Proteksi Data Kesehatan, BSSN Ingatkan Unit CISRT Penting Dibentuk
Ilustrasi | Foto: freepik.com/Cyberthreat.id/Faisal Hafis
Cyberthreat.id – Direktur Proteksi Infrastruktur Informasi Kritikal Nasional Badan Siber dan Sandi Negara (BSSN), Nur Achmadi Salmawan, menyarankan sejumlah hal yang perlu dipahami institusi kesehatan dalam proteksi data pribadi.
Menurut Nur Achmadi, yang mendasar adalah kembali lagi ke pemahaman aturan yang telah ditetapkan oleh standar internasional (ISO) soal pengelolaan informasi di bidang kesehatan, yaitu ISO 27799.
Kesepakatan internasional itu juga telah diadopsi oleh Badan Standardisasi Nasional (BSN) Indonesia menjadi SNI ISO: 27799 Tahun 2017.
“ISO mengeluarkan tata kelola keamanan informasi yang telah diadopsi BSN. Ini (SNI ISO: 27799) dapat dijadikan sebagai panduan untuk pengelolaan informasi di bidang kesehatan,” kata Nur Achmadi dalam diskusi virtual bertajuk “Perlindungan Data Pribadi di Sektor Kesehatan” yang digelar oleh Kementerian Kesehatan, Jumat (26 Juni 2020).
Dari 14 area yang diatur dalam SNI tersebut, Nur Achmadi menjelaskan lima hal yang perlu dipahami dalam pengelolaan data kesehatan
Kelima pokok tersebut, antara lain kebijakan keamanan informasi, kriptografi, keamanan fisik dan lingkungan, keamanan komunikasi, dan manajemen insiden keamanan informasi.
Sumber: Tangkapan layar dari pemaparan Nur Achmadi.
Pertama, menyangkut kebijakan keamanan informasi, menurut Nur Achmadi, satu pemimpin suatu institusi kesehatan sebaiknya memiliki kebijakan dalam hal keamanan informasi. Ia pun menyinggung pentingnya keberadaan divisi teknologi informasi.
“Bagian TI sangat mutlak, alat-alat kesehatan sudah terhubung ke internet atau intranet,” ujar dia.
Kedua, kriptogarfi/enkripsi. Menurut Nur Achmadi, data kesehatan menjadi sangat krusial sehingga harus dienkripsi atau dilindungi kata sandi.
“Pelayanan kesehatan yang harus diamankan dalam satu server harus diperkuat dengan firewall, dilengkapi anti-malware, dan harus dikelola oleh orang-orang yang memang kompeten di bidang keamanan informasi tersebut,” ujar Nur Achmadi.
Karena berbentuk data elektronik, data-data sudah seharusnya diberi kata sandi. Penempatan komputer yang menyimpan data-data tersebut juga tidak boleh sembarangan.
Kriptografi ini juga berkaitan keamanan fisik dan lingkungan, yaitu data yang dienkripsi juga harus dikelola dengan baik dengan berbagai cara.
Untuk manajemen insiden keamanan informasi, menurut Nur Achmadi, sebaiknya institusi kesehatan memiliki satu unit Computer Security Incident Response Team (CSIRT).
“Jika terjadi data breach atau hacking, unit inilah yang pertama kali bertindak untuk segera merespons dan juga memulihkan, kemudian unit ini pula yang bertanggung jawab kepada stakeholder lainnya,” kata dia.[]
Redaktur: Andi Nugroho
