Penilaian Manajemen Risiko TI Menggunakan Quantitative dan Qualitative Risk Analysis

Andry Gerson Rinding Padang, Awalludiyah Ambarwati, Eman Setiawan

Abstract


Abstrak

Menurut Pepres no. 95 Tahun 2018, rumah sakit diwajibkan memiliki dan menggunakan teknologi informasi dalam segala pelayanannya. Instalasi IT (Information Technology) merupakan unit departemen pada RSUD XYZ yang memiliki fungsi dalam mengatur dan mengelola semua penggunaan TI (Teknologi Informasi) dalam rumah sakit, untuk menjauhkan hal yang tidak diinginkan butuh penilaian manajemen risiko buat meminimalkan ancaman atau risiko yang bisa terjadi. Metode Analisis yang digunakan pada penelitian ini ada dua yaitu Quantitative dan Qualitative Risk Analysis. Dimana nantinya untuk metode QRA (Quantitative Risk Analysis) lebih fokus pada analisis perawatan aset TI untuk menemukan faktor risiko yang memerlukan penanganan utama dan perhatian khusus. Sedangkan untuk metode qualitative Risk Analysis menggunakan panduan NIST SP 800-30 untuk menganalisis berbagai atribut ancaman dan risiko, agar dapat menghasilkan rekomendasi kontrol pada Instalasi IT RSUD XYZ. Hasil penelitian dari penilaian risiko menurut metode QRA, ditemukan bahwa ada pada aset TI jenis Server mempunyai perhitungan untuk menjadi potensi kerugian terburuk bagi rumah sakit. Hal ini dapat dilihat dari aspek risiko dimana kehilangan daya listrik mempunyai potensi kerugian terbesar. Untuk penilaian manajemen risiko kualitatif dengan NIST SP 800-30 menunjukkan bahwa sumber ancaman listrik dan jaringan internet memiliki tingkat risiko yang tinggi. Tingkat risiko ini bisa didapati pada waktu proses pengolongan sumber-sumber ancaman. Saat semua hasil analisis risiko sudah dikemukakan, hal itu dapat memberikan hasil rekomendasi risiko untuk diberikan kepada pihak management ataupun instalasi IT. Untuk nantinya dapat membantu manajemen senior dalam membuat keputusan tentang kebijakan, prosedur, anggaran, dan operasional sistem dan perubahan manajemen.

Kata kunci: qualitative risk analysis, nist sp 800-30, penilaian manajemen risiko, aset ti

 

Abstract

According to Perpres no. 96 of 2018, hospitals are required to have and use information technology in all their services. The IT installation is a departmental unit at XYZ Hospital which has a function in regulating and managing all IT usage in the hospital. To stay away from unwanted things, a risk management assessment is needed to minimize any threats or risks that can occur. There are 2 methods of analysis used in this study, namely Quantitative and Qualitative Risk Analysis. Which later for the Quantitative Risk Analysis (QRA) method, it focuses more on analyzing IT asset maintenance to find risk factors that require primary handling and special attention. Meanwhile, the Qualitative Risk Analysis method uses the NIST SP 800-30 guide to analyze various threat and risk attributes, in order to produce control recommendations on the XYZ Hospital IT Installation. The results of the research from the risk assessment according to the QRA method, it was found that the server type IT assets have calculations to be the worst potential loss for the hospital. This can be seen from the aspects of the risks (threats) where the loss of electrical power has the greatest potential loss. The qualitative risk management assessment using NIST SP 800-30 shows that the threat of electricity and internet networks has a high level of risk. When all the results of the risk analysis have been presented, it can provide the results of risk recommendations to be given to the management or IT installation.

Keywords: qualitative risk analysis, nist sp 800-30, risk management assessment, it asset


Full Text:

PDF

References


Presiden-RI, “Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik,” Media Huk., 2018.

Kementerian Kesehatan RI, Peraturan Menteri Kesehatan RI Nomor 82 tentang Sistem Informasi Manajemen Rumah Sakit, no. 87. Kementerian Kesehatan Indonesia, 2013.

G. Endradita, Standar Nasional Akreditasi Rumah Sakit Edisi 1, 1st ed. Jakarta: Komisi Akreditasi Rumah Sakit (KARS), 2017.

A. Yulianto, A. Ambarwati, and C. Darujati, “Analisis Manajemen Risiko TI Pemeliharaan Aset Menggunakan Quantitative Risk Analysis (QRA) pada PT. HMS,” in Prosiding Seminar Nasional Teknologi dan Rekayasa Informasi Tahun 2016, 2016, pp. 45–51.

W. Syafitri, “Penilaian Risiko Keamanan Informasi Menggunakan Metode NIST 800-30 (Studi Kasus: Sistem Informasi Akademik Universitas XYZ),” J. CoreIT, vol. 2, no. 2, p. 8, 2016, doi: 10.24014/coreit.v2i2.2356.

B. Muslim, “Quantitative Risk Analysis of Asset Information Technology at STT Pagaralam,” Conf. Senat. STT Adisutjipto Yogyakarta, vol. 4, 2018, doi: 10.28989/senatik.v4i0.186.

T. R. Peltier, Information security risk analysis, second edition. Auerbach Publications, 2005.

J. Jonny, A. Ambarwati, and C. Darujati, “Penilaian Risiko Data Sistem Informasi Manajemen Puskesmas dan Aset Menggunakan ISO 27005,” Sist. J. Sist. Inf., vol. 10, no. 1, pp. 13–25, 2021.

D. A. Permatasari, W. H. N. Putra, and A. R. Perdanakusuma, “Analisis Manajemen Risiko Sistem Informasi E-LKPJ pada Dinas Komunikasi dan Informatika Provinsi Jawa Timur,” J. Pengemb. Teknol. Inf. dan Ilmu Komput., vol. 3, no. 6, pp. 6001–6008, 2019, [Online]. Available: http://j-ptiik.ub.ac.id.

J. W. Meritt, “A Method for Quantative Risk Analysis,” Proc. 22nd Natl. Inf. Syst. Secur. Conf., 1999.

K. B. Mahardika, A. F. Wijaya, and D. Cahyono, “Manajemen risiko teknologi informasi menggunakan iso 31000 : 2018 (studi kasus: cv. xy),” SEBATIK, vol. 23, no. 1, pp. 277–284, 2019.

NIST, “NIST Special Publication 800-30 Revision 1 - Guide for Conducting Risk Assessments,” NIST Spec. Publ., no. September, p. 95, 2012.

D. S. Valena, R. Prabowo, A. R. Irawati, and A. Aristoteles, “Analisis Manajemen Risiko Sistem Informasi Perpustakaan Universitas Lampung Menggunakan Metode Nist Sp 800-30,” J. Komputasi, vol. 7, no. 1, pp. 1–10, 2019, doi: 10.23960/komputasi.v7i1.2053.

A. Rohmani et al., “Strategi Mitigasi Resiko Keamanan Informasi Berdasarkan Analisa Return on Investment,” Techno.COM, vol. 15, no. 2, pp. 140–150, 2016.

Yazar Zeki, “A qualitative risk analysis and management tool – CRAMM,” SANS Inst. Inf. Secur. Read. Room, 2021, [Online]. Available: http://www.sans.org/reading-room/whitepapers/auditing/qualitative-risk-analysis-management-tool-cramm-83.

U. Nugraha, “Manajemen Risiko Sistem Informasi Pada Perguruan Tinggi Menggunakan Kerangka Kerja NIST SP 800-300,” in Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016), 2016, vol. ISSN : 250, pp. 121–126.




DOI: https://doi.org/10.32520/stmsi.v10i3.1340

Article Metrics

Abstract view : 159 times
PDF - 86 times

Refbacks

  • There are currently no refbacks.


Creative Commons License
This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.