Secure by Design · NLQF6 · praatplaat
Veiligheid als ontwerpkwaliteit
De eerste vier weken brengen tech én non-tech naar één gezamenlijk niveau. Security is hier geen eindcontrole of hackcursus, maar een ontwerphouding: breed over product, proces, mens en organisatie. De praktijk dient om kennis te laten beklijven vóór de kennistoets — diepe technische vaardigheid komt erna.
NLQF64 weken9 blokken/week7 lessen + 2 verwerking36 blokken10 metrostationstech + non-techkennistoets
01 Uitgangspunten
P1Secure by Design
Veiligheid is een ontwerpkwaliteit die vanaf het begin meegaat — geen eindcontrole. Dat is de rode draad door alle vier de weken.
P2Breed, niet ICT-geframed
Product, proces, mens en organisatie staan centraal. Niet met hacken openen; techniek is één invalshoek, geen voorwaarde.
P39 blokken per week
Blok 1–7 zijn echte lessen, blok 8 is sociaal/spel, blok 9 is integratie & reflectie. Activerende werkvormen landen in 8 en 9.
P4Doorlopende casus
Het security-context canvas uit week 1 groeit week na week door tot het secure-by-design dossier in week 4. Eén casus verbindt alles.
P5Tech + non-tech gelijk
Scheidslijn is techniek-comfort, niet voorkennis. Security is voor allebei nieuw; de toets is voor iedereen gelijk.
P6Praktijk = ankeren
Spel, canvas en retrieval dienen het onthouden vóór de kennistoets — niet het zelfstandig kunnen. Dat komt na deze minor.
Metrostations tonen
Zelf te maken markeren
wk1 wk2 wk3 wk4 blok 8 sociaal/spel blok 9 integratie op maat te maken
Week 1
Mindset & cultuur
waarom & wie
Blok 1✎▸
Intro Secure by Design: veiligheid als ontwerpkwaliteit
les
S1S2
- Kern
- Security is geen eindcontrole maar een ontwerpkwaliteit die vanaf het begin meegaat.
- Onderwerpen
- CIA/BIV, product security, security first; OV-chipkaart, DigiNotar, Stuxnet als falende principes.
- Doen
- Korte kickoff; klassikaal 'wat is veilig ontworpen'; mini-incidenten gebruiken om BIV/CIA te herkennen; gezamenlijke begrippenkaart starten.
- Stations
- S1 Basis & bewustwording / product security
S2 Security mindset & cultuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S1.1 (opener + primer + live demo). Demo verschuift; niet met hacken openen.
Blok 2✎▸
Wat kan er misgaan? Producten, diensten, processen en systemen
les
S1SO
- Kern
- Schade, impact en risico's verkennen zonder direct in techniek te schieten.
- Onderwerpen
- Sms-spoofing, IMEI-cloning, stingray, USB, energiecentrales, publieke infra, robots, supply chain.
- Doen
- Groepsbrainstorm per domein; voorbeelden sorteren op product/dienst/proces/systeem; bespreking van schade en impact.
- Stations
- S1 Basis & bewustwording / product security
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: deels S1.1 en S1.4.
Blok 3✎▸
Security-principes: least privilege, defense in depth, secure by default
les
S1S6
- Kern
- Basisprincipes als ontwerpregels voor veiligere keuzes.
- Onderwerpen
- Cryptografie & grenzen, vertrouwelijkheid, integriteit, authenticatie, onweerlegbaarheid, defense in depth, access control.
- Doen
- Principes uitleggen via herkenbare ontwerpkeuzes; koppelen aan eerdere risico's; kort principekaartje maken.
- Stations
- S1 Basis & bewustwording / product security
S6 Security requirements & architectuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: deels S1.4. Least privilege / secure-by-default ontbraken expliciet — nu toegevoegd.
Blok 4▸
Menselijk gedrag en securitycultuur
les
S2SO
- Kern
- Security hangt samen met gedrag, routines, verantwoordelijkheid en cultuur.
- Onderwerpen
- Social engineering, training/informatie, niet alles is technisch oplosbaar, actie bij vermoed incident.
- Doen
- Phishing/social-engineering voorbeelden bespreken; duo-opdracht 'waarom klikken mensen?'; ontwerp van één gedragsmaatregel.
- Stations
- S2 Security mindset & cultuur
SO Overige onderwerpen
Oud: S1.2 + S1.3.
Blok 5✎▸
Stakeholders, belangen en verantwoordelijkheden
les
S2S3S4
- Kern
- In kaart brengen wie belang heeft bij security en wie invloed heeft op ontwerpkeuzes.
- Onderwerpen
- Bedreigers (staat, hacker, concurrent); belangen van gebruiker, organisatie, leverancier, toezichthouder, beheerder.
- Doen
- Stakeholdermap maken; rollen en belangen bespreken; per stakeholder één securityverwachting formuleren.
- Stations
- S2 Security mindset & cultuur
S3 Hacker-mindset & dreigingen
S4 Governance & supply chain
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S1.4.
Blok 6✎▸
Assets en misbruikscenario's
les
S1S3S5SO
- Kern
- Bepalen wat beschermd moet worden en hoe een ontwerp misbruikt kan worden.
- Onderwerpen
- Data, processen, systemen, mensen, apparaten, identity, authentication, access management, datamisbruik.
- Doen
- Assets inventariseren; assetwaarde bepalen; eerste abuse cases schrijven vanuit gebruiker, aanvaller en beheerder.
- Stations
- S1 Basis & bewustwording / product security
S3 Hacker-mindset & dreigingen
S5 Threat modelling, monitoring & risico
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S1.4, deels S1.5 (maar breder en minder technisch dan Juice Shop).
Blok 7▸
Weekopbrengst: security-context en eerste abuse cases
les
S1S2S3S5
- Kern
- De week sluit inhoudelijk af met context, assets, stakeholders en eerste misbruikscenario's.
- Onderwerpen
- Security-context, assets, stakeholders, bedreigers, kwetsbaarheden, mogelijke schade, eerste abuse cases.
- Doen
- Teams presenteren hun context in 3 minuten; peer-vragen; docent maakt de gezamenlijke rode draad zichtbaar.
- Stations
- S1 Basis & bewustwording / product security
S2 Security mindset & cultuur
S3 Hacker-mindset & dreigingen
S5 Threat modelling, monitoring & risico
Oud: S1.6 (consolidatie).
Blok 8✎▸
Sociaal blok: security bingo / kennismaking via risico's
●sociaal · spel
S2SO
- Kern
- Elkaar leren kennen via herkenbare security-situaties en dilemma's.
- Onderwerpen
- Phishing, wachtwoorden, telefoonverlies, publieke wifi, USB, MFA, social engineering, persoonlijke ervaringen.
- Doen
- Security bingo; dilemma-kaarten; ervaringen uitwisselen en koppelen aan securitycultuur.
- Stations
- S2 Security mindset & cultuur
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Nieuw spelblok. Inhoudelijke input uit S1.3.
Blok 9✎▸
Integratieblok: security context canvas
◆integratie
S1S2S3S5
- Kern
- De inhoud van week 1 komt samen in één gezamenlijke casus.
- Onderwerpen
- CIA/BIV, assets, stakeholders, bedreigers, eerste dreigingen, eerste ontwerpprincipes, eerste abuse cases.
- Doen
- Security context canvas invullen; korte gallery walk; canvas bewaren als startpunt voor week 2.
- Stations
- S1 Basis & bewustwording / product security
S2 Security mindset & cultuur
S3 Hacker-mindset & dreigingen
S5 Threat modelling, monitoring & risico
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Nieuw kernartefact; deels S1.4 + S1.6.
Week 2
De boze buitenwereld
dreigingen & aanvallers
Blok 1✎▸
Aanvallersdenken: assets, motieven, toegang en impact
les
S3SO
- Kern
- Redeneren vanuit motieven, toegangspunten, kwetsbaarheden en schade.
- Onderwerpen
- Black/white/grey hat, dark web, gestolen data, motieven, toegang, impact, bedreigers.
- Doen
- Attackerspersona maken; motief-toegang-impact invullen; klassikale bespreking van ethische grenzen.
- Stations
- S3 Hacker-mindset & dreigingen
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.1 (hacker-mindset).
Blok 2✎▸
Dreigingen in digitale én organisatorische context
les
S1S3SO
- Kern
- Dreigingen breed bekijken: digitaal, fysiek, menselijk, procesmatig en organisatorisch.
- Onderwerpen
- Phishing, DDoS, MitM, ransomware-as-a-service, social engineering, supply-chain attacks, cloud, devices.
- Doen
- Dreigingskaart sorteren; dreigingen koppelen aan casus-assets; korte threat-landscape mini-jigsaw.
- Stations
- S1 Basis & bewustwording / product security
S3 Hacker-mindset & dreigingen
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.2 (threat landscape).
Blok 3✎▸
Incidentanalyse: waar faalde het ontwerp?
les
S1S3S5S8
- Kern
- Een incident analyseren als gevolg van keuzes in ontwerp, proces, gedrag, techniek of governance.
- Onderwerpen
- OV-chipkaart, DigiNotar, certificate authority, Stuxnet, zero-day, falende beveiligingsprincipes.
- Doen
- Incidentcasus in groepen; oorzaak-gevolg-keten maken; aangeven welk securityprincipe faalde.
- Stations
- S1 Basis & bewustwording / product security
S3 Hacker-mindset & dreigingen
S5 Threat modelling, monitoring & risico
S8 Testing, pentest & incident response
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Nieuw in wk2; verwant aan S3.5 (post-mortem).
Blok 4▸
OWASP / MITRE als voorbeelden van dreigingsdenken
les
S3S4S5
- Kern
- Kennismaken met frameworks die dreigingen helpen herkennen en ordenen.
- Onderwerpen
- CVE, OWASP, MITRE, cyber kill chain, CVSS, kwetsbaarheden duiden en classificeren.
- Doen
- Korte frameworktour; voorbeeldkwetsbaarheden classificeren; MITRE/OWASP/CVE vergelijken als ordeningstaal.
- Stations
- S3 Hacker-mindset & dreigingen
S4 Governance & supply chain
S5 Threat modelling, monitoring & risico
Oud: S2.1 + S2.2.
Blok 5✎▸
Risico's inschatten: kans, impact, prioriteit
les
S5S6
- Kern
- Risico's wegen en prioriteren — niet elke dreiging is even belangrijk.
- Onderwerpen
- Information at risk → threats → mitigations; kwetsbaarheid, dreiging, risico, maatregel, CVSS.
- Doen
- Risicomatrix invullen; top 5 risico's kiezen; kans/impact onderbouwen.
- Stations
- S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.5 (risicoanalyse).
Blok 6▸
Eerste ontwerpmaatregelen: voorkomen, beperken, detecteren, herstellen
les
S5S6S4
- Kern
- Risico's koppelen aan eerste maatregelen en ontwerpkeuzes.
- Onderwerpen
- Mitigations, CIS Controls, access control, logging, rate limiting, defense in depth, cryptografie, key management.
- Doen
- Per toprisico maatregelen bedenken; indelen in voorkomen/beperken/detecteren/herstellen; eerste ontwerpbesluiten noteren.
- Stations
- S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
S4 Governance & supply chain
Nieuw/uitgebreid t.o.v. S2.5.
Blok 7▸
Intro monitoring en detectie
les
S5S8
- Kern
- Veilig ontwerpen betekent ook dat afwijkingen zichtbaar en bespreekbaar worden.
- Onderwerpen
- Security Operations Centre, logging/monitoring, logging van security-relevante acties, detectie als ontwerpkeuze.
- Doen
- Bespreken wat je in logs wilt zien; detectievragen formuleren; monitoring als ontwerpkeuze koppelen aan risico's.
- Stations
- S5 Threat modelling, monitoring & risico
S8 Testing, pentest & incident response
Oud: S2.6 (monitoring).
Blok 8✎▸
Sociaal/spelblok: dreigingenkaartspel of attack-tree challenge
●sociaal · spel
S3S5
- Kern
- Teams oefenen met aanvallersdenken en dreigingsherkenning.
- Onderwerpen
- Attack trees, persona non grata, cyber kill chain; dreigingen koppelen aan asset, motief, toegang, impact.
- Doen
- Attack-tree challenge in teams; punten voor creativiteit én plausibiliteit; korte debrief op ontwerpimplicaties.
- Stations
- S3 Hacker-mindset & dreigingen
S5 Threat modelling, monitoring & risico
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.1 (attack tree) + S2.3 (STRIDE-spel). Eventueel Cornucopia/EoP als kaartspel.
Blok 9✎▸
Integratieblok: risicoprofiel + eerste ontwerpmaatregelen
◆integratie
S3S4S5S6
- Kern
- De week eindigt met een prioriteitenlijst van risico's en eerste maatregelen voor de casus.
- Onderwerpen
- Topdreigingen, risicoprioritering, eerste CIS Controls, mitigaties, ontwerpmaatregelen, detectiepunten.
- Doen
- Risicoprofiel opleveren; maatregelen reviewen; link leggen met governancevragen voor week 3.
- Stations
- S3 Hacker-mindset & dreigingen
S4 Governance & supply chain
S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.4 + S2.5 + S2.6.
Week 3
Governance & organisatie
+ incident response
Blok 1✎▸
Governance-light: rollen, verantwoordelijkheden en eigenaarschap
les
S4S2
- Kern
- Security vraagt om duidelijke rollen, besluitvorming, eigenaarschap en afspraken.
- Onderwerpen
- Security governance, verantwoordelijkheden, eigenaarschap, niet óf maar wanneer, actie bij vermoed incident.
- Doen
- RACI-light maken; eigenaarschap van risico's bespreken; escalatiepad schetsen.
- Stations
- S4 Governance & supply chain
S2 Security mindset & cultuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.1 (governance).
Blok 2▸
Compliance versus security
les
S4
- Kern
- Het verschil tussen voldoen aan regels en daadwerkelijk veilig ontwerpen.
- Onderwerpen
- AVG/GDPR, NIS2, CRA, ISO, NIST, HIPAA, SOC 2; regelconform vs. werkelijk veilig.
- Doen
- Casusvragen: wanneer ben je compliant maar nog niet veilig? Regels vertalen naar ontwerpvragen.
- Stations
- S4 Governance & supply chain
Oud: S3.2 (wetgeving & compliance).
Blok 3✎▸
ISO 27001 op hoofdlijnen
les
S4S5
- Kern
- ISO 27001 als managementsysteem voor informatiebeveiliging, risico's en verbetering.
- Onderwerpen
- ISO, NIST, beleid, risicoanalyse, controls, continu verbeteren, relatie met bredere frameworks.
- Doen
- PDCA-cyclus koppelen aan security; controls als beheersmaatregelen; mini-controlkaart maken.
- Stations
- S4 Governance & supply chain
S5 Threat modelling, monitoring & risico
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.1 (governance).
Blok 4✎▸
NIS2, AVG en CRA op hoofdlijnen
les
S4S1
- Kern
- Wet- en regelgeving als context voor ontwerpbeslissingen.
- Onderwerpen
- NIS2, AVG/GDPR, CRA, product security, privacy, zorgplicht, ketenverantwoordelijkheid.
- Doen
- Wetgevingsposter per groep; kernverplichtingen vertalen naar gevolgen voor ontwerp of organisatie.
- Stations
- S4 Governance & supply chain
S1 Basis & bewustwording / product security
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.2 (wetgeving & compliance).
Blok 5✎▸
Supply chain security
les
S4S7aSO
- Kern
- Afhankelijkheden van leveranciers, software, data, platformen en ketenpartners onderzoeken.
- Onderwerpen
- Supply chain (attacks), Software Bill of Materials, leveranciers, cloud, data, software, platforms.
- Doen
- Dependency map maken; blind-trust-punten markeren; SBOM als concept bespreken.
- Stations
- S4 Governance & supply chain
S7a SDLC — technische diepgang
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.3 (supply chain).
Blok 6▸
Organisatorische maatregelen: awareness, procedures, autorisaties
les
S2S4SO
- Kern
- Securitymaatregelen zijn ook organisatorisch en gedragsmatig.
- Onderwerpen
- Training, awareness, procedures, identity, authentication, access management, verzekeringen.
- Doen
- Maatregelenmenu maken; technische vs. organisatorische maatregelen vergelijken; awareness-interventie ontwerpen.
- Stations
- S2 Security mindset & cultuur
S4 Governance & supply chain
SO Overige onderwerpen
Oud: deels S3.1 + S1.3.
Blok 7✎▸
Incident response, crisiscommunicatie en vertrouwen
les
S8S2S4
- Kern
- Ontwerpen voor het moment waarop het misgaat.
- Onderwerpen
- Incident response, rapportage, reparatie/post-mortem, externe communicatie, ITIL, handelen bij incidenten.
- Doen
- Incident lifecycle bespreken; communicatiekaart maken; post-mortemvragen voorbereiden.
- Stations
- S8 Testing, pentest & incident response
S2 Security mindset & cultuur
S4 Governance & supply chain
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.4 + S3.5.
Blok 8▸
Sociaal/spelblok: Backdoors & Breaches
●sociaal · spel
S8S5S4S2
- Kern
- Incident response, rollen, detectie, communicatie en besluitvorming onder druk ervaren.
- Onderwerpen
- Incident response, SOC-denken, logging, monitoring, rapportage, externe communicatie, post-mortem, teamrollen.
- Doen
- Backdoors & Breaches spelen; rollen verdelen; observatoren letten op communicatie, besluitvorming en escalatie.
- Stations
- S8 Testing, pentest & incident response
S5 Threat modelling, monitoring & risico
S4 Governance & supply chain
S2 Security mindset & cultuur
Oud: S3.4. Rechtstreekse match — kant-en-klaar spel.
Blok 9✎▸
Integratieblok: governancekaart + responsafspraken
◆integratie
S4S8S2
- Kern
- De week eindigt met rollen, verantwoordelijkheden, compliancepunten en responsafspraken.
- Onderwerpen
- Governancekaart, ketenafhankelijkheden, wetgeving, incidentprocedure, communicatie- en herstelafspraken.
- Doen
- Governancekaart opleveren; lessons learned uit het spel verwerken; responsafspraken koppelen aan de casus.
- Stations
- S4 Governance & supply chain
S8 Testing, pentest & incident response
S2 Security mindset & cultuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S3.5 + S3.6.
Week 4
Ontwerp & testing
requirements → testen
Blok 1✎▸
Security requirements formuleren
les
S6S5S4
- Kern
- Risico's vertalen naar concrete, toetsbare en relevante security-eisen.
- Onderwerpen
- Security requirements, information at risk → threats → mitigations, CIS Controls als input.
- Doen
- Risico's omzetten naar requirements; eisen SMART/toetsbaar maken; eerste acceptatiecriteria formuleren.
- Stations
- S6 Security requirements & architectuur
S5 Threat modelling, monitoring & risico
S4 Governance & supply chain
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S4.1 (van dreiging naar eis).
Blok 2▸
Maatregelen kiezen: techniek, proces, gedrag en organisatie
les
S6S4S2
- Kern
- Maatregelen afwegen vanuit effectiviteit, haalbaarheid en context.
- Onderwerpen
- CIS Controls toepassen, implementation groups, roadmap, auditbare vragen, technisch + organisatorisch.
- Doen
- Maatregelen prioriteren; trade-offs bespreken; controls koppelen aan risico's en organisatiecontext.
- Stations
- S6 Security requirements & architectuur
S4 Governance & supply chain
S2 Security mindset & cultuur
Nieuw; CIS-controls als expliciet maatregelenkader (ontbrak in oude HTML).
Blok 3✎▸
Architectuur en ontwerpprincipes, breed uitgelegd
les
S6S1SO
- Kern
- Architectuur breed: lagen, grenzen, toegang, verantwoordelijkheden en samenhang.
- Onderwerpen
- Zero trust, defense in depth, silo's, rate limiting, access control, key management, cryptografie, post-quantum.
- Doen
- Bewust slecht ontwerp verbeteren; ontwerpprincipes toepassen; architectuurschets maken.
- Stations
- S6 Security requirements & architectuur
S1 Basis & bewustwording / product security
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S4.2 (secure architecture).
Blok 4✎▸
Threat modelling als gezamenlijke ontwerptaal
les
S5S6
- Kern
- Threat modelling verbindt techniek, proces, organisatie, gedrag en risico in één gedeelde taal.
- Onderwerpen
- Threat modelling algemeen, STRIDE, PASTA, LINDDUN, persona non grata, attack trees.
- Doen
- Threat model op de casus maken of aanscherpen; STRIDE-light gebruiken; bedreigingen koppelen aan ontwerpkeuzes.
- Stations
- S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S2.3 + S2.4. Whiteboard/canvas i.p.v. technische tool.
Blok 5✎▸
Van requirement naar ontwerpkeuze
les
S6S5
- Kern
- Traceerbaarheid aanleggen van risico naar ontwerpbeslissing.
- Onderwerpen
- Dreiging → risico → requirement → maatregel → ontwerpbeslissing; logging, access control, cryptografie, monitoring.
- Doen
- Traceability matrix invullen; ontwerpbeslissingen onderbouwen; gaten in de keten markeren.
- Stations
- S6 Security requirements & architectuur
S5 Threat modelling, monitoring & risico
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: deels S4.1 + S4.2.
Blok 6✎▸
Security in de lifecycle: ontwerp, bouw, gebruik, beheer
les
S7S7aS4
- Kern
- Security als doorlopend proces gedurende de hele levenscyclus.
- Onderwerpen
- SDLC, PDLC, CI/CD, upgrade/downgrade/patches, supply-chain attacks, SBOM, project opzetten.
- Doen
- Lifecycle-map maken; security-activiteiten plaatsen in ontwerp/bouw/test/beheer; patching en SBOM bespreken.
- Stations
- S7 SDLC / PDLC / CI-CD
S7a SDLC — technische diepgang
S4 Governance & supply chain
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S4.3 (SDLC kort + CI/CD).
Blok 7✎▸
Testen en valideren: hoe weet je dat het veiliger is?
les
S8S5S6
- Kern
- Hoe ontwerpkeuzes worden getoetst en gevalideerd.
- Onderwerpen
- Testing, pentesting, simulaties, rapportage, reparatie/post-mortem, CVE/CVSS om bevindingen te duiden.
- Doen
- Testsoorten matchen aan requirements; acceptatiecriteria controleren; validatieplan-light maken.
- Stations
- S8 Testing, pentest & incident response
S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S4.4 + S4.5 (concepten; hands-on labs optioneel).
Blok 8✎▸
Sociaal blok: peer review carrousel
●sociaal · spel
S6S5S4S8
- Kern
- Teams verdedigen ontwerpkeuzes en geven feedback vanuit verschillende rollen.
- Onderwerpen
- Rollen: aanvaller, gebruiker, compliance, beheer, communicatie, architectuur; feedback op onderbouwing.
- Doen
- Peer review carrousel; elk team beoordeeld vanuit meerdere rollen; feedback omzetten naar verbeteracties.
- Stations
- S6 Security requirements & architectuur
S5 Threat modelling, monitoring & risico
S4 Governance & supply chain
S8 Testing, pentest & incident response
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Nieuw; vervangt/verbreedt S4.6.
Blok 9✎▸
Integratieblok: secure-by-design dossier + toetsvoorbereiding
◆integratie
S1S2S3S4S5S6S7S8SO
- Kern
- Alles komt samen in een mini-dossier; voorbereiden op casusgericht redeneren.
- Onderwerpen
- Context, assets, dreigingen, risico's, governance, requirements, architectuur, lifecycle, monitoring, test, respons.
- Doen
- Mini secure-by-design dossier afronden; conceptmap maken; oefencasusvragen bespreken.
- Stations
- S1 Basis & bewustwording / product security
S2 Security mindset & cultuur
S3 Hacker-mindset & dreigingen
S4 Governance & supply chain
S5 Threat modelling, monitoring & risico
S6 Security requirements & architectuur
S7 SDLC / PDLC / CI-CD
S8 Testing, pentest & incident response
SO Overige onderwerpen
✎ zelf te makenBespreek bij dit blok welk canvas / kaartset / sjabloon je vooraf bouwt.
Oud: S4.6 (synthese & toetsvoorbereiding).
02 Metrokaart — dekken we alle onderwerpen?
De negen kernonderwerpen zijn "metrostations". Elk blok doet één of meer stations aan; de tabel laat zien hoe elk onderwerp door de vier weken loopt. Zo zie je in één oogopslag dat alles geraakt wordt én waar het zwaartepunt ligt.
| Metrostation | Week 1 | Week 2 | Week 3 | Week 4 |
|---|---|---|---|---|
| S1Basis & bewustwording / product securityCIA-BIV, cryptografie & grenzen, beroemde fouten (OV-chip, DigiNotar, Stuxnet) | blok 1, 2, 3, 6, 7, 9 | blok 2, 3 | blok 4 | blok 3, 9 |
| S2Security mindset & cultuurSocial engineering, training, niet óf maar wanneer, security first | blok 1, 4, 5, 7, 8, 9 | — | blok 1, 6, 7, 8, 9 | blok 2, 9 |
| S3Hacker-mindset & dreigingenBlack/white/grey hat, dark web, motieven, aanvallersdenken | blok 5, 6, 7, 9 | blok 1, 2, 3, 4, 8, 9 | — | blok 9 |
| S4Governance & supply chainAVG, NIS2, CRA, ISO, NIST, CIS Controls, supply chain | blok 5 | blok 4, 6, 9 | blok 1, 2, 3, 4, 5, 6, 7, 8, 9 | blok 1, 2, 6, 8, 9 |
| S5Threat modelling, monitoring & risicoSTRIDE, attack trees, kill chain, SOC, logging, risicoanalyse | blok 6, 7, 9 | blok 3, 4, 5, 6, 7, 8, 9 | blok 3, 8 | blok 1, 4, 5, 7, 8, 9 |
| S6Security requirements & architectuurZero trust, defense in depth, rate limiting, key management, access control | blok 3 | blok 5, 6, 9 | — | blok 1, 2, 3, 4, 5, 7, 8, 9 |
| S7SDLC / PDLC / CI-CDSecurity in de software-/productlevenscyclus, CI/CD | — | — | — | blok 6, 9 |
| S7aSDLC — technische diepgangUpgrades, patches, supply-chain attacks, SBOM | — | — | blok 5 | blok 6 |
| S8Testing, pentest & incident responseRapportage, post-mortem, communicatie, ITIL, incident response | — | blok 3, 7 | blok 7, 8, 9 | blok 7, 8, 9 |
| SOOverige onderwerpenPhishing, DDoS, MitM, ransomware-as-a-service, IAM, cloud, devices | blok 2, 4, 6, 8 | blok 1, 2 | blok 5, 6 | blok 3, 9 |
03 Bronnen
Zoveel mogelijk kant-en-klaar en gratis. Bewust gesplitst: de kernroute is breed en ontwerpgericht; technische lab-tools blijven daarbuiten als optionele verdieping, zodat de minor niet ICT-geframed raakt.
Kernbronnen — gezamenlijke basis
Concepten, frameworks en NL/EU-context die passen bij de brede ontwerpinsteek. Plus de serious games voor de spelblokken (blok 8).
Concepten & frameworks
- OWASP Top 10 ↗
meest voorkomende web-risico's als taal - OWASP ASVS ↗
requirements-denken - OWASP SAMM ↗
governance / volwassenheid - CIS Controls ↗
concreet maatregelenkader - MITRE ATT&CK ↗
aanvalstechnieken & detectie - Cyber Kill Chain ↗
aanvalsfasen - Threat modelling (OWASP) ↗
STRIDE & methodes - CVE / CVSS (NVD) ↗
kwetsbaarheden duiden & scoren - NIST CSF ↗
governance-kapstok - NIST SSDF ↗
secure development lifecycle - ISO 27001 (overzicht) ↗
managementsysteem infosec
NL / EU & recht
- NCSC-NL ↗
incl. voormalig DTC: 5 basisprincipes, CyberVeilig Check - ENISA Threat Landscape ↗
EU-dreigingsoverzicht - Autoriteit Persoonsgegevens ↗
AVG & datalek-meldplicht (72u) - NIS2 (EU) ↗
zorgplicht & ketenverantwoordelijkheid - Cyber Resilience Act ↗
product security in de EU
Serious games (blok 8)
- Backdoors & Breaches ↗
incident response — gratis online - Elevation of Privilege ↗
STRIDE-kaartspel (gratis PDF) - OWASP Cornucopia ↗
threat-modelling kaartspel
Awareness
- Google Phishing Quiz ↗
awareness-oefening - Veiliginternetten ↗
laagdrempelige NL-bron
niet in de kernroute Optioneel — technische verdieping
Waardevol, maar te technisch voor de gezamenlijke basis. Aanbieden als bronnenbank, demo of verdiepingsspoor (bijv. LU2 / technisch profiel). Niet centraal verplicht; níét mee openen.
Lab-omgevingen (verdieping)
- OWASP Juice Shop ↗
demo of LU2 / technisch profiel - TryHackMe ↗
optioneel verdiepingsspoor - PortSwigger Academy ↗
bronnenbank webhacking - PicoCTF ↗
keuzeactiviteit / CTF
Tools & primer (optioneel)
- OWASP Threat Dragon ↗
tool-demo; basis liever op canvas - Cloudflare Learning Center ↗
netwerk-primer als prework - MDN — How the web works ↗
prework browser/HTTP
04 Wat maken we zélf?
De ontwerpinsteek leunt op canvases, maps en kaartsets in plaats van kant-en-klare tools — dus hier zit het meeste maakwerk. Zet "Zelf te maken markeren" aan om te zien bij welke blokken het hoort.
Canvases & maps — de ruggengraat
- W1·9 (kernartefact, loopt door) · Security context canvas
- W1·5 · Stakeholdermap
- W1·6 · Asset- & abuse-case canvas
- W2·1 · Attackerspersona
- W2·5 · Risicomatrix
- W2·9 · Risicoprofiel
- W3·1 · RACI-light
- W3·5 · Dependency map
- W3·9 · Governancekaart
- W4·5 · Traceability matrix
- W4·6 · Lifecycle-map
- W4·9 (eindartefact) · Security-by-design dossier
Kaartsets & spelmateriaal
- W1·3 · Principekaartjes
- W1·8 · Security bingo + dilemmakaarten
- W2·2 · Dreigingskaarten-sorteerset
- W2·8 · Attack-tree challenge
- W4·4 · STRIDE-light canvas
- W4·7 · Testsoorten match-up
- W4·8 · Rollenkaarten peer-review
Casussen kiezen / samenstellen
- loopt door alle weken · Doorlopende venture / fictief bedrijf
- W2·3 · Incidentcasus
- W3·7 · Breach-writeup
- W3·4 · Wetgevingsposter-casus
- W4·3 · 'Slecht ontworpen' architectuur (A4)
Retrieval, slides & toetsing
- bij blok 7 of 9 · Weekquiz (Kahoot/Menti)
- W1·1 · Begrippenkaart
- W1·1 · Kickoff-slides
- W2·4 · Framework-tour slides
- W2·7 · Monitoring-intro
- W4·9 · Oefencasusvragen + kennistoets
Kant-en-klaar — niet zelf makenBackdoors & Breaches (W3·8), Elevation of Privilege / Cornucopia (spelblokken), de framework-referenties (OWASP, MITRE, CIS, CVE/CVSS) en de Google Phishing Quiz. Hierop bouw je voort; je hoeft ze niet te ontwikkelen.