peraturan BSSN No.10 Tahun 2020, dan Peraturan BSSN No.4 Tahun 2021 tentang Standard teknis keamanan SPBE.
Narasumber [N3] menambahkan regulasi lainnya yaitu Permenkes No.24 Tahun 2022 tentang Rekam Medis dan menekankan pada pentingnya sosialisasi dari regulasi- regulasi tersebut. Narasumber [N2] menyatakan regulasi menjadi landasan utama dalam menentukan kebijakan keamanan informasi di suatu organisasi yang selanjutnya menjadi arahan dalam perilaku keamanan informasi. Regulasi yang ada saat ini baik regulasi tentang keamanan informasi ataupun regulasi tentang kesehatan, dirasa masih belum cukup untuk menjadi panduan bagi Faskes untuk menjalankan perlindungan keamanan informasi. Narasumber [N3] menyampaikan pentingnya regulasi khusus keamanan informasi di sektor kesehatan. Dari perspektif regulator [N2], penerapan regulasi juga perlu mempertimbangkan dampak finansial bagi Faskes. Tidak semua Faskes memiliki biaya yang memadai untuk anggaran keamanan informasi sehingga untuk penerapan suatu standar tertentu dapat menjadi beban bagi Faskes itu sendiri.
(2) Insiden keamanan informasi dan penanganannya
Narasumber [N1] menyampaikan tren ancaman keamanan informasi terkini yang belum muncul dari hasil wawancara untuk RQ1 yaitu Malware Information Stealer yang mencuri informasi dari perangkat pengguna aplikasi. Narasumber [N3] menambahkan insiden keamanan informasi yang paling banyak terjadi adalah sharing password. Hal ini sejalan dengan hasil penelitian ini. Dalam penanganan insiden, beberapa Faskes telah memiliki SOP penanganan insiden keamanan informasi. Faskes yang menggunakan pihak ketiga sebagai penyedia layanan SIK, biasanya melaporkan insiden ke pihak penyedia tersebut. Narasumber [N1] menambahkan perlunya penyelidikan lebih lanjut mengenai proses pelaporan insiden ke Tim Tanggap Insiden Siber Sektor atau Nasional seperti yang diatur dalam regulasi (Peraturan BSSN No.10 Tahun 2020).
(3) Sanksi atas pelanggaran keamanan informasi
Narasumber [N3] menjelaskan pentingnya penerapan sanksi yang tegas untuk penerapan keamanan informasi di Faskes. Hal ini sejalan dengan teori keamanan informasi yang disampaikan oleh narasumber [N2] bahwa besarnya sanksi atas pelanggaran keamanan merupakan bagian dari pertimbangan organisasi dalam manajemen risiko. Narasumber [N3] menambahkan perlunya sosialisasi sanksi jika terjadi kebocoran data di Faskes untuk meningkatkan kesadaran keamanan informasi.
(4) SDM keamanan informasi
SDM TI di Faskes yang terbatas baik jumlah maupun keterampilan, menjadi salah satu kendala dalam penerapan keamanan informasi. Narasumber [N3] menjelaskan untuk mengisi kesenjangan SDM keamanan informasi di Faskes dengan tenaga kesehatan khususnya dari profesi Perekam Medis. Narasumber [N3] menambahkan sudah ada muatan tentang keamanan informasi pada kurikulum pendidikan institusi pendidikan Perekam Medis dan Informatika Kesehatan yang akan mulai diterapkan tahun 2023.
Narasumber [N1] menyarankan hal yang sama untuk memberdayakan SDM Perekam
47
Medis sebagai pengelola keamanan informasi karena mereka bertanggung jawab untuk pengelolaan rekam medis di Faskes. Narasumber [N1] memberikan masukan untuk mengacu pada Peta Okupansi Keamanan Siber yang dikeluarkan oleh BSSN untuk meningkatkan kapasitas dan keterampilan SDM keamanan informasi di Faskes.
(5) Pengukuran dan penilaian keamanan informasi
Narasumber [N3] menyampaikan beberapa instrumen pengukuran keamanan informasi sistem elektronik telah digunakan oleh pemerintah dalam bentuk self- assessment yang harus dilakukan oleh Faskes, misalnya Cyber Security Maturity (CSM) dan Indeks KAMI dari BSSN, Digital Maturity Index (DMI) dari Kemenkes, Standar Akreditasi dari KARS, dan akreditasi lainnya. Narasumber [N1] menambahkan bahwa instrumen tersebut dapat digunakan oleh Faskes untuk membantu dalam perancangan keamanan informasi. Pengukuran keamanan informasi yang ada saat ini masih ditujukan untuk level organisasi, sedangkan belum ada pengukuran untuk level individu.
Narasumber [N1] menjelaskan urgensi pengukuran keamanan informasi tingkat individu karena adanya malware yang mencuri informasi kredensial di perangkat pribadi pengguna untuk masuk ke dalam sistem elektronik. Narasumber [N3] menambahkan tentang rencana pengukuran tingkat kesadaran informasi pengguna SIK melalui aplikasi Satu Sehat yang sedang dikembangkan saat ini.
4.4.3 Temuan Penting Penelitian
Hasil penelitian ini menunjukkan persepsi pengguna SIK dan manajemen Faskes mengenai perilaku keamanan informasi yang diharapkan masih bersifat relatif.
Manajemen Faskes membiarkan pengguna untuk melakukan risk-taking behavior, seperti berbagi kata sandi, untuk menjamin kelengkapan data yang diisikan ke dalam SIK dan kecepatan dalam memberikan pelayanan kepada pasien. Tenaga kesehatan diikat oleh kode etik profesi untuk menjaga kerahasiaan data pasien yang dirawatnya. Ketika tenaga kesehatan membagikan informasi akunnya kepada tenaga kesehatan lain untuk membantunya mengakses atau meng-input data pasien ke SIK, mereka percaya bahwa rekan kerjanya akan menjaga kerahasiaan data tersebut. Oleh karena itu, pada kondisi tertentu seperti situasi darurat dan tingkat kunjungan pasien sedang tinggi, tenaga kesehatan tidak segan untuk membagikan informasi akunnya karena lebih mengutamakan perawatan kesehatan dan keselamatan pasien.
Persepsi tenaga kesehatan mengenai tingkat keparahan insiden keamanan masih cukup rendah dan tidak signifikan mempengaruhi perilaku keamanan informasi mereka.
Regulasi yang ada saat ini belum tegas dalam memberikan konsekuensi hukum jika Faskes mengalami kebocoran data. Kebijakan keamanan informasi di Faskes yang masih lemah belum memberikan sanksi tegas dari perilaku tenaga kesehatan yang menyebabkan insiden keamanan. Riwayat insiden keamanan yang pernah terjadi di Faskes belum memberikan pengalaman akan tingkat keparahan yang tinggi sehingga tenaga kesehatan masih sering mengabaikan perlindungan keamanan yang diperlukan. Edukasi untuk meningkatkan kesadaran keamanan informasi pengguna SIK juga masih kurang memberikan gambaran risiko keamanan informasi secara lengkap. Akan tetapi, tenaga
48
kesehatan dan Faskes memiliki perhatian yang tinggi terhadap kelengkapan data pelayanan medis yang telah dilakukan karena akan berpengaruh terhadap renumerasi yang akan diterima. Oleh karena itu, perlindungan terhadap integritas data pelayanan kesehatan menjadi prioritas meskipun harus melakukan perilaku keamanan yang berisiko.
Secara keseluruhan, frekuensi pengguna SIK melakukan perilaku yang berisiko untuk keamanan lebih rendah dibandingkan frekuensi melakukan perilaku yang diharapkan. Edukasi keamanan informasi kepada pasien sebagai pengguna SIK sangat diperlukan karena memiliki tingkat perilaku keamanan yang masih rendah dibandingkan tenaga kesehatan. Penelitian ini menambah pengetahuan mengenai perilaku pengguna SIK secara detail berdasarkan kelompok usia, jenis kelamin, dan pendidikan. Manajemen Faskes dapat menyesuaikan program dan format edukasi sesuai target demografi pengguna.
4.5 Implikasi Penelitian