Tata Kelola Keamanan Informasi dan

Penerapan Komputasi Awan (Cloud

Computing ) di RS Swasta Maupun
Pemerintah
Tony Seno Hartono
Staf Ahli Bidang TI RS PERSI
Teknologi Mendukung Pelayanan Kesehatan
Tele Tele Tele Tele Tele Tele DUKUNGAN
Tele
TELEMEDIKA
Konsultasi Radiology Kardiologi Optamologi Dermatologi Farmasi Laboratorium

PELAYANAN
Pelayanan Pelayanan SPGDT Pelayanan Pelayanan Pelayanan Dukungan KESEHATAN
Kesehatan Kesehatan 119 Tenaga Tenaga Kesehatan dan KONVENSIONAL
Primer Lanjut Sosial Perawat Rumah Bantuan
Sosial

PELAYANAN RUMAH SAKIT HOME SERVICES

EMERGENCY & ACCUTE SERVICES PROGRAM INTEGRATED OUTPATIENT PROGRAM PELAYANAN
e-ICU e-DARURAT e-KONSULTASI e-RJI e-RJK e-RJT KESEHATAN
MENDEKATI
Untuk Unit Kegawatdaruratan Untuk Expertise on Untuk Rawat Jalan Untuk Rawat Jalan Untuk Rawat Jalan MASYARAKAT
Perawatan Intensif medis/bedah Call Intensif Kronik Transisi
FASYANKES
Tim Multidisiplin SENTRIS
MENJADI
PUSAT TELEKESEHATAN PASIEN SENTRIS
ORGANISASI PELAYANAN KESEHATAN YANG AKUNTABLE
Temuan Umum
• SDM
• Ketidaktahuan, kecerobohan, social engineering, pencurian data, pengkopian ilegal
• Manajemen password yang buruk, ketiadaan sanksi
• Kurangnya pelatihan dan sertifikasi keahlian SDM
• Proses
• Infrastruktur TI dan Keamanan Informasi bukan prioritas utama, sehingga kerap terabaikan
• Kurangnya kontrol, aturan, kebijakan, standar untuk perlindungan keamanan fisik dan lingkungan
• Tidak ada kebijakan, prosedur maupun aturan untuk menanggulangi insiden kelemahan sistem
informasi
• Dokumentasi tidak lengkap: buku manual program, dokumen operasional dan penggunaan
• Proses yang terisolasi satu sama lain
• Teknologi
• Teknologi lama, sulit diintegrasikan
• Sangat tergantung pada pengembang aplikasi pihak ketiga tanpa transfer knowledge yang memadai
 Kasus Keamanan Informasi di RS
• Kasus Wannacry tahun 2017
• Sistem Operasi
• Bukan versi terbaru, dan tidak dimutakhirkan
• Hanya separuh OS yang orisinal
• Perangkat infrastruktur sudah kedaluwarsa
• Kurang optimal memanfaatkan perangkat keamanan jaringan
• Keahlian SDM yang kurang

https://teknologi.bisnis.com/read/20200416/84/1228246/belajar-dari-kasus-wannacry-rs-perlu-amankan-data-medis-pandemi-covid-19
 Kasus Keamanan di Era Pandemi
• Phishing melalui e-mail
• Situs malware menyamar sebagai peta Covid-19
• Situs palsu serupa Univ John Hopkins
• Pemerasan (ransomware)

https://www.cnnindonesia.com/teknologi/20200317075216-185-484078/pakar-it-rumah-sakit-rentan-kena-serangan-siber-kala-corona
 • Kepmenkes 844/2006 Standar Kode Data

Regulasi IT • Permenkes 269/2008 Rekam Medis

• UU 11/2008 ITE dan Perubahannya (UU 19/2016)
• UU 44/2009 Rumah Sakit
• RS Online (Permenkes 1171/2011)
• Perpres 72/2012 Sistem Kesehatan Nasional (SKN)
• SISRUTE (Rev. Permenkes 001/2012)
• SIMRS (Permenkes 82/2013)
• PP 46/2014 Sistem Informasi Kesehatan (SIK)
• Permenkes 97/2015 Peta Jalan Sistem Informasi Kesehatan (SIK) 2014-2019
• Perpres 95/2018 Sistem Pemerintahan Berbasis Elektronik (SPBE)
• NCC dan PSC (PMK 19/2016)
• Permenkes 46/2017 Strategi e-Kesehatan Nasional
• ASPAK (Permenkes 31/2018)
• PP 71/2019 Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)
• Telemedisin antar Faskes (Permenkes 20/2019)
PP71 Tahun 2019 Tentang PSTE
PP71 Tahun 2019 Tentang PSTE
Aspek-Aspek Keamanan Informasi PP71/2019
• Kerahasiaan, Integritas, Ketersediaan (Pasal 4)
• Perangkat Keras (Pasal 7)
• Perangkat Lunak (Pasal 8)
• Source Code (Pasal 9)
• Kompetensi SDM (Pasal 10)
• Manajemen Risiko (Pasal 12)
• Perlindungan Data Pribadi (Pasal 14)
• Hak untuk Dilupakan (Pasal 15)
• PSE Lingkup Publik (Pasal 20)
• PSE Lingkup Privat (Pasal 21)
Lokasi data & pemrosesan
• Jejak Audit (Pasal 22)
• Uji Kelaikan (Pasal 34)
Pasal 20 Ayat 2 Tidak Memiliki Sanksi
Aspek-Aspek Keamanan Informasi
di PP71 Th 2019 & Penerapannya
• Kerahasiaan, Integritas, Ketersediaan
(Pasal 4)
• Perangkat Keras (Pasal 7)
• Perangkat Lunak (Pasal 8)
• Source Code (Pasal 9)
• Kompetensi SDM (Pasal 10)
• Manajemen Risiko (Pasal 12)
• Perlindungan Data Pribadi (Pasal 14)
• Hak untuk Dilupakan (Pasal 15)
• PSE Lingkup Publik (Pasal 20)
• Jejak Audit (Pasal 22)
• Uji Kelaikan (Pasal 34)
• Ketaatan
• ISO 27001 Information Security
Management
• ISO 27017 Cloud Security
• ISO 27018 Code of Practice for
Protecting Personal Data
• GDPR – General Data Protection
Regulation
• Manajemen Risiko
• ISO 31000 Risk Management
Tata Kelola Informasi Merupakan Kebutuhan
• Perubahan bahwa Rekam Medik kertas -> Elektronik
• Perlu cara yang efektif untuk mengumpulkan dan menyusun informasi
elektronik
Tata Kelola Informasi (IG)
• IG adalah proses menyelaraskan manajemen dan kontrol informasi
dengan tujuan bisnis dan kebutuhan kepatuhan regulasi
 Prinsip-Prinsip Tata Kelola Informasi untuk
Sektor Kesehatan
• Akuntabilitas
• Transparansi
• Integritas
• Proteksi
• Kepatuhan
• Ketersediaan
• Retensi
• Disposisi

https://www.colleaga.org/sites/default/files/attachments/IG_Principles.pdf
Akuntabilitas
• Audit harus dilakukan untuk memastikan bahwa:
• SDM memahami ttg Tata Kelola Informasi
• SDM dilatih dalam praktik, kebijakan, dan tanggung jawab tata kelola informasi
• Informasi dilindungi, diakses, disimpan, dan dirilis dengan benar dengan jejak
audit yang terdokumentasi dengan baik
• Informasi tersedia kapan dan di mana diperlukan
• Informasi tersedia dipertahankan untuk waktu yang tepat dan ditempatkan
dengan benar ketika tidak lagi diperlukan
• Kebijakan selalu mutakhir, diadopsi, dan mencakup semua jenis informasi di
semua media
Transparansi
• Catatan dan informasi adalah bukti yang paling jelas dan paling tahan
lama terkait operasional, keputusan, aktivitas, dan kinerja organisasi.
• Untuk memastikan hal tersebut, catatan ini harus:
• Merupakan dokumentasi prinsip dan proses yang mengatur program
• Merupakan dokumentasi yang akurat dan lengkap untuk setiap kegiatan yang
dilakukan
• Dapat dibuka untuk pihak yang berkepentingan yang sah dan tepat waktu
Integritas
• RS harus dapat membuktikan bahwa informasi adalah otentik, tepat
waktu, akurat, dan komplet, sehingga dapat dipercaya
• Integritas informasi harus memenuhi aspek keselamatan, kualitas
perawatan, dan kepatuhan, sehingga bbrp syarat ini harus dipenuhi:
• Memenuhi kebijakan dan prosedur organisasi
• Diatur dan dikelola SDM yang sudah terlatih
• Dapat diandalkan
• Dapat diakses untuk keperluan litigasi (penyelesaian sengketa di pengadilan)
• Memiliki rekam jejak audit
• Sistem yang andal yang digunakan untuk mengatur informasi
Proteksi
• SDM di organisasi harus:
• Menerapkan pengamanan yang wajar untuk membatasi pengungkapan
insidental PHI dan PII
• Menerima pelatihan tentang kebijakan dan prosedur pembuangan
• Tidak mengabaikan atau membuang informasi, khususnya PHI atau PII atau
informasi pribadi lainnya dalam wadah yang dapat diakses oleh publik atau
orang yang tidak berwenang lainnya
• Memberikan validasi metode pembuangan, waktu, tanggal, dan pihak yang
bertanggung jawab
Kepatuhan
• Setiap organisasi harus:
• Mencatat informasi yang lengkap sehingga nantinya dapat digunakan untuk
membuktikan nanti bahwa kegiatan telah dilakukan dengan cara yang sah.
• Mencatat informasi dengan cara yang konsisten dengan hukum dan peraturan.
• Menjaga informasi dengan cara dan untuk waktu yang ditentukan oleh hukum
atau kebijakan organisasi.
• Mengembangkan kontrol internal untuk memantau kepatuhan terhadap aturan,
peraturan, dan persyaratan program
Ketersediaan
• Sebuah organisasi yang sukses dan bertanggung jawab harus memiliki
kemampuan untuk mengidentifikasi, menemukan, dan mengambil
informasi yang diperlukan untuk mendukung kegiatan yang sedang
berlangsung.
• Informasi ini dapat digunakan oleh:
• Tim perawatan kesehatan, pasien, dan pemberi perawatan lainnya
• Anggota tenaga kerja yang berwenang dan pihak lain yang berwenang sesuai
dengan peraturan
• Otoritas hukum dan kepatuhan untuk tujuan penemuan dan tinjauan
peraturan
• Peninjau internal dan eksternal untuk tujuan termasuk tetapi tidak terbatas
pada: audit pembayar, audit keuangan, manajemen kasus, dan penjaminan mutu.
Retensi
• Organisasi harus mengembangkan jadwal penyimpanan informasi, yang
menentukan informasi apa yang harus disimpan dan untuk jangka waktu
tertentu.
• Hukum dan Peraturan—menentukan seberapa lama (minimum/maksimum) suatu
informasi harus disimpan
• Fiskal—Informasi keuangan atau pajak harus disimpan untuk memastikan pembayaran
kewajiban yang tepat waktu dan penerimaan piutang yang tepat, serta untuk
mendukung audit keuangan dan pengembalian pajak organisasi.
• Operasional—Organisasi harus menentukan berapa lama informasi diperlukan untuk
memenuhi kebutuhan operasionalnya.
• Klinis—Organisasi harus menentukan dan berapa lama informasi di agregat dan
berdasarkan jenis informasi harus disimpan untuk memenuhi kebutuhan klinis
• Peran/Misi—Berdasarkan peran dan/atau misi rumah sakit dalam industri perawatan
kesehatan, periode penyimpanan untuk semua atau jenis informasi tertentu dapat
ditetapkan di luar periode waktu jika tidak diperlukan. Misalnya informasi tentang
penelitian.
Disposisi
• Organisasi harus menyediakan disposisi yang aman dan tepat untuk
informasi yang tidak lagi diperlukan untuk dipelihara oleh undang-undang
yang berlaku dan kebijakan organisasi.
• Pada akhir periode penyimpanannya, informasi organisasi harus ditetapkan
untuk disposisi.
• Disposisi mencakup: penghancuran, perubahan permanen dalam penyimpanan
informasi (misal pengalihan ke pihak lain karena suatu hal)
• Dalam banyak kasus, disposisi yang tepat adalah penghancuran informasi, dalam hal ini
organisasi harus memastikan informasi tersebut diangkut dan dihancurkan dengan
cara yang aman dan bertanggung jawab terhadap lingkungan.
• Dalam beberapa kasus, organisasi perawatan kesehatan yang menghentikan bisnis
mereka dapat memilih untuk mentransfer catatan perawatan kepada pasien atau klien
yang terkait dengan mereka.
COBIT & ISO 27001 – Persamaan & Perbedaan
COBIT & ISO 27001 - Keterkaitan
 Pertimbangan Layanan Awan
Cocok untuk komputasi awan Bisa dipertimbangkan untuk Cocok untuk komputasi awan
publik komputasi awan publik atau pribadi (atau virtualisasi di DC
pribadi sendiri)

Pertimbangan • Risiko rendah • Risiko medium • Risiko tinggi

Bisnis • Tidak terkena dampak aturan • Sedikit terkena dampak aturan • Terkena dampak aturan
• Konten dampak rendah • Konten berdampak menengah • Konten berdampak tinggi

Pertimbangan • Tidak antar premis • Antar premis • Antar premis

Teknis • Tidak perlu selalu diawasi • Perlu diawasi sedikit • Harus selalu diawasi
• Integrasi aplikasi in-house • Integrasi aplikasi in-house • Integrasi aplikasi paket
• Penyimpanan basis data kecil • Penyimpanan basis data menengah • Penyimpanan basis data besar

25
 Strategi Penerapan Komputasi Awan: Komputasi
Awan Pribadi atau Publik atau Hibrid ?
Pahami Semua Risiko
Komputasi Awan sebelum
Menerapkannya

ISO 31000 :
• Prinsip manajemen risiko
• Penerapan umum, dan
mencakup berbagai jenis
risiko dg konsekuensi
NEGATIF atau POSITIF
ISO 31000:2009
Ditujukan ke seluruh pemangku kepentingan di dalam organisasi,
termasuk :
• Pengambil keputusan
• Group manajemen risiko
• Manajemen dan analis risiko
• Para manajer
• Auditor internal dan kepatuhan
• Praktisi independen

27
Risiko menurut ISO 31000:2009
• Risiko tidak berarti kemungkinan kehilangan
• Risiko adalah dampak dari ketidakpastian pada objektif

• Risiko bisa berarti kemungkinan positif atau negatif

28
Mengatur Risiko
ISO 31000:2009 memberikan pilihan bagaimana mengatur risiko :

1. Hindari risiko dengan memutuskan untuk tidak memulai atau melanjutkan

kegiatan yang memberikan risiko tersebut
2. Menerima atau meningkatkan risiko untuk mengejar suatu peluang
3. Menghilangkan sumber risiko
4. Mengubah kemungkinan
5. Mengubah konsekuensi
6. Berbagi risiko dengan pihak lain (termasuk risiko finansial dan kontrak)
7. Membiarkan risiko melalui keputusan yang informatif
29
Keputusan Yang Tepat Diambil Berdasarkan
Pertimbangan : Biaya vs Risiko

Apa yang kita bayar Konsekuensi Positif/Negatif ?

Nilai
Apa yang kita dapat
Penerapan Teknologi Baru Mendorong Inovasi
dan Transformasi
Risiko
melalui Manajemen Risiko
1. Buat Risiko yang Jelas,
Terlihat, Bisa Diukur, dan
Bisa Ditangani
2. Kebanyakan lembaga
pemerintah tidak
memiliki manajemen
risiko secara natural

Bisa Ditangani
Jelas
Terlihat Bisa Diukur

31
 Pelanggan Penyedia Layanan
Provider stack

Identifikasi Risiko Respon Vendor Kontrol Audit

Definisi Kemungkinan Terjadi

33
Definisi Dampak

34
Identifikasi, Analisis Risiko &
Kontrol Kompensasi
• Libatkan semua pemangku
kepentingan

35
Klasifikasi Data
Klasifikasi Data
Definisi Contoh Data
Sektor Publik
Dokumen politik yang berkaitan dengan masalah
Informasi yang sangat sensitif jika bocor akan
negosiasi internasional, masalah teknis nilai militer,
Tingkat 3: Data menyebabkan kerusakan dahsyat bagi bangsa. Contohnya
proyek pemerintah besar seperti proposal untuk
Rahasia atau termasuk, informasi pertahanan rahasia, intelijen militer
menyesuaikan data audit internal negara (sebelum
Sangat Sensitif dan rencana, surat kabinet sensitif mengenai ekonomi dan
publikasi resmi), rahasia dagang, data teknis yang
kebijakan.
mendukung perjanjian transfer teknologi
Informasi sensitif yang jika bocor, menyebabkan kesulitan
administratif dalam sebuah departemen dan akan Bahan-bahan terbatas, data bisnis, email, dan sistem
mempengaruhi reputasi negara. Contohnya termasuk, CRM. Contohnya meliputi catatan keuangan dan rekam
Tingkat 2: Data
informasi intelijen biasa (tidak terkait ekonomis atau medis seperti catatan pendidikan pribadi, informasi
terbatas atau
politis), dokumen atau laporan mengenai pelatihan militer keuangan yang dapat diidentifikasi secara pribadi
Sensitif
atau polisi, makalah pemeriksaan, informasi yang (personally identifiable finansial information = PIFI),
membawa keuntungan finansial jika terpapar sebelum informasi kesehatan yang terlindungi
waktunya.
Tingkat 1: Data Ini mencakup data pemerintah yang dianggap tidak
Open Data, informasi yang tersedia untuk umum
tidak diklasifikasikan dan dapat dikonsumsi secara eksternal.
termasuk situs web informasi, sistem terminologi,
terklasifikasi atau Contohnya termasuk, website yang menghadap ke publik,
standar, daftar praktisi
non-sensitif email, komunikasi umum, data IoT.
Keamanan Data
1. Enkripsi
a) Kunci dipegang
Provider Enhanced
SQL Server SQL
b) Kunci dipegang Library

Pihak Ketiga
c) Kunci dipegang
user langsung
Data set CIPHERTEXT
2. Penganoniman Customer Credit card # Exp.

a) Hapus atribut Customer Credit card # Exp.

Tim Irish 1x7fg655se2e
4839-2939-1919-3987 7/19

Denny Usher 0x7ff654ae6d

4949-8003-8473-1930 5/17
identifikasi Denny Usher 0x7ff654ae6d
4949-8003-8473-1930 5/17
Alicia Hodge 0y8fj754ea2c
9000-4899-1600-1324 4/18

3. Penutupan
a) Substitusi
b) Pengacakan
c) Enkripsi Column master key Column encryption key
Kesimpulan
1. Pemanfaatan teknologi tidak dapat dihindari
2. Penerapan teknologi harus diimbangi oleh peningkatan SDM dan Proses
3. Regulasi selalu terlambat, namun regulasi mendorong pemanfaatan teknologi,
termasuk penggunaan komputasi awan
4. Tim legal harus mempelajari apakah penerapan suatu teknologi sudah sesuai
dengan regulasi yang ada
5. Untuk memastikan Keamanan Informasi diperlukan Tata Kelola Informasi yang
baik
6. Standar ISO dapat dikombinasikan dengan Praktik Terbaik COBIT
7. Penerapan teknologi komputasi awan memerlukan analisis Manajemen Risiko
8. Kemenkes perlu membuat peraturan yang lebih jelas tentang Klasifikasi Data
9. Melalui Klasifikasi Data RS dapat menerapkan teknik Keamanan Data yang layak