Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393

Vol. 3 No. 1 Maret 2023 Hal. 141-150

http://jurnal.minartis.com/index.php/jsit

Manajemen
vvfffff Resiko Keamanan Aset Informasi Pada Puskesmas Pancur
Batu Tuntungan
1
Hairul Amri,2Alwi Awilo Haryada, 3Kairul Abdi, 4Ali Ikhwan
Universitas Islam Negeri Sumatera Utara, Fakultas Sains dan Teknologi, Program Studi Sistem Informasi, 1hairulamri6264@gmail.com
Universitas Islam Negeri Sumatera Utara, Fakultas Sains dan Teknologi, Program Studi Sistem Informasi, 2alwiharahap104@gmail.com
Universitas Islam Negeri Sumatera Utara, Fakultas Sains dan Teknologi, Program Studi Sistem Informasi, 3Khairulabdii02@gmail.com
Universitas Islam Negeri Sumatera Utara, Fakultas Sains dan Teknologi, Program Studi Sistem Informasi,. 4ali_ikhwan@uinsu.ac.id

Abstract
Information security risk management is an important aspect of managing information systems at the Pancur Batu Health
Center. This study aims to identify threats and risks that may occur to IT assets, as well as provide recommendations for
appropriate risk management. The method used is ISO 27005/2011. The results of the study show that the overall security risk of
IT assets is moderate and relatively small. The main recommendations given are the implementation of asset management
policies and SOPs. Further research development will focus on assessing and managing existing threat risks to maintain good
service.
Keywords: Information security risk management, ISO 27005/2011, IT assets.
Abstrak
Manajemen resiko keamanan informasi merupakan salah satu aspek penting dalam pengelolaan sistem informasi di Puskesmas
Pancur Batu.Penelitian ini bertujuan untuk mengidentifikasi ancaman dan risiko yang mungkin terjadi terhadap aset TI, serta
memberikan rekomendasi penanganan risiko yang sesuai. Metode yang digunakan adalah ISO 27005/2011. Hasil penelitian
menunjukkan bahwa risiko keamanan aset TI secara keseluruhan tergolong sedang dan relatif kecil. Rekomendasi utama yang
diberikan adalah penerapan kebijakan dan SOP pengelolaan aset. Pengembangan penelitian selanjutnya akan memfokuskan pada
penilaian dan penanganan risiko ancaman yang ada untuk menjaga pelayanan yang baik.
Kata Kunci: Manajemen resiko keamanan informasi, ISO 27005/2011, aset TI.

This work is licensed under Creative Commons Attribution License 4.0 CC-BY International license

PENDAHULUAN
Banyaknya Puskesmas yang belum memiliki sistem keamanan khususnya di daerah Tuntungan yang mengakibatan
kerentanan terhadap Cyber Attack.Teknologi Informasi (TI) kini memegang banyak peranan didalam berbagai
bidang organisasi maupun perusahaan. Bahkan terkadang memiliki peran yang sangat penting dalam menunjang
secara efisiensi dan efektifitas proses bisnis daripada organisasi atau perusahaan tersebut[1].Penggunaan
teknologi informasi dalam bidang kesehatan khususnya pada instansi rumah sakit merupakan suatu hal penting dan
tidak dapat dipisahkan dari proses bisnisnya. Akan tetapi, selama penggunaan dan implementasi teknologi
informasi tersebut dapat di mungkinkan timbulnya berbagai resiko yang dapat mengancam keberlangsungan proses
bisnis. Pengelolaan terhadap kemungkinan munculnya berbagai resiko ini merupakan hal yang perlu
diperhatikan. Salah satu langkah awal rumah sakit dalam mengelola resiko-resiko ini yakni melakukan upaya
pengukuran terhadap resiko teknologi informasi (penilaian resiko)[2]. Pemerintah juga mengeluarkan peraturan
mengenai manajemen resiko sebagai alat yang penting dalam melindungi keamanan informasi dalam instansi, sama
halnya dalam Perpres No. 95 Tahun 2018 memuat bahwa keseluruhan Sistem Pemerintahan Berbasis Elektronik
(SPBE) perlu meminimalisir ancaman agar pelayanan publik tetap maksimal[3].
Puskesmas merupakan salah satu instansi pemerintah yang bergerak dibidang pelayanan kesehatan
masyarakat di tingkat kecamatan. Peran puskesmas sangatlah penting dalam menopang kinerja dari instansi
kesehatan diatasnya seperti rumah sakit, sebagai upaya pencegahan dan penanggulangan kesehatan
masyarakat[4].Puskesmas Pancur Batu Tuntungan merupakan bagian dari lembaga pemerintah daerah yang
menyediakan layanan di bidang kesehatan[5].
Dalam menjalankan pekerjaannya, Puskesmas Pancur Batu Tuntungan ini menggunakan sistem informasi
yang terkomputerisasi, namun Puskesmas Pancur Batu Tuntungan belum pernah melakukan pengukuran resiko

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 141
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

terhadap keamanan
vvfffff informasinya dan belum menerapkan manajemen resikoterhadap informasi tersebut.Untuk
meminimalkan resiko yang mungkin terjadi, Puskesmas perlu melakukan evaluasi terhadap sistem yang digunakan.
Evaluasi dilakukan agar berbagai resiko pada teknologi dan keamanan informasi puskesmas dapat di
pangkas dan diatasi.Setelah dilakukan pengukuran, maka dapat diketahui besarnya ancaman dan kerentanan dari
setiap informasi, data yang dinilai kritis.Sehingga dapat diterapkan kontrol yang tepat dengan memprioritaskan
informasi yang paling berharga bagi perusahaan serta resiko dan ancaman yang paling besar. Dengan demikian,
setelah melakukan pengukuran, kita dapat mengetahui tingkat ancaman dan kerentanan dari setiap informasi, data
yang dinilai kritis, sehingga kita dapat menerapkan kontrol yang tepat dengan memprioritaskan informasi yang
paling berharga bagi Puskesmas serta resiko dan ancaman yang paling besar.
Instansi belum melakukan manajemen resiko keamanan informasi sehingga besar kemungkinan terjadinya
penyerangan oleh berbagai pihak, misalnya hacker dan penyerangan Ransomware lainnya.Hal tersebut dapat
mengganggu kinerja pelayanan pemerintah, menurunkan reputasi pemerintah, hilangnya kepercayaan masyarakat
terhadap layanan pemerintah, dan sebagainya. Maka, diperlukan pengelolaan terhadap resiko keamanan informasi
secara efektif untuk mencegah atau mengurangi terjadinya dampak insiden yang lebih merugikan lagi[3].
Tinjauan Pustaka
Mengacu pada latar belakang permasalahan yang terkait dengan resiko yang mungkin terjadi pada lembaga
kesehatan atau rumah sakit, beberapa tinjauan pustaka telah dilakukan terkait dengan keamanan sistem informasi,
manajemen, dan penilaian resiko dengan Standar ISO 27005:2011.
1. Keamanan Sistem Informasi
Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya
untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi resiko bisnis
(reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang[6]. Menurut
G.J.Simons,keamanan informasiadalahbagaimanakitadapat mencegah penipuan(cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistemyang berbasisinformasi,dimana informasinya sendiri tidak
memiliki arti fisik. Keamananinformasiadalahupayauntuk mengamankan asset informasiterhadap ancaman yang
mungkin timbul[7]. Keamanan informasi digunakan untuk melindungi kerahasiaan, integritas dan
ketersediaan asset informasi, baik dalam penyimpanan, pengolahan, atau transm isi. Halini dicapai melalui
penerapan kebijakan, pendidikan, pelatihan dan kesadaran, dan teknologi[8].
2. Manajemen
Manajemen merupakan suatu proses yang sangat dibutuhkan dalam dunia perusahaan, karena dalam proses
manajemen terdapat langkah-langkah atau tahapan dalam mencapai tujuan perusahaan sehingga dapat mencapai
tujuan tersebut secara efektif dan efisien[9]. Badrudin juga mengungkapkan bahwa Manajemen sebagai suatu
proses perencanaan, pengorganisasian, dan penggunaan sumber daya organisasi lainnya agar mencapai tujuan
organisasiyang telah ditetapkan[10].
3. Penilaian Resiko
Penilaian resiko adalah proses mengidentifikasi, mengevaluasi, dan mengekspresikan tingkat kemungkinan
terjadinya suatu resiko serta dampak yang dapat ditimbulkan oleh resiko tersebut. Penilaian resiko bertujuan
untuk mengukur kemungkinan terjadinya suatu resiko dan dampak yang dapat ditimbulkan oleh resiko tersebut,
sehingga dapat ditentukan tindakan yang tepat untuk mengelola dan mengurangi resiko tersebut.
Penilaian resiko biasanya dilakukan dengan menggunakan suatu metode atau alat bantu yang telah teruji dan
dapat diandalkan. Metode atau alat bantu yang digunakan dapat berupa tabel resiko, matriks resiko, atau model
probabilistik. Pada dasarnya, penilaian resiko dilakukan dengan cara menggabungkan informasi tentang
kemungkinan terjadinya suatu resiko dengan informasi tentang dampak yang dapat ditimbulkan oleh resiko
tersebut.
4. Standar ISO 27005:2011
ISO/IEC 27005 merupakan salah satu metode dengan standar keamanan informasi yang diterbitkan
International Organization for Standarization dan International Electrotecnical Comission. ISO 27005 menjadi
standar manajemen keamanan informasi yang luas digunakan oleh bisnis dan organisasi, menyediakan
referensi tertentu Yang paling komprehensif untuk menajemen keamanan informasi di dunia[11]. Standar ISO
27005: 2011 juga memiliki metodologi yang digunakan dalam proses manajemen resiko. Proses ini
dikembangkan dalam ruang lingkup keamanan informasi yang tercantum pada klausul dan annex dari ISO
27001, sehingga proses manajemen resiko yang dilakukan dapat melengkapi keseluruhan proses keamanan

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 142
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

informasi[12].
vvfffff ISO/IEC 27005 berfokus kepada analisis
resiko,untuk selanjutnya tahapan menuju pemilihan kontrol
keamanan. ISO/IEC 27001 dan ISO/IEC 27002 lebih eksplisit
kepada perencanaan, pelaksanaan dan operasi terhadap
kontrol keamanan. Kebijakan perusahaan mengenai keamanan
informasi memberikan arahan untuk manajemen keamanan
informasi[13].

Prosesumumpadamanajemenresikokeamananinformasi berdasarISO27005:2011 dapat diketahui pada Gambar

1 berikut[14]:

Gambar 1.Proses Manajemen Resiko ISO 27005:2011

Sebagaimana terlihat pada Gambar 1, proses manajemen resiko keamanan informasi dapat
diulang untuk menilai dan/atau menangani resiko.Pendekatan yang berulang ini memberikan
keseimbangan yang baik antara meminimalkan waktu dan upaya yang dikeluarkan untuk mengidentifikasi
kontrol.
Proses manajemen resiko keamanan informasi yang tercantum dalam ISO 27005:2011 terdiri dari
tiga tahap, yaitu: (1) Penetapan konteks manajemen resiko keamanan informasi, yang meliputi
penggambaran konteks sistem informasi yang berkaitan dengan pertimbangan umum, kriteria dasar, ruang
lingkup, batasan, dan organisasi manajemen keamanan informasi. (2) Penilaian resiko keamanan
informasi, yang terdiri dari identifikasi resiko, analisis resiko, dan evaluasi resiko. Identifikasi resiko
terdiri dari proses identifikasi aset, ancaman, kerentanan, dan dampak terjadinya ancaman. Analisis resiko
meliputi penentuan kategori dampak resiko yang mungkin terjadi berdasarkan ancaman yang ada,
penentuan kemungkinan terjadinya ancaman, dan penentuan level resiko yang mungkin terjadi dari setiap
ancaman terhadap aset yang ada. Kategori kemungkinan terjadinya ancaman dan dampak yang akan
digunakan pada penelitian ini ditunjukan pada Tabel 1 dan Tabel 2.

Kategori Kemungkinan Ancaman Keterangan

Sangat Jarang (1) Ancaman Hampir Tidak Pernah Terjadi.

Jarang (2) Frekuensi Kejadian Ancaman Jarang (1-5 Kali).
Sering (3) Frekuensi Kejadian Ancaman Cukup Sering (6-10 Kali).
Cukup Sering (4) Frekuensi Kejadian Ancaman Sering (10-20 Kali).

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 143
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

vvfffff Sangat Sering (5) Frekuensi Kejadian Ancaman Sangat Sering (>20 Kali).
Tabel 1. Kategori Kemungkinan dari Ancaman[5]

Tabel 2. Kategori dari Dampak[5]

Kategori dari Dampak Keterangan

Dampak Tidak Signifikan, Resiko yang tidak memiliki pengaruh yang terlalu besar terhadap aset
Sangat Rendah (1)
atau kegiatan yang sedang dianalisis.
Rendah (2) Dampak gangguan kecil bukan pada program utama. Toleransi penyelesaian masalah 1-2 hari.
Berpengaruh (3) Dampak gangguan sedang, yaitu ada gangguan kegiatan pendukung.
Cukup berpengaruh (4) Dampak gangguan besar, artinya menimbulkan gangguan pada kegiatan utama.
Dampak sangat krusial. Artinya menimbulkan gangguan pada kegiatan utama dan pendukung secara
Sangat berpengaruh (5)
kritis

Langkah terakhir dari proses penilaian resiko adalah menilai resiko yang telah diperoleh pada
tahap sebelumnya dan membuat daftar prioritas resiko berdasarkan nilai resiko. (3) Mengelola Resiko,
proses mengelola resiko didasarkan pada hasil penilaian resiko. Proses ini meliputi pemilihan cara
mengelola resiko, merencanakan cara mengelola resiko, dan mengevaluasi resiko yang tersisa. Langkah-
langkah tersebut diulang sampai ditemukan cara mengelola resiko yang terbaik. Ada empat pilihan dalam
mengelola resiko, yaitu memodifikasi resiko, mempertahankan resiko, menghindari resiko, dan membagi
resiko.
METODOLOGI PENILITIAN
Pada penelitian ini dimulai dengan pemahaman terlebih dahulu mengenai Puskesmas Pancur Batu
Tuntungan Pancur Batu, kemudian penentuan permasalahan yang terdapat pada Kemanan Informasi pada
Puskesmas Pancur Batu Tuntungan yang menjadi latar belakang penelitian. Penelitian ini dilakukan berdasarkan
kerangka kerja dari ISO 27005 tahun 2011.
Tahapan penelitian ini ditampilkan pada Gambar 2.Tahap pertama pengumpulan data melalui observasi dan
wawancara.Pada tahap ini, data dikumpulkan melalui observasi dan wawancara dengan Perawat dan staf di
Puskesmas Pancur Batu Tuntungan Pancur Batu.Tahap kedua dari proses identifikasi resiko, pada tahap ini
diuraikan lagi menjadi beberapa langkah yaitu identifikasi aset, ancaman, kontrol yang ada, kerentanan dan
konsekuensi. Tahap ketiga dari proses analisis resiko, dalam tahap ini meliputi analisis kuantitatif dan kualitatif,
penentuan kategori dampak resiko dan kemungkinan terjadinya ancaman, serta penentuan tingkat resiko. Tahap
keempat penilaian resiko didasarkan pada hasil penilaian resiko. Proses penilaian resiko pada aset TI dilakukan
dengan perhitungan biaya pemulihan, level resiko dan biaya transfer, sehingga hasilnya mendapatkan opsi
penanganan resiko yaitu modifikasi resiko, pertahankan resiko, hindari resiko dan bagi resiko.
Pengumpulan
Data Melalui
Identifikasi Analisis
Mulai Observasi
Resiko Resiko
dan
Wawancara

Penilaian
Resiko
Selesai Rekomendasi Terhadap
Ancaman dan
Dampak

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 144
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

vvfffff Gambar 2. Tahapan Penelitian

HASIL DAN PEMBAHASAN

Hasil observasi dan wawancara diketahui keamanan informasi padaaset TI di Puskesmas Pancur Batu
Tuntungan.KurangnyapengamananassetTI,backupdatadanupdateantivirusjarang dilakukan,merupakan kondisi
pengamanan informasi saat ini di Puskesmas Pacur Batu Tuntungan.
1. Identifikasi Resiko
Identifikasi aset, Puskesmas Pancur Batu Tuntungan memiliki aset yang berada di ruang loket pelayanan, ruang
poli pelayanan kesehatan dan ruang administrasi.Tabel 3 menyajikan aset TI yang dimiliki Puskesmas Pancur Batu
Tuntunganyang diklasifikasikan sebagai aset utama dan pendukung.Aset Puskesmas Pancur Batu Tuntungan berupa
Personal Computer (PC), Wireless Fidelity (WiFi), Printer, Flashdisk. Identifikasi ancaman terhadap aset TI yang
dimiliki Puskesmas Pancur Batu Tuntungan, beserta faktor penyebab dan sumber ancaman ditampilkan dalam Tabel
4.Identifikasi existing controls dilakukan untuk mengetahui kontrol yang telah diterapkan pada aset yang dimiliki
Puskesmas Pacur Batu Tuntungan yang disajikan pada Tabel 5.Identifikasi vulnerabilities dilakukan untuk
mengetahui kerentanan yang dapat terjadi pada aset yang dimiliki disajikan pada Tabel 6.Identifikasi dampak
dilakukan untuk mengetahui kerusakan atau konsekuensi yang ditimbulkan terhadap Puskesmas Pacur Batu
Tuntungan akibat skenario insiden.Jika aset TI yang dimiliki Puskesmas Pacur Batu Tuntungan, baik itu hardware
maupun software, mengalami gangguan atau kerusakan serta kesalahan, maka hal tersebut sangat merugikan
pelayanan kepada pasien yang berkunjung.

Tabel 3.Identifikasi Aset yang Dimiliki Puskesmas Pancur Batu Tuntungan

No. Aset Jenis Aset

1 Personal Computer (PC) Aset Utama

2 Wireless Fidelity (Wifi) Aset Pendukung

3 Printer Aset Pendukung
4 Fashdisk Aset Pendukung

Tabel 4.Identifikasi Ancaman yang Dimiliki Puskesmas Pancur Batu Tuntungan

No. Aset Ancaman Penyebab Ancaman Sumber Ancaman

1 Windows 10 Tidak Berjalan Lancar Terdapat banyak virus komputer Virus
2 Listrik Listrik Padam Tiba-tiba Kondisi Cuaca ekstrem Cuaca
3 Printer Kehabisan Tinta Printer Pemakaian Berlebih Staff Administrasi

Koneksi Lambat Banyaknya aset yang terhubung ke Seluruh Staff dan Pegawai
jaringan WiFi Puskesmas
4 Wireless Fidelity
Masalah Keamanan Teknisi Jaringan
Kurangnya pengawasan kepada pengguna

5 Fashdisk Virus Berbahaya Sembarangan dalam menggunakannya ke Virus

berbagai perangkat

Tabel 5.Identifikasi Excisting Control Pada Puskesmas Pancur Batu Tuntungan

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 145
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

No.
vvfffff Aset Keterangan

Staff menyimpan, menginput, dan membagikan data kepada Kepala/Staff

1 Personal Computer (PC)
2 Wireless Fidelity (Wifi)
3 Printer
4 Fashdisk
Puskesmas
Menggunakan Password untuk mengakses jaringan Wifi
Membatasi penggunaan nya hanya sebatas untuk keperluan puskesmas
Tidak membawa keluar kantor Flashdisk yang dimiliki oleh Puskesmas

Tabel 6.Identifikasi Vulnerabilities yang Dimiliki Puskesmas Pacur Batu Tuntungan

No. Aset Keterangan

1. Adanya bug atau kerentanan dalam sistem operasi yang dapat dimanfaatkan oleh hacker untuk mengakses
Personal Computer perangkat PC
1
(PC) 2. Penggunaan password yang mudah ditebak atau tidak terlindungi dengan baik, atau adanya kelemahan dalam
sistem keamanan jaringan yang dapat dimanfaatkan oleh hacker untuk mengakses perangkat PC
1. Penggunaan password yang mudah ditebak atau tidak terlindungi dengan baik, atau adanya kelemahan dalam
Wireless Fidelity enkripsi data yang dapat dimanfaatkan oleh hacker untuk mengakses jaringan WiFi.
2
(Wifi) 2. Tidak dilakukannya update software secara rutin, yang dapat menyebabkan terjadinya kerentanan baru atau
kelemahan dalam sistem keamanan
Adanya bug atau kerentanan dalam software printer yang dapat dimanfaatkan oleh hacker untuk mengakses
3 Printer
printer.
Tidak dilakukannya backup data secara rutin atau tidak memadainya prosedur keamanan yang digunakan untuk
4 Flashdisk
mengakses flashdisk, yang dapat menyebabkan hilangnya data atau terjadinya kegagalan sistem

2. Analisis Resiko

Pada tahap ini, akan dilakukan evaluasi kemungkinan ancaman, dampak, dan tingkat resiko yang mungkin
terjadi pada keamanan aset TI.Pada Tabel 7 ditampilkan skenario ancaman berdasarkan hasil identifikasi sebagai
langkah awal untuk melakukan evaluasi resiko.Hasil evaluasi kategori kemungkinan ancaman yang mungkin terjadi
didapatkan dari daftar skenario ancaman hasil identifikasi resiko, yang ditunjukkan pada Tabel 8.Hasil evaluasi
kategori dampak didapatkan dari daftar skenario ancaman hasil identifikasi resiko, yang ditunjukkan pada Tabel 9.
Berdasarkan evaluasi kategori kemungkinan ancaman dan dampak dari skenario ancaman hasil identifikasi
resikokeamanan aset TI.Maka hasil evaluasi tingkat resiko didapatkan dengan mengalikan kategori evaluasi
kemungkinan ancaman dengan nilai dampak.Hasil dari evaluasi tingkat resikokeamanan data SIMPUS dan aset TI
ditampilkan pada Tabel 10 yang terdiri dari tiga tingkat resiko yaitu Rendah (L), Sedang (M), dan Tinggi (H).

Tabel 7. Daftar Skenario Ancaman Keamanan Aset TI Puskesmas Pancur Batu

No.
Skenario Penjelasan
Ancaman

1 Virus komputer yang ditularkan melalui PC atau flashdisk yang terinfeksi.

2 Malware yang mengakses komputer melalui jaringan WiFi.

3 Pencurian identitas melalui akses tidak sah ke PC atau printer yang tidak terlindungi dengan benar.

4 Serangan phishing melalui email yang dikirim ke PC atau melalui jaringan WiFi.

5 Akses tidak sah ke jaringan WiFi oleh pengguna yang tidak memiliki izin.

6 Kehilangan atau pencurian flashdisk yang mengandung informasi rahasia.

7 Penggunaan printer yang tidak aman yang memungkinkan orang lain mengakses dokumen yang dicetak.

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 146
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

8 vvfffff Serangan denial of service (DoS) pada jaringan WiFi yang menyebabkan gangguan layanan.
Ransomware yang mengenkripsi file pada PC atau jaringan dan menuntut uang tebusan untuk mendapatkan kembali
9 akses.
10 Kelemahan keamanan pada perangkat WiFi yang memungkinkan akses tidak sah.

11 Pencurian informasi pribadi melalui PC yang tidak terlindungi dengan benar atau jaringan WiFi yang tidak aman.

12 Penggunaan flashdisk yang tidak aman yang dapat menyebabkan infeksi virus pada komputer yang terhubung.

13 Pencurian data melalui akses tidak sah ke printer yang terkoneksi ke jaringan.

14 Penyadapan komunikasi melalui jaringan WiFi yang tidak aman.

15 Penggunaan password yang tidak aman untuk mengakses PC, printer, atau jaringan WiFi.

16 Serangan man-in-the-middle (MitM) pada jaringan WiFi yang memungkinkan pihak ketiga menyadap komunikasi.

17 Penyalahgunaan hak akses oleh pengguna yang memiliki izin akses ke PC, printer, atau jaringan WiFi.

18 Penyebaran virus melalui file yang diunduh dari internet ke PC

19 Pencurian data melalui kegagalan keamanan pada sistem cloud yang terhubung dengan PC atau jaringan WiFi.
Penggunaan perangkat lunak yang tidak aman yang dapat menyebabkan kerentanan keamanan pada PC atau jaringan
20 WiFi.

Tabel 8.Kategori Kemungkinan dari Ancaman

Kategori Kemungkinan Ancaman Keterangan

Sangat Jarang (1) 9,13,

Jarang (2) 1,2,3,4,8,10,11,14,16,
Sering (3) 5,6,7,12,15,18,19
Cukup Sering (4) 17, 20
Sangat Sering (5)

Pada bagian analisis resiko, akan dibuat kategori evaluasi resiko. Pada kategori evaluasi resiko yang akan
dilakukan adalah memasukan nomor skenario ancaman dari hasil identifikasi resikokeamanan aset TI yang nilainya
didapatkan dari kategori kemungkinan ancaman dan dampak pada tabel matriks kategori evaluasi resiko. Hasil dari
kategori evaluasi resiko ditampilkan pada Tabel 9.

Kategori dampak ancaman Keterangan

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 147
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

Tabel 9.vvfffff
Kategori Sangat Rendah (1) Kemungkinan dari
Dampak
Rendah (2) 1,5
Berpengaruh (3) 2,4,7,10,11,12,13,14,16
Cukup berpengaruh (4) 3,6,8,9,15,18,19
Sangat berpengaruh (5) 17, 20

Tabel 10. Hasil Penilaian Level Resiko Keamanan Aset TI

No. Skenario Nilai Ancaman Nilai Dampak Nilai Resiko Level Resiko

1 2 1 2 L

2 2 3 6 M
3 2 4 8 M
4 2 3 6 M
5 3 2 6 M
6 3 4 12 M
7 3 3 9 M
8 2 4 8 M
9 1 5 5 L
10 2 3 6 M
11 3 4 12 M
12 3 3 9 M
13 1 3 3 L
14 2 3 6 M
15 3 4 12 M
16 2 3 6 M
17 4 5 20 H
18 3 4 12 M
19 3 4 12 M
20 4 5 20 H
Hasil dari evaluasi tingkat resiko keamanan data SIMPUS dan aset TI ditampilkan pada Tabel 11 yang terdiri dari
tiga tingkat resiko yaitu Rendah (L), Sedang (M), dan Tinggi (H).

Kemungkinan terjadinya ancaman

(1) (2) (3) (4) (5)

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 148
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

(1)
vvfffff 9
Dampak

(2) 1 5
(3) 13 2,4,10,11,14,16, 7,12
(4) 3,8, 6,15,18,19,
(5) 17, 20
Tabel 11.Matriks Kategori Penilaian Resiko

3. Penilaian Resiko

Pada tahap ini dilakukan proses evaluasi resiko yang meliputi pemilihan penanganan resiko berdasarkan tabel
matriks pemilihan penanganan resiko yaitu modifikasiresiko (Risk Modification/RM), mempertahankan resiko (Risk
Retention/RR), menghindari resiko (Risk Avoidance/RA), membagi resiko (Risk Sharing/RS) dan Pengendalian
Resiko (Risk Control/RC). Kemudian hasilnya diajukan sebagai pertimbangan dalam menangani resiko keamanan
data SIMPUS dan aset TI Puskesmas Pancur Batu Tuntungan.Hasil evaluasi resiko ditampilkan pada Tabel 14 di
mana rata-rata resiko sedang dan resiko tinggi masih tergolong kecil terhadap ancaman yang mungkin terjadi dan
penanganan resiko dari 20 skenario ancaman yang mungkin terjadi yaitu, modifikasi resiko (RM) 3 skenario,
menghindari resiko (RA) 10 skenario, membagi resiko (RS) 3 skenario, pengendalian resiko (RC) 2 skenario dan
penahanan resiko (RR) 2 skenario.

Tabel 12.Hasil Penilaian Risiko Keamanan Aset TI

No. Skenario Level Risiko Kategori Biaya Pemulihan Kategori Penanganan

1 L L RC
2 M L RM
3 M M RA
4 M M RA
5 M M RM
6 M M RA
7 M M RR
8 M M RS
9 L H RA
10 M L RA
11 M L RM
12 M L RA
13 L L RA
14 M M RR
15 M M RA
16 M M RA
17 H M RS
18 M L RA
19 M M RS
20 H M RC

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 149
 Jurnal Jurnal Sains Dan Teknologi (JSIT) ISSN : 2807-7393
Vol. 3 No. 1 Maret 2023 Hal. 141-150
http://jurnal.minartis.com/index.php/jsit

vvfffff
4. Rekomendasi
Saran untuk menangani risiko di Puskesmas Pacur Batu Tuntungan lebih diutamakan pada skenario ancaman
yang memiliki level risiko Tinggi (H), dapat dilihat pada Tabel 12, yaitu:
1. Penyalahgunaan hak akses oleh pengguna yang memiliki izin akses ke PC, printer, atau jaringan WiFi.
2. Penggunaan perangkat lunak yang tidak aman yang dapat menyebabkan kerentanan keamanan pada PC
atau jaringan WiFi.

Saran utama yang diberikan kepada Puskesmas Pancur Batu Tuntungan adalah membuat dan menerapkan
kebijakan dan SOP pengelolaan aset utama yang berupa PersonalComputer( PC ). Selain itu, saran tambahan yang
diberikan adalah memberikan pelatihan terhadap pengelola dan pengguna asset utama. Saran lain untuk aset
pendukung adalah mengamankan, memelihara, mengontrol, dan menambah kebutuhan yang diperlukan untuk
meminimalkan risiko.
KESIMPULAN

Hasil penelitian ini menunjukkan bahwa risiko keamanan aset TI secara keseluruhan tergolong sedang dan relatif
kecil.Rekomendasi utama yang diberikan adalah penerapan kebijakan dan SOP pengelolaan aset
utama.Pengembangan penelitian selanjutnya akan memfokuskan pada penilaian dan penanganan risiko ancaman
yang ada untuk menjaga pelayanan yang baik.
DAFTAR PUSTAKA
[1] A. Gerson, R. Padang, A. Ambarwati, and E. Setiawan, “Penilaian Manajemen Resiko TI Menggunakan Quantitative dan Qualitative
Risk Analysis,” vol. 10, pp. 527–537, 2021.
[2] N. Matondang, I. N. Isnainiyah, and A. Muliawatic, “Analisis Manajemen Resiko Keamanan Data Sistem Informasi (Studi Kasus:
RSUD XYZ),” J. RESTI (Rekayasa Sist. dan Teknol. Informasi), vol. 2, no. 1, pp. 282–287, 2018, doi: 10.29207/resti.v2i1.96.
[3] I. P. S. Syahindra, C. H. Primasari, A. Bagas, and P. Irianto, “EVALUASI RESIKO KEAMANAN INFORMASI DISKOMINFO
PROVINSI XYZ MENGGUNAKAN INDEKS KAMI DAN ISO 27005 : 2011,” vol. 16, pp. 165–182, 2022.
[4] A. Syukron and N. Hasan, “Perancangan Sistem Rawat Jalan Berasis web Pada Puskesmas Winong,” Bianglala Inform., vol. 3, no. 1,
pp. 28–34, 2017.
[5] A. Ambarwati and C. Darujati, “Penilaian Resiko Data Sistem Informasi Manajemen Puskesmas dan Aset Menggunakan ISO 27005,”
vol. 10, pp. 13–25, 2021.
[6] E. Kurniawan et al., “Analisis Tingkat Keamanan Sistem Informasi Akademik Berdasarkan Standard ISO / IEC 27002 : 2013
Menggunakan SSE-CMM,” 2018.
[7] K. Informasi, “Keamanan informasi,” vol. 1, no. 1, 2018.
[8] F. R. A. M. Ew and O. R. K. Cobit, “Cobit 5 (apo13),” vol. 03, no. 02, pp. 3–7, 2018.
[9] A. P. Manajemen, U. Muslim, and I. Makassar, “Manajemen kinerja,” vol. 2, no. 2, pp. 167–175, 2017.
[10] J. Islamic and E. Manajemen, “p-ISSN: 2541-383X e-ISSN: 2541-7088,” vol. 3, no. 2, pp. 170–180, 2018.
[11] H. Jauhary, G. E. Pratiwi2, A. Z. Salim, and F. Fitroh, “Penerapan ISO27001 dalam Menjaga dan Meminimalisir Resiko Keamanan
Informasi : Literatur Review,” Media J. Inform., vol. 14, no. 1, p. 43, 2022, doi: 10.35194/mji.v14i1.1581.
[12] Sumbogo Romualdus, “Manajemen Resiko Aset Aplikasi Pada DISKOMINFO STATISTIK DAN PERSANDIAN Kota XYZ
Menggunakan Standar ISO/IEC 27005:2008,” E-Journal Uajy, 2020, [Online]. Available: http://e-journal.uajy.ac.id/id/eprint/22534
[13] R. V. Imbar and A. E. Ayala, “PENERAPAN STANDAR KEAMANAN INFORMASI MENGGUNAKAN FRAMEWORK ISO/IEC
27005:2011 di LAPAN BANDUNG,” J. Tek. Inform. dan Sist. Inf., vol. 4, no. 1, pp. 195–206, 2018, doi: 10.28932/jutisi.v4i1.770.
[14] A. Asriyanik and Prajoko, “Manajemen Keamanan Informasi pada Sistem Informasi Akademik Menggunakan ISO 27005:2011 pada
Sistem Informasi Akademik (SIAK) Universitas Muhammadiyah Sukabumi (UMMI),” J. Tek. Inform. dan Sist. Inf., vol. 4, no. 2, pp.
315–325, 2018.

Jurnal Jurnal Sains Dan Teknologi (JSIT) Vol.03 No. 01 Maret 2023 150