Obyek Audit : Hospital Morbidity Data System –
Department Of Health (Australia)
Instrument
Audit : GCC (General
Computer Control)
Tujuan dari audit general computer control adalah
menentukan apakah kontrol komputer mendukung kerahasiaan, integritas, dan
ketersediaan dari sistem informasi. General computer control melingkupi
pengendalian atas lingkungan teknologi informasi, operasi komputer, akses
kepada program dan data, pengembangan dan perubahan program. Audit yang
dilakukan akan difokuskan kepada beberapa kategori kontrol, diantaranya :
• Operasi
teknologi informasi
• Manajemen
resiko teknologi informasi
• Keamanan
informasi
• Kelanjutan
bisnis
• Kendali
perubahan
• Keamanan
fisik
GCC digunakan untuk menginformasikan
penilaian kapabilitas sebuah agensi. Model yang dikembangkan dalam penilaian
ini telah diterima dalam bidang industri sebagai sebuah dasar peniliaian.
Hasil dari setiap penilaian kategori
kontrol diatas akan ditampilkan dalam bentuk grade yang akan dijelaskan sebagai
berikut :
|
0
(non-existent)
|
Manajemen
proses tidak diterapkan sama sekali. Sangat kekurangan proses yang dapat
dikenali.
|
|
1
(initial/ad hoc)
|
Proses
bersifat ad hoc dan sangat kacau.
|
|
2
(repeatable but intuitive)
|
Proses
dilakukan dengan pola reguler yang dimana prosedur serupa dilakukan oleh
beberapa orang tanpa pelatihan formal maupun prosedur standar. Tanggung jawab
diserahkan kepada individu dan tingkat terjadinya kesalahan sangat tinggi.
|
|
3
(defined)
|
Proses
terdokumentasi dan terkomunikasikan.
|
|
4
(managed and measurable)
|
Manajemen
memonitor dan mengukur kesesuaian prosedur dan mengambil tindakan yang
sesuai.
|
|
5
(optimised)
|
Telah
mencapai tingkat penggunaan yang baik dan disempurnakan. Proses telah
ditingkatkan kepada tingkat praktek yang baik.
|
Setelah dilakukan audit terhadap
beberapa kategori pada Hospital Morbidity Data System maka hasil audit yang
dihasilkan adalah :
Kesimpulan
Hospital Morbidity Data System (Sistem
Data Morbiditas Rumah Sakit) ditemukan beroperasi sesuai dengan rancangannya.
Meskipun terdapat beberapa kelemahan dalam pengendalian. Kelemahan yang
terutama terkait dengan resiko pengaksesan yang tidak terautorisasi terhadap
data morbiditas. Hal ini bisa terjadi melalui metode yang tidak aman yang
digunakan untuk mendapatkan dan mentransfer data atau karena update keamanan
perangkat lunak yang direkomendasikan tidak diimplementasikan Sementara sistem
bekerja secara efektif, kelemahan yang diidentifikasi muncul risiko yang tidak
dapat diterima terhadap integritas dan kerahasiaan data morbiditas dan
informasi pasien.
Latar Belakang
Hospital Morbidity Data System (Sistem
Data Morbiditas Rumah Sakit) menampung record dari informasi personal dan medis
dari semua semua pasien yang berada pada rumah sakit publik dan swasta termasuk
juga Departemen Gawat Darurat di Australia Barat. Menurut the Hospital and
Health Services Act 1927 setiap rumah sakit harus memasukkan data aktifitas ke
dalam HMDS sesuai dengan peraturan manajemen data yang berlaku. Pada setiap
record data terdapat dua ratus elemen data. Setiap elemen data dapat dibagi
menjadi dua bagian, yaitu :
·
Data
non medis (contoh : demografis pasien, info keluar-masuk pasien)
·
Data
medis (contoh : diagnosa, prosedur, penyebab eksternal dan rincian kondisi)
Sistem ini telah menampung lebih dari
dua puluh juta data pasien sejak tahun 1970, dengan delapan ratus lima puluh
ribu data yang dimasukkan pada tahun 2011 sampai 2012.
Temuan Kunci
Secara khusus kami temukan bahwa
agensi ini menggunakan metode yang tidak aman untuk mendapatkan informasi
pasien dari rumah sakit publik maupun swasta. Informasi pasien diambil dari
rumah sakit swasta menggunakan flash disk dan dari rumah sakit publik
menggunakan FTP yang tidak aman yang mengirimkan teks yang tidak terenkripsi
melalui jaringan. Kedua metode ini membuat informasi sangat rentan terhadap
akses yang tidak bertanggung jawab.
Juga tercatat bahwa agensi ini tidak
memiliki proses yang efektif dalam meyakinkan bahwa setiap update software
diterapkan pada server yang penting sesuai dengan rekomendasi vendor. Beberapa
update sangatlah mendasar untuk menjaga keamanan dari sistem.
Tercatat juga bukti dari
ketidak-cocokan data antara HDMS dengan data yang terdapat pada sistem rumah
sakit publik yaitu TOPAS dan HCARE. Pada pengujian yang dilakukan pada tahun
2011 sampai 2012 terdapat 1.328 ketidak-cocokan antara HDMS dan HCARE dan 2.982
antara HDMS dan HCARE. Meskipun terjadi ketidak-cocokan data, jika dibandingkan
dengan jumlah dan volume data pasien setiap tahunnya, maka hanya terdapat
resiko kecil terhadap rata-rata integritas informasi yang dilaporkan.
Ditemukan juga beberapa akun biasa
yang memiliki hak istimewa untuk mengakses HDMS yang digunakan dalam tugas
sehari-hari oleh staff agensi dan kontraktor luar. Sebagai tambahan, akun-akun
ini tidak terhubung dengan nomor identifikasi staff. Tanpa pengendalian yang
efektif terhadap akun yang memiliki hak istimewa tinggi, maka ada resiko yang
meningkat terhadap akses yang tidak terautorisasi atau modifikasi yang tidak
disengaja maupun penyalahgunaan sistem dan data kunci.
Rekomendasi
Agensi harus :
·
Menilai
resiko dari menggunakan metode yang tidak aman untuk mentransfer informasi
morbiditas dari rumah sakit publik dan swasta ke dalam HDMS. Untuk rumah sakit
swasta, agensi harus mempertimbangkan untuk memaksakan mekanisme yang lebih
aman dalam memindahkan data, yang dimana harus sesuai. Sebagai contoh,
menggunakan enkripsi atau akses web yang aman. Untuk rumah sakit publik, agensi
juga harus menilai resiko dari menggunakan mekanisme yang tidak aman (FTP)
untuk memindahkan data morbiditas ke dalam HDMS.
·
Meyakinkan
semua perubahan dari sumber data morbiditas di dalam TOPAS dan HCARE
tersinkronisasi secara benar dengan HDMS untuk menghindari resiko inkonsistensi
data.
·
Mengulas
prosedur saat ini untuk menerapkan update software di dalam sistem untuk
meyakinkan semua update keamanan vendor sudah dinilai, diuji dan jika berlaku
akan diterapkan tepat waktu pada semua sistem.
·
Memastikan
setiap akun yang memilki hak istimewa terhadap HDMS diperiksa secara periodik
untuk meyakinkan bahwa tingkatan akses sesuai setiap waktu.
Respon Agensi
The Department of Health, atas sektor
kesehatan public dan negara, menerima setiap temuan dan mencata setiap tindakan
yang sesuai telah dilakukan untuk menangani isu dan mendukung rekomendasi yang
dibuat di dalam audit ini.
