Analisis Risiko Pada Sistem Informasi

Healthcare PT XYZ Menggunakan Framework

NIST 800-30

Kelompok 2:
20220803151 Angga Vb
20220803118 Imelda Inmas Jeujanan
20200803100 Vincent Laurensius
Tom Richard Simatupang
 Agenda
Introduction Methodology
01 Purpose, Scope & Boundaries, Process,
Roles & Responsibilites
02 Risk Assessment’s Framework

Risk Assessment Conclusions

03 Framework’s Steps 04 Summaries

Q&A
05 Questions & Discussions
01
Background

Sistem Informasi Healthcare PT XYZ adalah platform yang dioperasikan oleh perusahaan Third
Party Assistance. Fungsinya adalah untuk memproses klaim dari pemegang polis asuransi yang
berasal dari klien PT XYZ. Tantangan utama dalam sistem ini terkait dengan keamanan informasi,
yang jika tidak diperbaiki secara berkelanjutan, dapat berdampak buruk pada keberlanjutan
sistem. Hal ini terutama berpotensi merugikan penerima manfaat klaim polis. Penelitian untuk
mengatasi permasalahan tersebut menggunakan metode NIST 800-30. Hasil penelitian
menunjukkan bahwa PT XYZ memiliki 1 tingkat risiko tinggi, 5 tingkat risiko sedang, dan 52
tingkat risiko rendah, memberikan gambaran mengenai tingkat keamanan dan risiko dalam sistem
tersebut.
 Scope & Boundaries
Scope:
• Lingkup evaluasi risiko ini mencakup seluruh proses pengembangan aplikasi yang mengikuti
metodologi Scrum.
• Melibatkan semua tahapan dari perencanaan awal dan pengembangan (Dapat dilihat pada Gambar
Proses)

Batasan: Aspek bisnis tertentu yang dianggap di luar kendali atau ruang lingkup tim pengembangan
Scrum.
 Roles & Responsibilites
Roles Responsibilites

Programmer Mengembangkan, memelihara, dan memperbarui perangkat lunak dalam Sistem

Informasi Healthcare

IT Manager Bertanggung jawab atas keberlanjutan, keamanan, dan kinerja sistem informasi.

Admin Reimbursement Menangani administrasi klaim reimbursement

Admin Cashless Menangani administrasi dan pemrosesan klaim cashless.

Claim Analyst Reimbursement Menganalisis klaim reimbursement untuk memverifikasi keabsahan dan keakuratan
informasi.

Claim Analyst Menganalisis klaim asuransi kesehatan untuk menentukan kelayakan klaim.

Medical Advisor Menyediakan penilaian medis terkait klaim asuransi kesehatan dan memberikan
pandangan medis untuk membantu dalam proses penyelesaian klaim.
 Risk Assessment
03
System Characterization
Jenis Asset Nama Asset Deskripsi Harga
(Dalam Rupiah)
Hardware Server Database x1 Lenovo Thinksystem SR650 2.000.000.000
Server Aplikasi x1 Lenovo Thinksystem SR650 2.000.000.000
Router x3 Fortinet SD-WAN 30.000.000
Software Application PHP 5
Application & Web Server Apache HTTP Server
Database x1 MySQL 5 22.000.000
Operating System Server x1 Windows Server 2016 Core 2 25.000.000
Framework Zend Framework
Server Licenses Red Hat Enterprise Linux 28.000.000
Data dan Informasi Data Claim
Data Member Polis
Data Karyawan
SDM / Karyawan Programmer, IT Manager, Admin
Reimbursement, Admin Cashless,
Claim Analyst, Reimbursement, Claim
Analyst, Medical Advisor
Infrastruktur Listrik 100kva 1.000.000.000
Ruangan Data Center/Server 70m2 2.500.000.000
Genset 1 800.000.000
Internet Service Provider Indosat, Telkom 200.000.000
 Threat Identification
Jenis Asset Tindakan Ancaman Keterangan

Hardware Kebakaran Rusaknya Perangkat Server

Pencurian Hardware yang berisi data sensitif hilang atau dicuri, ini
dapat membahayakan keamanan data.
Serangan Fisik Serangan HW oleh pihak yang tidak sah untuk
mendapatkan akses tidak sah atau merusak integritas data.
Software SQL Injection Penyerang memasukkan perintah berbahaya ke dalam
perintah SQL, dapat merusak atau akses tidak sah pada
database.

Denial Of Services (DOS) Serangan yang membanjiri lalu lintas ke target untuk
membuat layanan tidak tersedia, mengganggu
ketersediaan layanan.
Data dan Informasi Data mengandung Virus Hilangnya Data Claim
Hilangnya Data Karyawan
Hilangnya Data Member Polis
Information Exposure Penggunaan data oleh orang yang tidak memiliki
kewenangan.
 Vulnerability Identification
Jenis Asset Tindakan Ancaman Keterangan

Hardware Kebakaran Kerusakan fisik pada perangkat hardware

Menyebabkan, hilangnya data atau akses tidak sah ke data
Pencurian Hilangnya hardware yang berisi data sensitive
menyebabkan, kebocoran data atau akses tidak sah ke data
Serangan fisik Kerentanan yang dapat terjadi akibat serangan fisik adalah
akses tidak sah ke hardware atau kerusakan data.
Software SQL Injection akses tidak sah ke database atau kerusakan data.

Denial of service Gangguan ketersediaan layanan

Data dan Informasi Data mengandung virus kerusakan data atau akses tidak sah ke data

information exposure penggunaan data oleh orang yang tidak memiliki

kewenangan
 Control Analysis
Jenis Asset Tindakan Ancaman Keterangan

Hardware Kebakaran Pemasangan sistem pemadam kebakaran, pemasangan

sistem peringatan dini kebakaran, dan penyimpanan
hardware di tempat yang aman dari bahaya kebakaran
Pencurian Pemasangan sistem keamanan, pemasangan sistem
identifikasi akses, dan penyimpanan hardware di tempat
yang aman dari bahaya pencurian
Serangan fisik Pemasangan sistem identifikasi akses, dan pelatihan
karyawan tentang keamanan fisik.
Software SQL Injection Penerapan filter input, penerapan sistem enkripsi, dan
pelatihan karyawan tentang keamanan software
Denial of service Penerapan sistem load balancing, penerapan sistem
firewall
Data dan Informasi Data mengandung virus Sistem antivirus, penerapan sistem antimalware, dan
pelatihan karyawan tentang keamanan data.
information exposure Penerapan sistem akses kontrol, penerapan sistem
enkripsi, dan pelatihan karyawan tentang keamanan data
04 Conclusion
05

Q&A
Thank you