Secure by Design · Fase 3 · praatplaat

Het Cybersecurity-project

In fase 3 los je met een team van vier à vijf een echt cybersecurity-vraagstuk op voor een bedrijf. De vragen verschillen enorm — een pentest, een NIS2-advies, een detectie-oplossing, een awareness-traject — maar de route eronder is universeel. Deze plaat is die route: een aanpak die past op elk type cybervraag, met daarin gemarkeerd waar jullie zélf de aanpak bepalen.

fase 3team van 4–5echt bedrijf als opdrachtgeverelk type cybervraaguniversele routeplan van aanpakkeuzes onderbouwd

01 Waarom een cyber-project anders loopt

Een cybervraagstuk is geen gewoon softwareproject. Deze verschillen bepalen je aanpak — onderschat ze niet.

A1Mandaat vóór actie

Je hebt expliciete toestemming, scope en rules of engagement nodig vóórdat je iets aanraakt. Zonder mandaat is testen simpelweg strafbaar — dit is geen formaliteit.

A2Risicogestuurd, niet feature-gestuurd

Je werkt vanuit dreiging, risico en compliance, niet vanuit user stories. Het kompas is kans × impact, niet een functielijst.

A3Vertrouwelijkheid is kritisch

Je raakt gevoelige systemen en data. Geheimhouding, veilige opslag en netjes opruimen horen vanaf dag één bij het werk.

A4Bewijs moet kloppen

Bevindingen zijn reproduceerbaar en onderbouwd. Je legt vast wat je deed, zodat een ander het kan nalopen — auditbaar, niet ‘trust me’.

A5Niet zomaar in productie

Je test in een veilige omgeving of strikt gecontroleerd en in overleg. Je mag niets beschadigen of platleggen.

A6Succes = risico verlaagd

Het is niet ‘werkt de functie’, maar ‘is de organisatie aantoonbaar veiliger’ of ‘is de vraag met bewijs beantwoord’.

A7Overdracht telt mee

De organisatie moet ná jullie verder kunnen. Advies, playbook of kennisoverdracht hoort bij het resultaat — niet ‘klaar, succes ermee’.

02 De roadmap — universele projectaanpak

De inhoud verschilt per vraag, de route niet · klik een fase open · ◆ = hier maak je keuzes

Fase 0 · ◆ keuzepunt

Opdracht & mandaat

Begrijp de vraag en leg de spelregels vast vóór je begint.

▸

Activiteiten

Intakegesprek: opdracht, verwachtingen en context scherp krijgen
Bepaal welk type vraagstuk dit is
Afspraken over scope, mandaat/toestemming, geheimhouding (NDA) en databeheer
Rules of engagement, contactpersoon en escalatielijn vastleggen

Anders dan software bouwenZonder expliciete toestemming en afgebakende scope mag je niets. Dit is een juridische én ethische voorwaarde om te starten.

◆ Keuzes hierWelk type opdracht is het — assessment, advies, bouw, test, detectie of awareness? Die keuze stuurt de hele rest.

Opbrengst: Getekende afspraken, een heldere opdracht en duidelijke contactlijnen.

Wie trekt: Projectlead trekt; hele team leest mee en begrijpt de grenzen.

Fase 1 · ◆ keuzepunt

Verkennen & afbakenen

Begrijp de context en maak de vraag scherp.

▸

Activiteiten

Assets, stakeholders en de huidige situatie in kaart brengen
Relevante dreigingen en compliance-eisen verkennen
De centrale vraag herformuleren tot iets onderzoekbaars
Succescriteria en een eerste risico-inschatting bepalen

Anders dan software bouwenJe brengt assets, dreigingen en risicobereidheid in kaart in plaats van functionele eisen — de vraag áchter de vraag.

◆ Keuzes hierSmal & diep of breed & globaal? En welk raamwerk wordt je kapstok: NIST, ISO, OWASP, CIS of iets sector-specifieks?

Opbrengst: Een scherpe probleemdefinitie, scope en meetbare succescriteria.

Wie trekt: Lead inhoud + opdrachtgevercontact.

Fase 2 · ◆ keuzepunt

Plan van aanpak & onderzoeksopzet

Leg vast hóe je het aanpakt en hoe je tot bewijs komt.

▸

Activiteiten

Aanpak en methode kiezen en onderbouwen
Planning, mijlpalen en rolverdeling
Deliverables, risico’s en aannames benoemen
Ethiek, databeheer en rules of engagement uitwerken; bij testen ook responsible disclosure

Anders dan software bouwenHet plan bevat expliciet veiligheid (niets breken), databeheer en een terugvalplan — onderdelen die een softwareplan vaak mist.

◆ Keuzes hierMethode (black/grey/white box, kwalitatief vs kwantitatief risico, gefaseerd vs iteratief), omgeving (lab vs gecontroleerde productie), en tooling (zelf bouwen vs bestaand).

Opbrengst: Een goedgekeurd plan van aanpak dat de opdrachtgever heeft gezien.

Wie trekt: Hele team; projectlead bewaakt haalbaarheid en planning.

Fase 3 · ◆ keuzepunt

Uitvoeren & onderzoeken

Doe het werk: verzamel bewijs, test, bouw, analyseer.

▸

Activiteiten

In korte slagen itereren met regelmatige check-ins
Vastleggen wat je doet en wat je vindt
Afstemmen met de opdrachtgever bij alles wat live systemen raakt
Tussentijds toetsen of je nog antwoord geeft op de vraag

Anders dan software bouwenWerk reproduceerbaar en gelogd. Raak je gevoelige systemen, dan uitsluitend in overleg en gecontroleerd — improviseren kan schade en aansprakelijkheid geven.

◆ Keuzes hierDiepte per bevinding, sturen op tijd (time-boxed) of op dekking, en hoeveel je automatiseert.

Opbrengst: Onderbouwde bevindingen of een werkend (deel)product, met bewijs.

Wie trekt: Specialisten voorop; documentatie/kwaliteit legt bewijs vast.

Fase 4 · ◆ keuzepunt

Analyseren, prioriteren & adviseren

Van losse bevindingen naar bruikbaar, geprioriteerd advies.

▸

Activiteiten

Risico’s wegen op kans × impact
Bevindingen prioriteren en clusteren
Haalbaarheid en trade-offs voor déze organisatie meewegen
Aanbevelingen en een roadmap voor de klant opstellen

Anders dan software bouwenJe levert geen kale lijst bevindingen, maar geprioriteerd en uitvoerbaar advies dat past bij de risicobereidheid en middelen van de organisatie.

◆ Keuzes hierPrioriteringsmethode (risicomatrix, CVSS, business impact) en hoe ver je adviseert: quick wins of een strategische lijn.

Opbrengst: Geprioriteerde aanbevelingen met onderbouwing.

Wie trekt: Lead inhoud + projectlead.

Fase 5 · ◆ keuzepunt

Opleveren & overdragen

Lever op zodat de organisatie er zelf mee verder kan.

▸

Activiteiten

Eindproduct opleveren: rapport, prototype, beleid, playbook of training
Presentatie aan de opdrachtgever
Kennisoverdracht en — waar nodig — responsible disclosure
Gevoelige data netjes teruggeven of verwijderen, toegang intrekken

Anders dan software bouwenOverdracht en het veilig afhandelen van data en toegang hóren bij de oplevering. In cyber stopt het project niet bij ‘opgeleverd’.

◆ Keuzes hierOplevervorm en de mate van overdracht: alleen adviseren, of mede inrichten/implementeren.

Opbrengst: Een opgeleverd én overgedragen resultaat met akkoord van de opdrachtgever.

Wie trekt: Communicatie/presentatie voorop; hele team presenteert.

Fase 6

Reflectie & afsluiting

Leer van het project en sluit netjes af.

▸

Activiteiten

Proces, samenwerking en resultaat evalueren
Individuele reflectie
Formele afsluiting met de opdrachtgever
Controleren dat alle toegang en datakopieën zijn opgeruimd

Anders dan software bouwen‘Afsluiten’ betekent in cyber ook aantoonbaar alle toegang intrekken en kopieën van klantdata verwijderen.

Opbrengst: Een evaluatie en een nette, verantwoorde afsluiting.

Wie trekt: Hele team.

03 Doorlopende sporen

Dit zijn in een cyber-project geen losse fasen maar lijnen die de héle rit meelopen. Verwaarloos je er één, dan loopt het project vast — of erger.

loopt door alle fasen heen

Ethiek & recht

Blijf binnen de wet en je mandaat: toestemming, AVG, geen schade. Twijfel je? Eerst afstemmen, niet doen.

Vertrouwelijkheid & databeheer

Veilige opslag, geheimhouding, en aan het eind opruimen. Behandel klantdata alsof het je eigen geheimen zijn.

Stakeholders & communicatie

Verwachtingen managen en regelmatig afstemmen. Geen verrassingen voor de opdrachtgever — een cyberproject is ook politiek.

Risicogestuurd werken

Koppel alles terug naar kans × impact en de oorspronkelijke vraag. Dat houdt je weg bij leuke-maar-irrelevante zijpaden.

Bewijs & reproduceerbaarheid

Leg vast, onderbouw, maak navolgbaar. Een bevinding zonder bewijs is een mening.

Teamproces & rolverdeling

Taken, planning, kwaliteit en rollen die mogen rouleren. Een goed proces draagt het inhoudelijke werk.

04 Keuzepunten — waar je je eigen aanpak bepaalt

De route ligt vast, maar op deze punten kiest het team bewust. Onderbouw elke keuze in je plan van aanpak — dáár zit het professionele oordeel.

F1Type opdracht

assessmentadviesbouw / prototypetest / pentestdetectie & responsawareness

F2Framing

risicogestuurdcompliancegestuurdcombinatie

F3Raamwerk als kapstok

NIST CSFISO 27001OWASPCIS Controlssector-specifiek

F4Scope

smal & diepbreed & globaal

F5Onderzoeks- / testvorm

black boxgrey boxwhite boxkwalitatief risicokwantitatief risico

F6Omgeving

lab / testomgevinggecontroleerde productie

F7Maken

zelf bouwenbestaande tooling

F8Proces

gefaseerd (waterval-achtig)iteratief / agile

F9Oplevervorm

rapportprototypebeleid / playbooktrainingcombinatie

F10Overdracht

alleen adviesmede inrichten / implementeren

05 Team & plan van aanpak

Rollen in een team van 4–5

Bij vier personen combineer je rollen. Laat ze gerust rouleren per fase.

Projectlead / opdrachtgevercontact

Planning, stakeholders en scopebewaking. Het ene gezicht naar de opdrachtgever.

Lead inhoud (onderzoeker / architect)

Bewaakt de inhoudelijke diepte en richting van het werk.

Specialist(en)

Techniek of governance, afhankelijk van het vraagstuk — de uitvoerende kracht.

Documentatie & kwaliteit

Bewaakt bewijs, onderbouwing en navolgbaarheid. De ‘evidence-keeper’.

Communicatie & presentatie

Verslag, eindpresentatie en de rode draad in het verhaal.

In je plan van aanpak

De ruggengraat van fase 2 blijft staan, met cyber-specifieke toevoegingen (mandaat, recht, databeheer).

Aanleiding & context (opdrachtgever en vraag)
Doel- en probleemstelling + onderzoeksvraag
Scope & afbakening — inclusief wat níét
Mandaat, toestemming & rules of engagement
Ethiek, recht (AVG) & databeheer
Aanpak & methode, met onderbouwde keuzes
Planning & mijlpalen
Rolverdeling in het team
Deliverables & succescriteria
Risico’s, aannames & terugvalplan
Communicatie- & overlegafspraken