Urgensi Manajemen Risiko TI di Rumah Sakit: Antara Ancaman dan Mitigasi
Dalam era digitalisasi yang semakin berkembang, sektor kesehatan menghadapi tantangan besar dalam pengelolaan Teknologi Informasi (TI). Rumah sakit, sebagai institusi yang sangat bergantung pada sistem informasi, harus mampu mengidentifikasi dan mengelola risiko TI secara sistematis. Artikel berjudul Penilaian Manajemen Risiko TI Menggunakan Quantitative dan Qualitative Risk Analysis yang ditulis oleh Andry Gerson Rinding Padang, Awalludiyah Ambarwati, dan Eman Setiawan (2021) dalam SISTEMASI: Jurnal Sistem Informasi memberikan kajian yang menarik mengenai penerapan Quantitative Risk Analysis (QRA) dan Qualitative Risk Analysis dalam menilai risiko TI di RSUD XYZ.
Penelitian ini menyoroti bagaimana ancaman terhadap aset TI dapat mengganggu operasional rumah sakit, mulai dari kehilangan daya listrik hingga kebocoran data pasien. Data yang dikumpulkan dalam penelitian ini menunjukkan bahwa kehilangan daya listrik merupakan ancaman terbesar dengan nilai risiko tertinggi, mencapai Rp 383.400.000 dalam setahun. Ancaman lain seperti kehilangan komunikasi memiliki potensi kerugian sebesar Rp 332.280.000. Dari sisi sumber daya manusia, risiko yang berasal dari faktor internal dikategorikan sebagai risiko tinggi, sedangkan ancaman eksternal masuk dalam kategori sedang.
Menariknya, penelitian ini menggunakan metode gabungan QRA dan NIST SP 800-30, yang memungkinkan pendekatan berbasis angka sekaligus kualitatif dalam mengelola risiko TI. Dengan kombinasi ini, RSUD XYZ mendapatkan gambaran lebih komprehensif mengenai aset TI yang paling rentan serta strategi mitigasi yang dapat diterapkan. Namun, dalam penerapannya, pendekatan ini tetap memiliki tantangan, terutama dalam akurasi perhitungan numerik dan efektivitas implementasi kontrol risiko yang disarankan.
Terlepas dari hasil penelitian yang cukup mendalam, artikel ini menimbulkan pertanyaan lebih lanjut mengenai sejauh mana metode QRA dan analisis kualitatif dapat diterapkan secara luas dalam sektor kesehatan di Indonesia. Apakah setiap rumah sakit memiliki kapasitas dan sumber daya yang cukup untuk menjalankan metode ini? Bagaimana kebijakan pemerintah dalam mendukung pengelolaan risiko TI di sektor kesehatan?
Dalam dunia manajemen risiko TI, pendekatan kuantitatif dan kualitatif sering kali digunakan untuk mendapatkan gambaran risiko yang lebih akurat. Dalam penelitian yang dilakukan oleh Padang, Ambarwati, dan Setiawan (2021), metode Quantitative Risk Analysis (QRA) digunakan untuk menghitung dampak keuangan dari berbagai ancaman TI, sedangkan metode NIST SP 800-30 digunakan untuk menganalisis risiko secara kualitatif.
Hasil penelitian menunjukkan bahwa server merupakan aset TI dengan nilai risiko finansial tertinggi, mencapai Rp 988.750.000, diikuti oleh router sebesar Rp 63.525.000, dan desktop sebesar Rp 54.240.000. Ancaman terbesar berasal dari kehilangan daya listrik yang memiliki nilai risiko tahunan tertinggi, mencapai Rp 383.400.000, diikuti oleh kehilangan komunikasi sebesar Rp 332.280.000. Ini menunjukkan bahwa risiko yang paling berdampak di RSUD XYZ bukan berasal dari ancaman siber seperti peretasan, tetapi dari kegagalan infrastruktur dasar seperti listrik dan jaringan.
Selain pendekatan kuantitatif, penelitian ini juga menyoroti aspek kualitatif menggunakan NIST SP 800-30, yang mengidentifikasi sumber ancaman dan tingkat risiko. Berdasarkan analisis ini, risiko yang bersumber dari internal rumah sakit, seperti kesalahan manusia dan penyalahgunaan hak akses, dikategorikan sebagai risiko tinggi, sedangkan ancaman eksternal seperti peretasan masuk dalam kategori risiko sedang. Hal ini membuktikan bahwa faktor manusia masih menjadi salah satu aspek kritis dalam manajemen risiko TI di sektor kesehatan.
Meskipun pendekatan yang digunakan dalam penelitian ini cukup komprehensif, ada beberapa tantangan yang perlu diperhatikan. Pertama, dalam penerapan QRA, perhitungan nilai risiko berbasis angka sering kali tidak dapat sepenuhnya mencerminkan kompleksitas operasional di rumah sakit. Sebagai contoh, meskipun kehilangan daya listrik memiliki nilai risiko tertinggi, dampak sebenarnya mungkin lebih luas jika diukur dari aspek non-finansial seperti hilangnya akses ke data pasien dalam kondisi darurat. Kedua, penerapan metode NIST SP 800-30 membutuhkan sumber daya manusia yang memiliki pemahaman mendalam tentang keamanan informasi, sesuatu yang masih menjadi tantangan bagi banyak rumah sakit di Indonesia.
Selain itu, penelitian ini tidak membahas secara mendalam mengenai bagaimana rekomendasi mitigasi risiko dapat diimplementasikan secara efektif. Dalam konteks manajemen rumah sakit, faktor kebijakan dan anggaran sering kali menjadi kendala utama dalam penerapan strategi mitigasi risiko TI. Misalnya, solusi seperti penggunaan sumber daya listrik cadangan (UPS atau genset) dan peningkatan keamanan sistem memerlukan investasi besar yang mungkin tidak masuk dalam prioritas anggaran rumah sakit.
Dengan data dan analisis yang disajikan, penelitian ini memberikan wawasan penting mengenai risiko TI di sektor kesehatan. Namun, masih diperlukan kajian lebih lanjut untuk mengukur efektivitas implementasi strategi mitigasi serta kesiapan rumah sakit dalam menerapkan metode manajemen risiko TI yang lebih sistematis.
