Analisis Implementasi Teknologi Informasi Pada IT Process ...
Transcript of Analisis Implementasi Teknologi Informasi Pada IT Process ...
Prosiding Seminar Nasional Teknologi dan Rekayasa Informasi Tahun 2017 “Rekayasa Teknologi Informasi untuk Teknologi Ramah Lingkungan dan Lingkungan yang Berkelanjutan”
Batu, Jawa Timur, Indonesia, 24 – 25 November 2017
7 SENTRIN 2017
Universitas Brawijaya
ISBN: 978-602-50782-0-0
Analisis Implementasi Teknologi Informasi
Pada IT Process DS5 (Ensure System Security) di RS UHS
Awalludiyah Ambarwati1, Fajar Zulkarnain2
Program Studi Sistem Informasi Fakultas Ilmu Komputer Universitas Narotama Surabaya [email protected], [email protected]
ABSTRAK. Selain memiliki misi sosial, rumah sakit (RS) berusaha meningkatkan kinerja dan daya saing sebagai badan usaha.
RS perlu melakukan kebijakan strategis berupa efisiensi internal dan harus mampu mengambil keputusan untuk peningkatan
pelayanan kepada masyarakat secara cepat dan tepat. Guna mendukung kebijakan strategis tersebut, pemanfaatan Teknologi
Informasi (TI) pada Rumah Sakit menjadi kebutuhan yang sangat mutlak dan terintegrasi dengan tujuan bisnis organisasi.
Keandalan sistem keamanan TI merupakan salah satu faktor keberhasilan dalam implementasi TI pada Rumah Sakit. RS UHS
memiliki Instalasi Sistem Informasi Manajemen yang bertanggung jawab dalam mengelola aset TI. Beberapa masalah yang
dihadapinya berkaitan dengan sistem keamanan TI. Salah satunya berupa penyalahgunaan akses pada aplikasi dimana masih
banyak pengguna yang menggunakan password yang sama pada saat memasukkan tindakan pada aplikasi. Penelitian ini
bertujuan untuk melakukan analisis implementasi TI ditinjau dari IT Process DS5 (Ensure System Security) menggunakan
COBIT 4.1 pada RS UHS. Hasil penelitian menunjukan perhitungan Maturity Level pada IT Process DS5 di RS UHS
menghasilkan nilai 2.14 yang dapat dikategorikan berada pada level 2 (Repeatable but Intuitive). Proses atau sistem yang
dilakukan telah mengikuti pola yang sudah ditentukan. Kebijakan keamanan sedang dikembangkan, namun keahlian dan
peralatan belum memadai.
Kata Kunci: Rumah Sakit, Maturity Level, IT Process DS5.
ABSTRACT. Beside social mission, Hospital try to improve performance and competitiveness as a business entity. Hospitals
need to make strategic policies for internal efficiency and must be able to take decisions to improve services to the community
quickly and accurately. In order to support the strategic policy, the utilization of Information Technology (IT) at the Hospital
becomes a very absolute requirement and integrated with the organization's business objectives. IT security system reliability
is one of the success factors in IT implementation in Hospital. RS UHS has a Management Information System Installation that
is responsible for managing IT assets. Some of the problems encounters are related to the IT security system. One of them is
misuse of access to applications where there are still many users who use the same password when entering the application.
This study aims to analyze IT implementation from IT Process DS5 (Ensure System Security) using COBIT 4.1 in RS UHS.
Maturity Level calculation on IT Process DS5 in RS UHS resulted in a value of 2.14 which can be categorized at level 2
(Repeatable but Intuitive). The process or system performed has followed a predetermined pattern. Security policies are being
developed, but skills and equipment are inadequate.
Keywords: Hospital, Maturity Level, IT Process DS5.
PENDAHULUAN
Pemanfaatan Teknologi Informasi (TI) pada
Rumah Sakit (RS) menjadi kebutuhan yang sangat
mutlak. TI telah menjadi bagian yang tak terpisahkan
dan terintegrasi dengan tujuan bisnis suatu rumah sakit.
Salah satunya adalah RS UHS yang merupakan rumah
sakit milik pemerintah Provinsi Jawa Timur yang
didirikan pada tahun 1990. RS UHS resmi dibuka pada
tahun 1993 sebagai Rumah Sakit Umum Tipe C.
Seiring dengan perkembangan dan peningkatan
layanan serta penambahan fasilitas, RS UHS telah
menjadi Rumah Sakit Umum Tipe B Pendidikan sejak
tahun 2008. RS UHS melayani semua lapisan
masyarakat umum dan turut serta mendidik mahasiswa
keperawatan dan dokter muda.
Implementasi TI telah diterapkan pada
sebagian besar proses bisnis RS UHS, di antaranya
berupa Sistem Informasi Instalasi Rawat Jalan dan
Sistem Informasi Instalasi Rawat Inap. Semua sistem
informasi yang terdapat di RS UHS diintegrasikan ke
dalam Sistem Informasi Manajemen secara bertahap.
Beragam hardware dan software merupakan aset TI
yang dipergunakan dalam implementasi TI di RS UHS.
Pengelolaan aset TI pada RS UHS dilakukan oleh
Instalasi Sistem Informasi Manajemen.
Dalam mengelola aset TI, Instalasi Sistem
Informasi Manajemen menghadapi masalah berupa
lemahnya sistem keamanan TI. Beberapa di antaranya
adanya cukup banyak pihak luar yang tidak berwenang
dapat memasuki ruangan pengelolaan informasi tanpa
ijin. Selain itu juga terjadi penyalahgunaan akses pada
aplikasi dimana masih banyak pengguna yang
menggunakan password yang sama pada saat
memasukkan tindakan pada aplikasi.
Keandalan sistem keamanan TI merupakan
salah satu faktor keberhasilan dalam implementasi TI
pada RS UHS. Data yang dikelola dan informasi yang
dihasilkan termasuk dalam kategori confidential
utamanya medical record pasien. Untuk itu sistem
keamanan TI yang ada perlu dikaji ulang guna
mengetahui maturity level dari kondisi saat ini.
Penelitian ini bertujuan untuk melakukan analisis
implementasi TI ditinjau dari IT Process DS5 (Ensure
System Security) menggunakan COBIT 4.1 pada RS
UHS.
Analisis Implementasi Teknologi Informasi
8 SENTRIN 2017
Universitas Brawijaya
ISBN: 978-602-50782-0-0
COBIT (Control Objectives for Information
and related Technology) 4.1 merupakan suatu
framework dari IT Governance Institute. Maturity
model yang dikembangkan untuk 34 IT Process dalam
COBIT dapat digunakan manajemen untuk
mengidentifikasi beberapa hal. Pertama, kinerja
sesungguhnya perusahaan dan posisi kondisi
perusahaan sekarang. Kedua, kondisi sekarang dari
industri sebagai perbandingan. Selanjutnya,
peningkatan target perusahaan terhadap kondisi yang
diinginkan serta kebutuhan jalur pertumbuhan antara
kondisi saat ini (as-is) dan kondisi akan datang (to-be)
(IT Governance Institute, 2007).
Pengukuran maturity level menggunaan
COBIT 4.1 dapat diterapkan diberbagai instansi yang
telah menerapkan TI, termasuk rumah sakit. Penelitian
sebelumnya berupa perhitungan tingkat kematangan
proses TI pada domain Plan and Organise pada sebuah
rumah sakit menghasilkan nilai 2.6. Nilai tersebut
termasuk dalam Level 3 (proses terdefinisi). COBIT 4.1
dapat membantu rumah sakit dalam memetakan
perencanaan dan pengorganisasian TI (Gerhana,
2010).
Penelitian lain tentang pengukuran maturity
level menggunaan COBIT 4.1 pada rumah sakit adalah
perhitungan tingkat kematangan proses TI dalam
perspektif pelanggan. Nilai maturity yang dihasilkan
adalah 3.21 yang termasuk dalam Level 3 (Defined
Process). Namun demikian rumah sakit tersebut belum
pernah melakukan audit terhadap kinerja server guna
memastikan keamanan sistem informasi (Revinggar,
Tanuwijaya and Mastan, 2012).
METODOLOGI
Metode yang digunakan dalam sebuah
penelitian ahapan penelitian Analisis Implementasi
Teknologi Informasi Pada IT Process DS5 (Ensure
System Security) Di RS UHS dapat dilihat pada Gambar
1. Penelitian ini terdiri dari empat tahapan, yaitu tahap
perencanaan, persiapan dan pelaksanaan serta
pembuatan laporan hasil penelitian. Data yang
dipergunakan dalam penelitian ini adalah data primer
dan data sekunder. Data primer diperoleh dari hasil
observasi, wawancara dan penyebaran kuisioner.
Sedangkan data sekunder diperoleh dari laporan
periodik, dokumen yang dipergunakan dan bukti
pendukung lainnya.
Tahap perencanaan diawali dengan
melakukan studi pustaka terkait penggunaan COBIT
4.1 dalam penelitian di rumah sakit. Observasi atau
pengamatan secara langsung dilakukan guna
mengamati proses bisnis yang sedang berlangsung serta
melihat infrastruktur TI khususnya di ruang Instalasi
Sistem Informasi Manajemen RS UHS. Selanjutnya
mengidentifikasi proses bisnis dan TI serta melakukan
identifikasi ruang lingkup dan tujuan yaitu Analisis
Implementasi Teknologi Informasi Pada IT Process
DS5 (Ensure System Security) Di RS UHS. Terakhir,
menentukan metode yang akan digunakan berupa
framework COBIT 4.1 untuk menghitung Maturity
Level.
Gambar 1. Metodologi Penelitian
Pembuatan kuesioner didasarkan pada IT
Process yang telah dipilih, yaitu IT Process DS5
(Ensure System Security). Pertanyaan untuk kuisioner
diperoleh dari setiap pernyataan Maturity Model pada
IT Process DS5 (Pederiva, 2003; Rozas, 2012). Tabel 1
merupakan salah satu transformasi Maturity Level
menjadi pertanyaan kuisioner untuk DS5 Level 0.
Setiap pertanyaan pada kuisioner diberi pilihan
jawaban yang harus diisi oleh sembilan responden
(Gambar 2). Responden diberi empat pilihan jawaban
kualitatif yang terdapat pada Tabel 2. Nilai Kualitatif
jawaban responden pada kuisioner dikonversi menjadi
compliance value untuk penghitungan maturity level.
Tabel 1. Transformasi Maturity Level DS5 Level 0
Menjadi Pertanyaan Kuisioner
Deskripsi Maturity
Level 0
Pertanyaan
(sebelum
dinetralkan)
Pertanyaan
(setelah
dinetralkan)
The organization
does not recognize
the need for IT
security.
Responsibilities and
accountabilities are
not assigned for
ensuring security.
Measures
supporting the
management of IT
The
organization
does not
recognize the
need for IT
security.
Organisasi
mengetahui
kebutuhan akan
keamanan TI
Responsibilities
and
accountabilities
are not
assigned for
Tanggung jawab
dan akuntabilitas
dilakukan untuk
memastikan
keamanan
Mulai
Perencanaan
1. Melakukan studi pustaka, observasi
2. Mengidentifikasi Proses Bisnis dan TI
3. Mengidentifikasi Ruang Lingkup dan Tujuan
4. Menentukan metode yang digunakan
Pelaksanaan
1. Menyebarkan kuisioner dan melakukan
wawancara
2. Melakukan pengumpulan data dan dokumen
pendukung
3. Melakukan perhitungan Maturity Level
4. Analisis Kesenjangan (Gap Analysis)
5. Membuat Grafik
6. Menyusun Rekomendasi
Pembuatan Laporan Hasil Penelitian
Persiapan
1. Menentukan IT Process
2. Pembuatan Kuisioner
Selesai
Analisis Implementasi Teknologi Informasi
9 SENTRIN 2017
Universitas Brawijaya
ISBN: 978-602-50782-0-0
Deskripsi Maturity
Level 0
Pertanyaan
(sebelum
dinetralkan)
Pertanyaan
(setelah
dinetralkan)
security are not
implemented. There
is no IT security
reporting and no
response process for
IT security
breaches. There is a
complete lack of a
recognizable system
security
administration
process.
ensuring
security.
Measures
supporting the
management of
IT security are
not
implemented.
Ukuran untuk
mendukung
manajemen
keamanan TI
diimplementasik
an
There is no IT
security
reporting and
no response
process for IT
security
breaches.
Adanya
pelaporan
keamanan TI dan
proses respons
untuk
pelanggaran
keamanan TI
There is a
complete lack
of a
recognizable
system security
administration
process.
Apakah
Kekurangan
akan proses
administrasi
keamanan sistem
diketahui.
Tahap Pelaksanaan terdiri dari enam aktifitas.
Pertama, menyebarkan kuisioner dan melakukan
wawancara kepada sembilan responden di antaranya
manajemen dan pengguna teknologi informasi khusus
pada staf Instalasi Sistem Informasi Manajemen RS
UHS. Kemudian melakukan pengumpulan data dan
dokumen pendukung berupa profil dari perusahaan,
kebijakan dan SOP (Standard Operating Procedure)
yang digunakan. Selanjutnya, melakukan perhitungan
Maturity Level (Pederiva, 2003; Rozas, 2012).
Gambar 2. Contoh kuisioner DS5
Pedoman dalam menentukan tingkat
kematangan didasarkan pada index maturity level yang
terdapat pada Tabel 3 (Krisanthi, Sukarsa and Bayupati,
2014; Ratih, Bayupati and Sukarsa, 2014; Putri, Lestari
and Aknuranda, 2017). Sedangkan Tabel 4 menyajikan
Maturity Model DS5 yang merupakan alat bantu untuk
mengetahui tingkat kematangan IT Process yang terdiri
dari enam level, mulai Level 0 hingga Level 5 (IT
Governance Institute, 2007; Sarno, 2009).
Tabel 2. Nilai Pilihan Jawaban Agreement
with
Statement
Compliance
Value
Nilai
Kualitatif Deskripsi
Not at all 0 Kurang Setuju Tidak ada
sama sekali
A little 0.33 Cukup Setuju Sedikit
Quite a lot 0.66 Setuju Dalam tingkatan
tertentu
Completely 1 Sangat Setuju Lengkap
Sumber: (Pederiva, 2003)
Tabel 3. Index Maturity Level
Maturity Index Maturity Level
0.00 – 0.50 0 Non-existent
0.51 – 1.50 1 Initial / Ad Hoc
1.51 – 2.50 2 Repeatable but Intuitive
2.51 – 3.50 3 Defined Process
3.51 – 4.50 4 Managed and Measurable
4.51 – 5.00 5 Optimised
Sumber: (Krisanthi, Sukarsa and Bayupati, 2014;
Ratih, Bayupati and Sukarsa, 2014; Putri,
Lestari and Aknuranda, 2017)
Tabel 4. Maturity Model DS5
Level Keterangan
0
Non-existent
Perusahaan belum menyadari kebutuhan akan
keamanan TI. Tanggung jawab dan penanggung jawab belum ditentukan untuk kepastian keamanan.
Pengukuran yang mendukung pengelolaan keamanan
TI tidak diimplementasikan. Tidak ada laporan keamanan TI dan tidak ada proses respon terhadap
pelanggaran TI. Terdapat banyak kekurangan
terhadap proses administrasi keamanan sistem yang ada.
1
Initial/Ad Hoc
Perusahaan menyadari kebutuhan akan keamanan TI.
Kesadaran akan kebutuhan keamanan terutama bergantung pada tiap individu. Keamanan TI
ditempatkan berdasar pada kemampuan reaktif.
Keamanan TI tidak diukur. Pelanggaran keamanan TI yang terdeteksi menyebabkan respon saling
menunjuk karena tanggung jawab yang tidak jelas.
Respon terhadap pelanggaran keamanan TI tidak dapat diprediksi.
2 Repeatable
but Intuitive
Tanggung jawab dan akuntabilitas keamanan TI ditugaskan ke koordinator keamanan TI, walaupun
otoritas manajemennya terbatas. Kesadaran akan
kebutuhan keamanan terfragmentasi dan terbatas. Walaupun informasi terkait keamanan diproduksi
oleh sistem, namun tidak dianalisa. Layanan dari
pihak ketiga mungkin tidak sesuai dengan kebutuhan keamanan perusahaan secara spesifik organisasi.
Kebijakan keamanan sedang dikembangkan, namun
keahlian dan peralatan tidak memadai. Pelaporan keamanan TI tidak lengkap, cenderung
membingungkan atau tidak berhubungan. Pelatihan
keamanan tersedia namun umumnya dilakukan arena inisiatif individu. Keamanan TI terutama dilihat
sebagai tanggung jawab dan domain TI sementara
bisnis tidak melihat keamanan TI dalam domainnya. 3
Defined
Process
Kesadaran keamanan ada dan dipromosikan oleh
manajemen. Prosedur keamanan TI didefinisikan dan
diselaraskan dengan kebijakan keamanan TI. Tanggung jawab keamanan TI ditugaskan dan
dipahami, namun tidak diselenggarakan secara
Pernyataan
Tid
ak
ad
a
sam
a s
ek
ali
Sed
ikit
Dala
m
tin
gk
ata
n
terte
ntu
Len
gk
ap
Organisasi mengetahui kebutuhan akan
keamanan TI
Tanggung jawab dan akuntabilitas
dilakukan untuk memastikan keamanan
Ukuran untuk mendukung manajemen
keamanan TI diimplementasikan
Adanya pelaporan keamanan TI dan
proses respons untuk pelanggaran
keamanan TI
Apakah Kekurangan akan proses
administrasi keamanan sistem diketahui.
Analisis Implementasi Teknologi Informasi
10 SENTRIN 2017
Universitas Brawijaya
ISBN: 978-602-50782-0-0
Level Keterangan
konsisten. Ada rencana keamanan dan solusi
keamanan TI yang didorong oleh analisis risiko. Pelaporan keamanan tidak mengandung fokus bisnis
yang jelas. Pengujian keamanan adhoc (misalnya
Intrusion testing) dilakukan. Pelatihan keamanan tersedia untuk TI dan bisnis, namun hanya
dijadwalkan dan dikelola secara informal.
4 Managed
and
Measurable
Tanggung jawab keamanan TI secara jelas ditetapkan, dikelola dan diberlakukan. Risiko keamanan TI dan
analisis dampak dilakukan secara konsisten.
Kebijakan dan prosedur keamanan dilengkapi dengan dasar keamanan khusus. Paparan metode untuk
mempromosikan kesadaran keamanan adalah hal
yang wajib. Identifikasi, otentikasi dan otorisasi pengguna terstandarisasi. Sertifikasi keamanan
diikuti oleh anggota staf yang bertanggung jawab
terhadap audit dan pengelolaan keamanan. Pengujian keamanan dilengkapi menggunakan standar dan
proses formal, yang mengarah pada perbaikan tingkat
keamanan. Proses keamanan TI dikoordinasikan dengan seluruh fungsi keamanan organisasi.
Pelaporan keamanan TI dikaitkan dengan tujuan
bisnis. Pelatihan keamanan TI dilakukan di kedua area Bisnis dan IT. Pelatihan keamanan TI
direncanakan dan dikelola dengan cara yang sesuai
dengan kebutuhan bisnis dan riwayat risiko keamanan yang terdefinisi. Tujuan dan metrik untuk
pengelolaan keamanan sudah terdefinisi namun
belum diukur. 5
Optimised
Keamanan TI merupakan tanggung jawab bersama
dari manajemen bisnis dan TI serta terintegrasi
dengan tujuan bisnis keamanan perusahaan. Kebutuhan keamanan didefinisikan secara jelas,
dioptimalkan dan disertakan dalam rencana
keamanan yang disetujui. Pengguna dan pelanggan secara meningkat bertanggung jawab dalam
mendefinisikan kebutuhan keamanan, dan fungsi
keamanan diintegrasikan dengan aplikasi pada tahap perancangan. Insiden keamanan ditempatkan secara
tepat dengan prosedur respon insiden formal yang
didukung dengan peralatan otomatis. Penilaian
keamanan periodik dilakukan untuk mengevaluasi
efektifitas implementasi rencana keamanan. Informasi tentang ancaman dan kerentanan
dikumpulkan dan dianalisis secara sistematis. Kontrol
yang memadai untuk mengurangi risiko dikomunikasikan dan diimplementasikan secara
tepat. Pengujian keamanan, analisis penyebab utama
dari insiden keamanan dan identifikasi risiko secara proaktif digunakan untuk peningkatan proses yang
berkelanjutan. Proses dan teknologi keamanan
terintegrasi secara terpadu di perusahaan. Metrik untuk manajemen keamanan diukur, dikumpulkan
dan dikomunikasikan. Manajemen menggunakan
pengukuran ini untuk membenahi rencana keamanan dalam proses perbaikan berkelanjutan.
Sumber: (Sarno, 2009), (IT Governance Institute,
2007)
Sumber: (IT Governance Institute, 2007)
Gambar 3. Representasi Grafis Maturity Model
HASIL DAN PEMBAHASAN
Penyebaran kuisioner berisi daftar pernyataan
diberikan kepada sembilan responden yang merupakan
manajemen dan pengguna teknologi informasi khusus
pada staf Instalasi Sistem Informasi Manajemen RS
UHS. Kuisioner yang telah diisi responden tersebut
kemudian ditabulasikan untuk mendapatkan nilai
compliance (Tabel 5). Kemudian dilakukan normalisasi
nilai compliance dilanjutkan dengan menghitung
maturity level (Sarno, 2009).
Tabel 6 menyajikan perhitungan nilai maturity
level pada IT Process DS5. Berdasarkan Tabel 6, dibuat
Representasi Grafis Maturity Model yang ditampilkan
pada Gambar 4. Analisis kesenjangan (gap analysis)
dilakukan untuk mengidentifikasi kegiatan yang perlu
dilakukan oleh RS UHS agar tingkat kematangan bisa
mencapai tingkat kematangan yang diharapkan (to-be).
Tabel 7 menyajikan analisis kesenjangan IT Process
DS5.
Tabel 5. Perhitungan Nilai Compliance Pada DS5
Level
Nilai
Compliance
(A)
Jumlah
Pernyataan
(B)
Tingkat
Compliance
(A/B)
0 2.64 5 0.53
1 2.97 6 0.50 2 4.29 8 0.54
3 2.31 7 0.33
4 4.62 12 0.39 5 4.95 11 0.45
Tabel 6. Perhitungan Nilai Maturity Level Pada IT
Process DS5
Level
Tingkat
Compliance
(A)
Kontribusi
tiap Level
(B)
Nilai
(A*B)
0 0.53 0.0 0
1 0.50 0.3 0.15
2 0.54 0.7 0.38
3 0.33 1.0 0.33
4 0.39 1.3 0.51
5 0.45 1.7 0.77
Nilai Maturity Level 2.14
Tabel 7. Analisis Kesenjangan Maturity Level DS5
IT Process As Is
(X)
To Be
(Y)
Gap
(Y-X)
DS5 2.14 4 1.86
Gambar 4. Representasi Grafis DS5
Tabel 8. Control Objective DS5 Control Objective DS5 Ensure Systems Security
DS5.1 Management of IT Security
DS5.2 IT Security Plan
DS5.3 Identity Management
DS5.4 User Account Management
DS5.5 Security Testing, Surveillance and Monitoring
Analisis Implementasi Teknologi Informasi
11 SENTRIN 2017
Universitas Brawijaya
ISBN: 978-602-50782-0-0
Control Objective DS5 Ensure Systems Security
DS5.6 Security Incident Definition
DS5.7 Protection of Security Technology
DS5.8 Cryptographic Key Management
DS5.9 Malicious Software Prevention, Detection and
Correction
DS5.10 Network Security
DS5.11 Exchange of Sensitive Data
Sumber: (IT Governance Institute, 2007)
Perhitungan maturity level pada IT Process
DS5 menghasilkan nilai 2.14. Berdasarkan Tabel 3,
maka nilai tersebut dapat dikategorikan pada Level 2
(Repeatable but Intuitive). Deskripsi detail maturity
model untuk IT Process DS5 Level 2 disajikan pada
Tabel 4. Tabel 7 menyajikan analisis kesenjangan
maturity level. Nilai maturity level yang diperoleh saat
ini adalah 2.14, sedangkan nilai yang diharapkan adalah
4. Dengan demikian terdapat kesenjangan atau gap
sebesar 1.86. Gambar 4 menyajikan nilai maturity level
yang diharapkan diberi tanda bintang, sedangkan nilai
maturity level yang dicapai saat ini diberi simbol
bintang segi banyak (menyerupai lingkaran). Tanda
panah ke atas merupakan rata-rata nilai dalam industri
sejenis. Untuk mencapai maturity level dengan nilai 4,
RS UHS perlu menyiapkan dan melakukan segala hal
yang tertera pada Tabel 4 Level 4. Di antaranya
menetapkan tanggung jawab keamanan TI secara jelas
dan membuat standarisasi terhadap identifikasi,
otentikasi dan otorisasi pengguna. Selain itu,
melakukan risiko keamanan TI dan analisis dampak
secara konsisten. Kebijakan dan prosedur keamanan
dilengkapi dengan dasar keamanan khusus. Selain itu
RS UHS juga perlu menerapkan Control Objective DS5
yang disajikan pada Tabel 8.
SIMPULAN DAN SARAN
Hasil perhitungan Maturity Level pada IT
Process DS5 (ensure system security) di RS UHS
adalah 2.14. Nilai tersebut dapat dikategorikan pada
Level 2 (Repeatable but Intuitive) yang berarti bahwa
proses atau sistem yang dilakukan telah mengikuti pola
yang sudah ditentukan. Kebijakan keamanan TI sedang
dikembangkan RS UHS, namun keahlian dan peralatan
yang tersedia belum memadai. Rekomendasi yang
diberikan untuk meminimalkan kesenjangan atau gap
pada Maturity Level di antaranya berupa menerapkan
Control Objective DS5 dan melakukan sosialisasi serta
implementasi kebijakan keamanan TI yang didukungan
penuh oleh top management RS UHS.
DAFTAR RUJUKAN
Gerhana, Y. A. 2010. Audit Tata Kelola Sistem
Informasi Rumah Sakit Dengan Menggunakan
Framework COBIT Versi 4.1 Domain Plan
And Organise (Studi Kasus : RS “ ABC ”)’,
Media Informatika, 9(1), pp. 26–39. Available
at:
http://jurnal.likmi.ac.id/Jurnal/3_2010/Audit_
Tt_Kelola_SI_RS_yana_.pdf.
IT Governance Institute. 2007. COBIT 4.1: Framework
Control Objective, Management Guidelines,
Maturity Models. Rolling Meadows: IT
Governance Institute.
Krisanthi, G. A. T., Sukarsa, I. M. and Bayupati, I. P.
A. 2014. Governance Audit Of Application
Procurement. Journal of Theoretical and
Applied Information Technology, 59(2), pp.
342–351.
Pederiva, A. 2003. The COBIT Maturity Model in a
Vendor Evaluation Case. Information Systems
Control Journal, 3.
Putri, M. A., Lestari, V. A. and Aknuranda, I. 2017.
Audit of Information Technology Governance
Using COBIT 4.1: Case Study in PT. XY.
INTERNETWORKING INDONESIA
JOURNAL, 9(1), pp. 47–52.
Ratih, I. G. D. S., Bayupati, I. P. A. and Sukarsa, I. M.
2014. Measuring the Performance of IT
Management in Financial Enterprise by Using
COBIT. I.J. Information Engineering and
Electronic Business, (February), pp. 15–24.
doi: 10.5815/ijieeb.2014.01.02.
Revinggar, B. N., Tanuwijaya, H. and Mastan, I. A.
2012. Audit Sistem Informasi Instalasi Rawat
Jalan Berdasarkan Perspektif Pelanggan
Balanced Scorecard Dan Standar Cobit 4.1
(Studi Kasus: Rumah Sakit Umum Haji
Surabaya). Jurnal JSIKA, 1(1). Available at:
http://jurnal.stikom.edu/index.php/jsika/articl
e/view/90.
Rozas, I. S. 2012. Model Perhitungan Tingkat
Kedewasaan TI (Maturity Level)
Menggunakan Framework COBIT 4.1.
Prosiding Seminar Nasional Teknik
Informatika (SANTIKA 2012). Surabaya:
Teknik Informatika-Fakultas Teknologi
Industri Universitas Pembangunan Nasional
‘Veteran’ Jawa Timur, pp. 3–77.
Sarno, R. 2009. Audit Sistem & Teknologi Informasi.
Surabaya: ITS Press.