Avans HogeschoolSecure by DesignMinor · AvansEN
Secure by Design · Fase 2 · praatplaat

Het Professioneel Profiel

Fase 1 bracht iedereen naar één gezamenlijke basis. In fase 2 stap je uit bij een station en ga je de diepte in: je kiest één of meer cybersecurity-onderwerpen, doet er praktisch onderzoek naar voor een fictieve opdrachtgever, en levert een prototype of rapport. Je portfolio en eindpresentatie vormen de toets.

fase 2vrije onderwerpkeuze1 of meer topicspraktisch onderzoekprototype óf rapportfictieve opdrachtgeverportfolio + eindpresentatietech & non-tech

01 De opdracht

Je bent vrij in je keuze, maar deze kaders gelden voor iedereen — tech én non-tech.

K1Vrije keuze

Kies één onderwerp of combineer er een paar. Eigen onderwerp bedenken mag, mits het binnen cybersecurity en de Secure-by-Design-gedachte past.

K2Praktisch onderzoek

Het draait om dóén: niet alleen lezen, maar onderzoeken, testen, bouwen of valideren. Een aantoonbare praktische kern is verplicht.

K3Prototype óf rapport

Je deliverable is een werkend prototype, of een onderbouwd rapport/advies. Wat past bij je onderwerp en je invalshoek bepaal je zelf.

K4Fictieve opdrachtgever

Richt je werk op een fictieve opdrachtgever met een echt probleem. Dat dwingt scope, relevantie en professionele communicatie af.

K5Toets = portfolio + presentatie

Je wordt beoordeeld op je portfolio (proces, keuzes, bewijs) én een eindpresentatie waarin je je werk verdedigt voor de opdrachtgever.

K6Tech én non-tech

Elk onderwerp kan technisch (bouwen) óf organisatorisch/onderzoekend worden aangepakt. Kies de invalshoek die bij jou past.

02 Kies je verdieping

Inspiratie, geen menukaart om uit te kiezen-en-klaar: combineer gerust, of bedenk je eigen onderwerp. De onderwerpen hangen onder dezelfde stations als fase 1. Klik een topic voor een bouw- en een onderzoeksinvalshoek plus een mogelijke opdrachtgever.

Toon
S1

Product & basis security

Over
Beveiliging van apparaten met beperkte rekenkracht (ESP32/RP2040): communicatie, updates, opslag.
bouw
Prototype met versleutelde communicatie, secure boot-concept en ondertekende OTA-updates.
onderzoek
Onderzoek naar de grootste IoT-risico's + ontwerprichtlijn voor een productlijn.
Opdrachtgever
Hardware-startup die een slim device lanceert.
Over
Niet de wiskunde, maar correcte toepassing: key management, secrets, certificaten, veelgemaakte fouten.
bouw
Secrets-management opzetten in een applicatie + demonstratie van fout vs. goed.
onderzoek
Beleid en richtlijn voor sleutel- en certificaatbeheer in een organisatie.
Opdrachtgever
Scale-up die snel gegroeid is en geen secrets-beleid heeft.
Over
Hoe je defaults, configuratie en gebruikersflows zo ontwerpt dat veilig de makkelijke weg is.
bouw
Herontwerp van een onveilige flow in een werkend prototype.
onderzoek
Ontwerprichtlijnen + reviewchecklist voor een productteam.
Opdrachtgever
SaaS-bedrijf met klachten over onveilige standaardinstellingen.
S2

Mindset, cultuur & awareness

Over
Een campagne ontwerpen die echt beklijft: doelgroepen, boodschap, kanalen, meten van effect.
bouw
Interactieve trainingsmodule of microlearning bouwen.
onderzoek
Campagneplan met doelgroepanalyse, materiaal en meetopzet.
Opdrachtgever
Organisatie na een datalek dat door menselijk handelen ontstond.
Over
Opzet en ethiek van phishing-simulaties en de opvolgende training.
bouw
Eigen (ethische) simulatie-opzet + landingspagina en meetdashboard.
onderzoek
Draaiboek + ethisch kader + trainingsaanpak voor HR/IT.
Opdrachtgever
Onderwijsinstelling die medewerkers wil weerbaarder maken.
Over
Cultuur in kaart brengen en gericht verbeteren: meetinstrumenten, interventies, weerstand.
bouw
Dashboard/enquêtetool om cultuurindicatoren te volgen.
onderzoek
Nulmeting + interventieplan op basis van een cultuurmodel.
Opdrachtgever
MKB dat 'security' vooral als IT-feestje ziet.
S3

Hacker-mindset & offensive

Over
Gestructureerd kwetsbaarheden vinden in een (eigen of test-)applicatie, binnen duidelijke kaders.
bouw
Pentest op een testomgeving + reproduceerbare exploits en fixes.
onderzoek
Methodisch testrapport met bevindingen, risico's en aanbevelingen.
Opdrachtgever
Webbureau dat zekerheid wil over een nieuwe applicatie.
Over
Open bronnen gebruiken om de blootstelling van een organisatie of product in kaart te brengen.
bouw
Tooling/script dat openbare informatie verzamelt en samenvat.
onderzoek
OSINT-rapport over de digitale voetafdruk + reductie-advies.
Opdrachtgever
Bedrijf dat wil weten wat aanvallers al over hen weten.
Over
Hoe manipulatie werkt en hoe je je ertegen wapent — strikt ethisch en met toestemming.
bouw
Gecontroleerde test-opzet (bijv. vishing-script) met meetbare uitkomst.
onderzoek
Analyse van technieken + weerbaarheidsadvies en gedragsregels.
Opdrachtgever
Receptie/servicedesk-organisatie die vaak gebeld wordt.
S4

Governance, compliance & supply chain

Over
Wat een organisatie moet regelen om aan NIS2 te voldoen én daadwerkelijk veiliger te worden.
bouw
Self-assessment-tool die de NIS2-gereedheid scoort.
onderzoek
Gap-analyse + prioriteiten-roadmap richting compliance.
Opdrachtgever
Zorg- of nutsorganisatie die nieuw onder NIS2 valt.
Over
Gegevensbescherming vanaf het ontwerp: dataminimalisatie, grondslagen, DPIA-denken.
bouw
Prototype dat dataminimalisatie en consent goed implementeert.
onderzoek
DPIA-light + privacy-by-design-richtlijn voor een product.
Opdrachtgever
App-bouwer die persoonsgegevens van minderjarigen verwerkt.
Over
De kern van een managementsysteem: beleid, risico's, beheersmaatregelen, verbetercyclus.
bouw
Eenvoudig register/tool voor risico's en maatregelen.
onderzoek
Beknopt ISMS-startpakket: beleid, risicoanalyse, controleset.
Opdrachtgever
Groeiend bedrijf dat klanten ISO-zekerheid moet bieden.
Over
Afhankelijkheden van software, leveranciers en diensten beheersen; SBOM in de praktijk.
bouw
Pipeline die automatisch een SBOM genereert en kwetsbaarheden meldt.
onderzoek
Leveranciers-risicobeleid + proces voor afhankelijkheidsbeheer.
Opdrachtgever
Bedrijf dat veel open-source en SaaS van derden gebruikt.
Over
Wat de Cyber Resilience Act van digitale producten eist en hoe je dat aantoont.
bouw
Conformiteits-checklist-tool gekoppeld aan productkenmerken.
onderzoek
Conformiteitsanalyse + stappenplan naar CRA-naleving.
Opdrachtgever
Fabrikant van een product met digitale componenten.
S5

Threat modelling, detectie & blue team

Over
Een systeem modelleren op dreigingen en bepalen hoe je aanvallen zou detecteren.
bouw
Threat model uitwerken en bijpassende detectieregels bouwen.
onderzoek
Threat-modelrapport + monitoring-/detectieadvies.
Opdrachtgever
Fintech-startup met een nieuwe betaalkoppeling.
Over
Centrale logging en detectie inrichten met open-source tooling (bijv. Wazuh/ELK).
bouw
Werkende SIEM-opstelling met dashboards en een paar use-cases.
onderzoek
Logging-strategie + use-case-catalogus voor een SOC.
Opdrachtgever
Hostingbedrijf dat aanvallen sneller wil zien.
Over
Aanvallers naar een lokomgeving leiden en hun gedrag analyseren.
bouw
Honeypot opzetten, aanvalsdata verzamelen en visualiseren.
onderzoek
Analyse van waargenomen aanvalspatronen + verdedigingsadvies.
Opdrachtgever
Onderzoekslab dat actuele dreigingen wil monitoren.
Over
Hoe een Security Operations-team werkt: rollen, triage, escalatie, playbooks.
bouw
Tooling/template voor alert-triage en playbook-uitvoering.
onderzoek
SOC-inrichtingsplan met processen, rollen en playbooks.
Opdrachtgever
Organisatie die detectie wil professionaliseren.
S6

Architectuur & requirements

Over
Toegang baseren op continue verificatie i.p.v. een veilige binnenkant.
bouw
Referentie-opstelling met identiteitsgebaseerde toegang.
onderzoek
Zero-trust-migratieplan + principes voor een netwerk.
Opdrachtgever
Bedrijf dat na thuiswerken geen 'veilig kantoornetwerk' meer heeft.
Over
Identiteiten, rollen en rechten ontwerpen en beheren over systemen heen.
bouw
Prototype met rolgebaseerde toegang en SSO/MFA.
onderzoek
IAM-ontwerp + rollen-/rechtenmodel en governance.
Opdrachtgever
Organisatie waar oud-medewerkers nog toegang blijken te hebben.
Over
API's beveiligen: authenticatie, autorisatie, rate limiting, misbruikbestendigheid.
bouw
Beveiligde API bouwen + aantonen hoe een onveilige variant breekt.
onderzoek
API-securityrichtlijn + reviewchecklist voor developers.
Opdrachtgever
Platform dat zijn API openstelt voor partners.
S7

SDLC, DevSecOps & CI/CD

Over
Beveiligingscontroles automatiseren in de weg van code naar productie.
bouw
Pipeline met security-gates die onveilige builds tegenhouden.
onderzoek
Adoptieplan + meetbare gates voor een DevOps-team.
Opdrachtgever
Scale-up die snel én veilig wil blijven releasen.
Over
Statische, dynamische en dependency-scanning inrichten en de ruis temmen.
bouw
Geïntegreerde scanning met getriageerde, bruikbare output.
onderzoek
Tooling-keuze + proces om bevindingen op te volgen.
Opdrachtgever
Team dat verzuipt in security-meldingen.
Over
Misconfiguraties in cloud-/infra-code voorkomen en automatisch toetsen.
bouw
IaC met policy-as-code die onveilige configuraties blokkeert.
onderzoek
Hardening-baseline + reviewproces voor infra-code.
Opdrachtgever
Bedrijf dat zijn cloud volledig via code uitrolt.
S8

Testing, pentest & incident response

Over
Een applicatie of omgeving gestructureerd testen en professioneel rapporteren.
bouw
Pentest uitvoeren op een testdoel + reproduceerbare bevindingen.
onderzoek
Volwaardig pentestrapport met risico's, bewijs en advies.
Opdrachtgever
Bedrijf dat voor het eerst een security-test laat doen.
Over
Een responsplan opstellen en testen via een tafeloefening.
bouw
Tooling/checklist die het team door een incident loodst.
onderzoek
IR-plan + uitgewerkte tabletop met evaluatie.
Opdrachtgever
MKB zonder enig draaiboek voor een ransomware-aanval.
Over
Sporen veiligstellen en analyseren na een (gesimuleerd) incident.
bouw
Onderzoek op een prepareerd image + onderbouwde tijdlijn.
onderzoek
Forensisch rapport + bewijsketen-procedure.
Opdrachtgever
Organisatie die wil weten hoe een aanvaller binnenkwam.
Over
Hoe je meldingen van kwetsbaarheden door derden goed afhandelt.
bouw
Werkende meldpagina + intern afhandel-workflowprototype.
onderzoek
Disclosure-beleid + interne procedure en SLA's.
Opdrachtgever
Bedrijf dat steeds vaker 'we vonden een lek'-mails krijgt.
SO

Actuele & overige thema's

Over
Risico's van AI-systemen (prompt injection, datalekken, modelmisbruik) en AI als verdediging.
bouw
Prototype dat een AI-toepassing aantoonbaar misbruikt én mitigeert.
onderzoek
Risicoanalyse + richtlijn voor veilig gebruik van AI-tools.
Opdrachtgever
Bedrijf dat haastig een AI-chatbot op klantdata zet.
Over
Cloudomgevingen veilig configureren en continu toetsen.
bouw
Posture-scan + hardening van een testomgeving.
onderzoek
Cloud-baseline + controleplan voor een team.
Opdrachtgever
Bedrijf met een snel gegroeide, rommelige cloud.
Over
Beveiliging van industriële systemen, waar veiligheid en beschikbaarheid voorop staan.
bouw
Testopstelling/simulatie van een industrieel protocol.
onderzoek
Risicoanalyse + segmentatie-advies voor een productieomgeving.
Opdrachtgever
Maakbedrijf met oude, gekoppelde machines.
Over
Wat de komst van quantumcomputers betekent voor huidige cryptografie.
bouw
Vergelijkende test van post-quantum-algoritmes in een demo.
onderzoek
Migratie-impactanalyse + advies voor de komende jaren.
Opdrachtgever
Organisatie met data die over 10 jaar nog vertrouwelijk moet zijn.
Over
Synthetische media als dreiging en hoe organisaties zich wapenen.
bouw
Detectie-demo of bewustwordingstool rond nepmedia.
onderzoek
Weerbaarheidsanalyse + protocol tegen CEO-fraude/deepfakes.
Opdrachtgever
Organisatie met publieke woordvoerders en betalingsbevoegden.

03 Twee voorbeeldroutes

Twee uitgewerkte aanpakken om richting te geven — één bouwgericht, één onderzoeksgericht.

Zelfde ruggengraat — beide routes volgen dezelfde stappen: topic → opdrachtgever → onderzoeksvraag → praktisch onderzoek → deliverable → portfolio → presentatie. Gebruik die volgorde als sjabloon voor je eigen route.
Voorbeeldroute A · bouwen

Veilige slimme deurbel

Topic(s)
Veilige IoT-/embedded devices + Cryptografie in de praktijk (S1)
Fictieve opdrachtgever
Hardware-startup 'BelVeilig' die een slimme videodeurbel wil lanceren.
Onderzoeksvraag
Hoe ontwerp je de firmware en communicatie van de deurbel secure-by-design, binnen de grenzen van goedkope hardware?
Praktisch onderzoek
Threat model op het device en de datastromen; vergelijking van crypto-bibliotheken op een ESP32; meten van de performance-impact van versleuteling.
Deliverable
Werkend prototype: versleutelde communicatie, ondertekende OTA-updates en een secure-boot-concept, met technische verantwoording.
Portfolio
Threat model, ontwerpbesluiten met trade-offs, testresultaten, broncode en reflectie.
Eindpresentatie
Live demo voor de 'opdrachtgever' met uitleg van de belangrijkste afwegingen en restrisico's.
Voorbeeldroute B · onderzoeken

NIS2-gereed maken van een zorgorganisatie

Topic(s)
NIS2-readiness assessment + Security-awarenesscampagne (S4 + S2)
Fictieve opdrachtgever
Middelgrote thuiszorgorganisatie 'ThuisZorg Brabant' die nieuw onder NIS2 valt.
Onderzoeksvraag
Wat moet de organisatie regelen om aan NIS2 te voldoen én echt veiliger te worden, en hoe krijg je de medewerkers mee?
Praktisch onderzoek
Gap-analyse tegen de NIS2-verplichtingen; risicobeoordeling van kernprocessen; (fictieve) persona's en interviews; benchmark van awareness-aanpakken.
Deliverable
Adviesrapport met een prioriteiten-roadmap, plus een uitgewerkt awareness-campagneconcept met voorbeeldmateriaal.
Portfolio
Gap-analyse, risicomatrix, roadmap, campagneplan, onderbouwing met bronnen en reflectie.
Eindpresentatie
Bestuurlijk advies aan de 'directie' met heldere keuzes en een kosten/baten-afweging.

04 Van keuze naar toets

Zo loopt het traject, en dit zit er in je portfolio en eindpresentatie.

Kies & verken

Pak één of meer onderwerpen die je echt trekken.

Scope & opdrachtgever

Kies een fictieve opdrachtgever en baken het probleem af.

Onderzoeksvraag

Formuleer een scherpe, praktische vraag die je kunt beantwoorden.

Praktisch onderzoek

Bouw een prototype óf doe gericht onderzoek — lever bewijs.

Portfolio

Leg context, keuzes, proces en resultaten vast.

Eindpresentatie

Verdedig je werk en advies voor de opdrachtgever.

In je portfolio

  • Probleem & context — wie is de opdrachtgever en waarom dit onderwerp
  • Onderzoeksvraag & scope — wat onderzoek je precies, en wat niet
  • Aanpak & methode — hoe ben je te werk gegaan
  • Het werk — het prototype of rapport zelf
  • Onderbouwing & bronnen — keuzes verantwoord met betrouwbare bronnen
  • Testen & validatie — hoe weet je dat het werkt / klopt
  • Reflectie & vervolg — wat leerde je, wat zou je anders doen

Waarop wordt beoordeeld

  • Diepgang — hoe ver ben je het onderwerp in gegaan
  • Praktisch onderzoek — kwaliteit en relevantie van wat je deed of bouwde
  • Secure-by-design-denken — pas je de basis uit fase 1 zichtbaar toe
  • Onderbouwing — zijn keuzes beargumenteerd en bronvast
  • Professionele communicatie — landt je verhaal bij de opdrachtgever
  • Reflectie — kijk je kritisch op je eigen werk en proces
Praatplaat fase 2 — Professioneel Profiel · vervolg op de Secure-by-Design basis.Klik een topic voor invalshoeken · filter op bouwen / onderzoeken.