Verklaringen zijn stukken uitleg die bedoeld zijn om het vertrouwen in een organisatie te versterken. Dit vertrouwen ontstaat doordat de organisatie laat zien enkel doelbewust veilige diensten aan te bieden, en af te wijken op standaarden wanneer dit noodzakelijk is. Wij ondersteunen dit door alleen verklaringen toe te voegen die een organisatie sterker in beeld brengt.
Een goede verklaring is er altijd een waarbij de grondslag ‘by design’ is: dus dit is volgens het ontwerp zo bedoeld en de veiligste optie.
Voorbeelden van goede verklaringen
Goed 1: Volgen van technische eisen
HTTPS is uitgeschakeld omdat Certificate Revocation Lists toegankelijk moeten zijn zonder versleuteling (ivm kip en ei probleem). Deze data heeft checksums om de integriteit vast te stellen.
Goed 2: Begrijpen van de doelgroep
Deze dienst is bedoeld voor apparaten die gegevens uitwisselen. Deze apparaten vertrouwen dit certificaat. Dit is een overheids G1 certificaat dat volgens het ontwerp niet wordt vertrouwd in browsers.
Goed 3: Begrijpen van de eindgebruiker
Versleuteling is niet mogelijk omdat de Commodore 64 geen TLS spreekt, maar wel bij deze gegevens moet kunnen komen.
Voorbeelden van slechte verklaringen
Slecht 1: Beloften over de toekomst
We werken eraan / De leverancier werkt eraan / Dit wordt opgelost / Dit staand gepland voor aan het einde van het jaar.
Wij zien dat dergelijke beloften niet uitkomen. Er is vaak vertraging en een verklaring zou de urgentie weghalen.
Slecht 2: Afwijzen of afschuiven van verantwoordelijkheid
De leverancier wil dit niet doen, of vraagt een enorm bedrag. Dit is voor ons niet haalbaar.
Dit betekent dat je naar een andere leverancier moet, of dat het probleem op een andere manier moet worden opgelost. Wanneer een leverancier duizenden euros vraagt voor simpele beveiligingseisen dan is er iets mis.
Slecht 3: Afbakening van verantwoordelijkheid / Scope / Ontkenning
Dit subdomein is van ons maar wij hebben hier geen dienst op, dat wordt gedaan door een andere organisatie. Dit past niet in onze scope.
In dit geval moeten er afspraken worden gemaakt met de andere organisatie om het uit de scope te halen.