Gezien het dynamisch veranderende dreigingslandschap bevinden organisaties zich in een ongekende cybersecuriteitsomgeving die een bedreiging vormt voor de bedrijfscontinuïteit, reputatie en financiële positie. Risicobeheerstrategieën bieden het cruciale kader waarbinnen dergelijke dreigingen systematisch en consistent worden geïdentificeerd, beoordeeld en in aanmerking genomen op een manier die past bij de bedrijfsdoelstellingen en risicobereidheid.
In tegenstelling tot de tactische reacties en operationele controles die doorgaans gericht zijn op onmiddellijke beveiligingsbehoeften, bepalen strategieën voor bedrijfsrisicobeheer hoe een organisatie risico's als geheel kan beheren. Deze strategieën stellen beveiligingsleiders in staat om verdedigbare beslissingen te nemen, middelen effectief toe te wijzen en de nodige zorgvuldigheid te betrachten ten opzichte van belanghebbenden, terwijl rekening wordt gehouden met het delicate evenwicht tussen beveiligingsvereisten en zakelijke flexibiliteit.
Wat zijn risicobeheerstrategieën?
Risicobeheerstrategieën zijn gestructureerde methodologieën die organisaties gebruiken om potentiële risico's voor hun activa, operationele processen en doelstellingen te identificeren, te beoordelen en aan te pakken. Deze strategieën vormen de basis voor alle risicogerelateerde activiteiten die in de organisatie worden uitgevoerd, aangezien ze specificeren hoe de organisatie een evenwicht wil bewaren tussen beveiligingskwesties en zakelijke behoeften, rekening houdend met de specifieke risicocontext en tolerantieniveaus die uniek zijn voor de organisatie.
In tegenstelling tot tactische beveiliging of operationele controles zijn risicobeheerstrategieën niet specifiek of eng gericht op de details van een specifieke implementatie. Ze bevinden zich op een hoger niveau en bieden de context waarin die strategische beslissingen worden genomen om te bepalen wat organisaties doen met betrekking tot controles en implementatie, en wat die controles zijn. Tactieken behandelen de vraag "hoe" men dringende beveiligingsproblemen aanpakt. Strategieën daarentegen behandelen de meer fundamentele vragen "welke" risico's het belangrijkst zijn en "waarom" bepaalde benaderingen binnen de onderneming prioriteit moeten krijgen.
Risicobeheerstrategieën combineren de zakelijke context, technische nuances en regelgevende voorwaarden tot een uniform beeld dat organisaties in staat stelt om consistente, op risico's gebaseerde beslissingen te nemen in onzekere situaties, en om een samenhangende en verdedigbare beveiligingshouding op te bouwen die vooral begrijpelijk is voor en gesteund wordt door belanghebbenden.
Belangrijkste componenten van effectieve risicobeheerstrategieën
Risicobeheerstrategieën dienen als uitgangspunt voor de manier waarop organisaties cyberbeveiligingsrisico's in vrijwel alle contexten beheren. In dit gedeelte bespreken we drie basiselementen die deze strategieën zo effectief maken.
Methodologieën voor risico-identificatie
Risico-identificatie is de belangrijkste eerste stap in elke risicobeheersingsaanpak. Organisaties hebben een systematische methode nodig om potentiële bedreigingen in hun ecosysteem te identificeren en te beoordelen. Dit betekent meestal dat er verschillende complementaire technieken worden gebruikt, zoals op activa gebaseerde beoordelingen, bedreigingsmodellering, kwetsbaarheidsscans en scenarioanalyses, om een risicoregister op te stellen dat zowel bekende bedreigingen als opkomende risico's omvat.
Kaders voor risicobeoordeling en prioritering
Zodra risico's zijn geïdentificeerd, hebben organisaties gestructureerde kaders nodig om de potentiële impact en waarschijnlijkheid van het optreden ervan te beoordelen. Goede beoordelingsmethoden genereren risicoscores die een combinatie van kwantitatieve maatregelen (zoals de potentiële financiële impact van een bepaald risico) en kwalitatieve factoren (zoals reputatieschade of regelgevende gevolgen) weerspiegelen. Met deze kaders kunnen beveiligingsteams risico's beoordelen en prioriteren op basis van hun relevantie voor het bedrijf, in plaats van uitsluitend op basis van hun technische ernst, zodat de middelen eerst worden ingezet om de grootste bedrijfsrisico's te beperken.
Selectie van risicobeheersingsmaatregelen
Het selectieproces voor risicobeheersingsmaatregelen vormt de basis voor het kiezen van de optimale reactie op elk geïdentificeerd risico. Als leidend kader voor besluitvorming is het dus eigenlijk een set hulpmiddelen die beveiligingsprofessionals helpt om op basis van risico's te beoordelen hoe potentiële verliezen kunnen worden hersteld of optimaal beperkt in de context van kosten-baten, beschikbaarheid van de juiste middelen, hersteltijdschema's en de gepubliceerde risicobereidheid van de organisatie.
Soorten risicobeheerstrategieën
Organisaties in alle sectoren kunnen een risicobeheerstrategie toepassen om de bedreigingen waarmee ze te maken kunnen krijgen systematisch aan te pakken. Hieronder volgen de kernstrategieën die als leidraad dienen voor effectieve risicobeheerprogramma's.
Risicovermijding
Risicovermijding wordt vaak toegepast wanneer de negatieve gevolgen van een risico veel groter zijn dan de positieve impact van de activiteit waarmee het risico verband houdt. Dit kan bijvoorbeeld betekenen dat men zich onthoudt van het betreden van bepaalde risicovolle markten, dat men oude systemen met een hoog of gemiddeld risico die niet goed beveiligd kunnen worden, buiten gebruik stelt, of dat men bepaalde technologieën die niet aan de beveiligingseisen voldoen, verbiedt.
Risicobeperking (mitigatie)
Na de risicoanalyse en het afwegen van het risico, op welke manier het bedrijf dit ook beoordeelt, volgt risicobeperking, ook wel mitigatie genoemd, waarbij wordt getracht de waarschijnlijkheid of de impact van de geïdentificeerde risico's te beheersen. Dit is de meest gebruikte strategie in cyberbeveiligingsprogramma's en omvat technische (versleuteling, multi-factor authenticatie), administratieve (beleid, training) en fysieke (toegangscontroles, bewaking) maatregelen.
Risicodeling (overdracht)
Risicodeling of -overdracht is de meest voorkomende vorm van risicobeheer, waarbij sommige of alle mogelijke gevolgen van een risico worden overgedragen aan een andere partij, meestal via contracten. Een strategie die in de praktijk vaak wordt gebruikt, is het risico tot op zekere hoogte overdragen, bijvoorbeeld via cyberbeveiligingsverzekeringen die financiële verliezen als gevolg van inbreuken dekken, leveranciersovereenkomsten met aansprakelijkheidsclausules of het uitbesteden van bepaalde risicovolle functies aan gespecialiseerde dienstverleners met aanvullende expertise.
Kernstrategieën voor risicobeheer
Door kennis te hebben van de verschillende strategieën voor risicobeheer kunnen organisaties een bredere aanpak van cyberbeveiliging implementeren. In dit gedeelte bekijken we meer strategieën ter aanvulling op onze kernbenaderingen.
Risicobehoud (acceptatie)
Wanneer risicobehoud of -acceptatie een weloverwogen beslissing inhoudt om de uitkomst van geïdentificeerde risico's te accepteren door geen verdere actie te ondernemen, wordt de strategie als geldig beschouwd wanneer de kosten van andere risicobeheersingsmaatregelen groter zouden zijn dan de potentiële impact van het beheerde risico, of wanneer wordt vastgesteld dat het risico binnen de risicobereidheid van de organisatie valt. Om risico's effectief te behouden, moet de acceptatiebeslissing, inclusief de motivering, de potentiële impact en alle toepasselijke personen/rollen die risico's mogen accepteren bij verschillende drempels, formeel worden gedocumenteerd.
Benutting van risico's (voor positieve risico's)
Risico's kunnen worden benut om positieve risico's (of kansen) te maximaliseren. Cybersecurity draait vaak om het voorkomen van negatieve risico's, maar deze strategie erkent dat sommige risico's een opwaarts potentieel kunnen hebben als ze correct worden gebruikt. Vroegtijdige toepassing van opkomende beveiligingstechnologieën kan implementatierisico's met zich meebrengen, maar kan ook concurrentievoordelen opleveren, zoals versterkte beschermingsmogelijkheden.
Hybride benaderingen
Veel organisaties hanteren hybride benaderingen voor risicobeheer, waarbij verschillende benaderingen voor individuele risico's worden gecombineerd. Een organisatie kan bijvoorbeeld basismaatregelen nemen om een risico gedeeltelijk te beperken, een deel van het resterende risico overdragen met een cyberbeveiligingsverzekering en het resterende risico formeel accepteren. Hoe complexer het risico, hoe meer flexibiliteit en kosteneffectiviteit van risicobeheer kan worden bereikt door middel van samengestelde strategieën, waarbij voor elk onderdeel van het risico de beste economische behandeling wordt toegepast.
Adaptief risicobeheer
De best practice van adaptief risicobeheer houdt rekening met flexibiliteit en reactievermogen op veranderingen. In plaats van risicostrategieën te beschouwen als vaste acties, creëert dit perspectief systemen voor het continu beoordelen van de efficiëntie van risicobehandelingen en het dienovereenkomstig aanpassen van methoden. Deze kernaspecten bestaan uit het definiëren van risico-indicatoren, het definiëren van drempels voor het overgaan naar het volgende escalatieniveau en het definiëren van feedbackloops die een snelle aanpassing van de strategie mogelijk maken wanneer de risicocondities veranderen.
Risicocommunicatie en -integratie
Risicocommunicatie gaat over het delen van risico-informatie binnen de organisatie, zodat het management weloverwogen beslissingen kan nemen. Deze benadering erkent dat zelfs de beste risicostrategieën niet zullen werken tenzij de belangrijkste belanghebbenden ze begrijpen en ondersteunen. Elementen hiervan zijn onder meer het aanpassen van risicoboodschappen op basis van het publiek (bijvoorbeeld leidinggevenden versus technische teams versus eindgebruikers), het definiëren van de juiste escalatiepaden en het integreren van risico-overwegingen in bedrijfsprocessen zoals productontwikkeling, inkoop en strategische planning.
Voordelen van het implementeren van effectieve risicobeheerstrategieën
Een holistisch risicobeheerplan voegt enorme waarde toe aan een organisatie. Dit zijn de voordelen die organisaties kunnen verwachten van hun investering in risicobeheerstrategieën.
Betere toewijzing van beveiligingsmiddelen
Goede risicobeheerstrategieën helpen organisaties om schaarse beveiligingsmiddelen in te zetten tegen de belangrijkste bedreigingen voor hun bedrijfsdoelstellingen. Door zich te concentreren op de potentiële zakelijke impact van elk risico in plaats van op de technische ernst van elke kwetsbaarheid, kunnen beveiligingsteams het beste rendement op hun beveiligingsinvesteringen behalen en ervoor zorgen dat ze geen tijd verspillen aan kwetsbaarheden met een lage impact.
Verminderde kans op en impact van beveiligingsincidenten
Het is algemeen bekend dat organisaties met volwassen risicobeheerstrategieën minder en minder ernstige beveiligingsincidenten hebben. Het is vermeldenswaard dat deze organisaties ernaar streven bedreigingen af te schermen voordat ze kunnen worden misbruikt, wat zorgt voor een veel robuustere beveiligingshouding. Wanneer zich toch incidenten voordoen, kunnen goed voorbereide organisaties hier efficiënter op reageren via de incidentresponsplannen die zij hebben ontwikkeld en die aansluiten bij hun risicobeoordelingskaders.
Verbeterd vermogen om stakeholders aan te tonen dat er sprake is van due diligence
Een goed gedocumenteerde, consistente en methodische aanpak van risicobeheer dient als tastbaar bewijs van zorgvuldigheid en due diligence voor stakeholders zoals auditors, toezichthouders, klanten en zakenpartners. Het feit dat er beveiligingsincidenten plaatsvinden, betekent niet dat organisaties niet kunnen aantonen dat ze redelijke maatregelen hebben genomen om risico's te identificeren en aan te pakken. Naarmate de regelgevingsnormen strenger worden en klanten leveranciers kritisch beoordelen op beveiligingsaspecten, wordt dit bewijs van correct risicobeheer nog belangrijker.
Verbeter het rendement op beveiligingsinvesteringen en stem deze af op de bedrijfswaarde
Effectieve strategieën rechtvaardigen niet alleen de budgetten voor beveiligingsprogramma's, maar koppelen beveiligingsinvesteringen ook rechtstreeks aan een tastbare vermindering van bedrijfsrisico's, waardoor de werkelijke waarde van beveiligingsprogramma's voor de organisatie wordt aangetoond. Door beveiliging af te stemmen op deze bedrijfscontext, kan beveiliging worden getransformeerd van een kostenpost naar een waardeverhogende factor die gebruikmaakt van strategische bedrijfsinitiatieven, of het nu gaat om het beschermen van intellectueel eigendom, het behouden van het vertrouwen van klanten of het waarborgen van de operationele integriteit. Door risicobeperking te vertalen naar zakelijke taal kunnen beveiligingsleiders een sterkere case maken voor noodzakelijke investeringen, terwijl ze tegelijkertijd een positief rendement laten zien op het geld dat al aan beveiliging is uitgegeven.
Veelvoorkomende uitdagingen bij risicobeheerstrategieën
Hoewel er duidelijke voordelen zijn, zijn effectieve risicobeheerstrategieën vrij moeilijk te implementeren en moeten organisaties verschillende complexiteiten doorlopen om ze te realiseren. Hieronder volgen de belangrijkste uitdagingen waarmee beveiligingsteams in dit traject worden geconfronteerd.
Evenwicht tussen beveiliging en zakelijke flexibiliteit
Het vinden van het juiste evenwicht tussen beveiligingsmaatregelen en zakelijke flexibiliteit is een van de moeilijkste uitdagingen in risicobeheer. Overmatige beveiliging kan innovatie vertragen en bedrijfsprocessen belemmeren, terwijl ontoereikende controles essentiële bedrijfsmiddelen aan risico's blootstellen. Het is van cruciaal belang dat beveiligings- en bedrijfsleiders voortdurend met elkaar in gesprek blijven, zodat het juiste evenwicht kan worden gevonden dat de bedrijfskritische bedrijfsmiddelen beschermt tegen het nemen van risico's, wat leidt tot bedrijfsgroei en concurrentiedifferentiatie.
Zorg voor voldoende middelen en budget
Een van de uitdagingen waar de meeste organisaties mee te maken hebben, is het verkrijgen van voldoende middelen om een risicobeheerprogramma op te zetten. Beveiligingsleiders wordt vaak gevraagd om de investering in risicobeheercapaciteiten te rechtvaardigen, die geen onmiddellijk meetbaar rendement opleveren. Bovendien toont het de waarde aan van het beperken van onze risico's, aangezien het moeilijk is om de waarde van het voorkomen van schade bij een incident te meten. De meest succesvolle programma's omzeilen deze barrière door het technische risico te herformuleren in zakelijke gevolgen die leidinggevenden zowel de bevoegdheid als het vermogen hebben om aan te pakken.
SOP en beoordeling van drijvende factoren
Het is erg moeilijk om te beoordelen of risicobeheerstrategieën echt effectief zijn. In tegenstelling tot operationele veiligheidsstatistieken, die specifieke activiteiten vastleggen en volgen, wordt strategische effectiviteit vaak uitgedrukt in wat er niet is gebeurd, inbreuken die niet hebben plaatsgevonden of verliezen die zijn voorkomen. Het is voor organisaties vaak moeilijk om zinvolle prestatie-indicatoren vast te stellen die niet alleen de implementatie van controles weerspiegelen, maar ook de vermindering van risico's. Dit meetprobleem maakt het moeilijk om strategieën in de loop van de tijd te verfijnen of belanghebbenden te overtuigen van hun blijvende waarde.
Evenwicht vinden tussen concurrerende prioriteiten binnen de organisatie
Risicobeheer heeft te maken met potentieel uiteenlopende en soms tegengestelde prioriteiten binnen verschillende bedrijfsonderdelen, regio's en functionele gebieden. Het aanvaardbare risico voor een deel van de organisatie kan onaanvaardbaar zijn voor een ander deel, waardoor het moeilijk is om een consistente risicodrempel vast te stellen. Beveiligingsleiders moeten een evenwicht vinden tussen deze concurrerende belangen en tegelijkertijd zorgen voor een uniform, organisatiebreed perspectief op risico's, waarbij rekening wordt gehouden met verschillende bedrijfscontexten en regelgevingsbehoeften.
Best practices voor risicobeheerstrategieën
Het is niet voldoende om de concepten te kennen; effectief risicobeheer is alleen haalbaar door middel van beproefde methodologieën uit de sector. Hier volgen enkele best practices die organisaties moeten volgen om het maximale uit hun risicobeheerstrategieën te halen.
Stem de strategie af op de bedrijfsdoelstellingen
Goede risicobeheerpraktijken koppelen beveiligingsactiviteiten rechtstreeks aan bedrijfsstrategieën op ondernemingsniveau en formeel geformuleerde risicotolerantie. Deze aanpak zorgt ervoor dat beveiligingsteams datgene beschermen wat zakelijke impact heeft, in plaats van theoretische beveiligingsparadigma's na te jagen die geen relevante waarde opleveren. Dat betekent dat u moet beginnen met de kritieke bedrijfsprocessen, belangrijke inkomstenbronnen en strategische initiatieven, en vervolgens moet bepalen hoe u risico's beoordeelt en controles selecteert om die kritieke elementen te beschermen.
Zorg voor een meerlaagse beveiligingsstrategie
Goed risicobeheer maakt gebruik van diepgaande verdedigingsprincipes en past diverse, complementaire controles toe die verschillende dimensies van elk materieel risico aanpakken. Dergelijke gelaagde mechanismen verbeteren de algehele bescherming, aangezien geen enkele controle universeel onfeilbaar is en redundantie de algehele strategie voor het beperken van bedreigingen versterkt. Kritieke risicoscenario's moeten zodanig aan controles worden gekoppeld dat er geen enkele storingsbron is en dat er voldoende risicobeheersingsmaatregelen zijn, zodat een aanvaller verschillende mechanismen moet omzeilen.
Scenario-gebaseerde risicomodellering
Toonaangevende organisaties begrijpen dat het uitvoeren van generieke risicobeoordelingen niet voldoende is; om weloverwogen beslissingen te kunnen nemen, moeten ze gedetailleerde scenariomodellen ontwikkelen die daadwerkelijke bedreigingen en de mogelijke gevolgen voor het bedrijf analyseren. Deze aanpak onderzoekt hoe bedreigingen zich kunnen voordoen, welke zwakke punten ze kunnen uitbuiten, welke controles ze kunnen tegenkomen en wat de gevolgen voor het bedrijf zouden zijn aan de hand van gestructureerde analyses.
Formele risicoacceptatieprocessen
Organisaties hebben gestructureerde processen nodig om risico's te beheren die ze hebben besloten te accepteren in plaats van te beperken. Goede kaders voor risicoacceptatie definiëren ook wat moet worden gedocumenteerd en goedgekeurd, met drempels die zijn gebaseerd op de potentiële impact, en schrijven periodieke evaluaties van alle geaccepteerde risico's voor. Deze processen zorgen ervoor dat het accepteren van risico's een weloverwogen en vastgelegde beslissing is, in plaats van een impliciete standaard door niets te doen.
Voer regelmatig strategie-evaluaties uit
Naarmate het dreigingslandschap, de zakelijke prioriteiten en de wettelijke vereisten veranderen, moeten ook de risicobeheerstrategieën worden aangepast. Organisaties moeten formele evaluaties instellen, doorgaans driemaandelijks voor tactische evaluaties en jaarlijks voor strategische evaluaties, om systematisch te beoordelen of hun benadering van risico's nog steeds relevant en effectief is. Dergelijke evaluaties moeten een blik werpen op de effectiviteit van controles, een bespreking van de lessen die uit beveiligingsincidenten kunnen worden getrokken, een beoordeling van opkomende dreigingen en een evaluatie van de input van het bedrijf omvatten.
Hoe kiest u de juiste risicobeheerstrategie?
Het kiezen van de ideale strategie voor risicobeheer hangt af van een zorgvuldige analyse van de contextuele factoren die uniek zijn voor elke organisatie.
Beoordeling van de risicocontext en -kenmerken
De keuze van een risicobeheerstrategie omvat de selectie van een geschikte risicobeheerstrategie die begint met een grondige analyse van specifieke risico's en de bedrijfscontext. Organisaties moeten de bedreigingsfactoren beoordelen, bijvoorbeeld of deze persistent of tijdelijk zijn, omdat het onderwerp enorme financiële, operationele en reputatiegerelateerde gevolgen kan hebben.
Kosten-batenanalyse voor strategiekeuzes
Een juiste strategiekeuze betekent dat er een grondige kosten-batenanalyse wordt uitgevoerd, waarbij de potentiële impact van het risico wordt afgezet tegen de volledige kosten van verschillende behandelingsopties. Bij deze analyse moet zowel rekening worden gehouden met de directe implementatiekosten (in termen van technologie, personeel, licenties, enz.) als met immateriële kosten zoals de impact op de productiviteit, onderhoudskosten en opportuniteitskosten van beveiligingsuitgaven.
Strategiekeuze afstemmen
Organisaties moeten risicobeheerbenaderingen hanteren die passen bij hun algehele beveiligingsvolwassenheid en hun capaciteiten voortdurend uitbreiden. Als bedrijven vanaf het begin van de implementatie te slim en te ambitieus willen zijn, mislukt het resultaat bijna altijd en raakt het risico erg versnipperd. In plaats daarvan moeten organisaties een eerlijke beoordeling maken van hun huidige capaciteiten en strategieën selecteren die een realistische stap vooruit betekenen ten opzichte van waar ze op dit moment staan.
Conclusie
Effectieve risicobeheerstrategieën vormen de hoeksteen van volwassen cyberbeveiligingsprogramma's die meetbare bedrijfswaarde opleveren. Door beveiligingsrisico's systematisch te identificeren, te beoordelen en aan te pakken in overeenstemming met de bedrijfsdoelstellingen, kunnen organisaties hun beveiligingsinvesteringen optimaliseren, de nodige zorgvuldigheid aan belanghebbenden tonen en veerkracht behouden in het licht van steeds veranderende bedreigingen. De weg naar volwassen risicobeheer vereist niet alleen de juiste technologieën, maar ook doordachte processen, ondersteuning door het management en organisatorische afstemming rond beveiligingsprioriteiten.
Aangezien cyberdreigingen steeds geavanceerder worden en een steeds grotere impact hebben, kunnen organisaties het zich niet veroorloven om beveiliging te benaderen als een reeks tactische reacties op individuele dreigingen. In plaats daarvan moeten ze uitgebreide risicobeheerstrategieën ontwikkelen die een consistent kader bieden voor besluitvorming op het gebied van beveiliging binnen de hele onderneming. Door de best practices uit deze gids te implementeren en gebruik te maken van geavanceerde beveiligingsoplossingen, kunnen organisaties beveiliging transformeren van een kostenpost naar een strategische factor die kritieke activa beschermt en tegelijkertijd bedrijfsinnovatie en -groei ondersteunt.
"FAQs
Een risicobeheerstrategie is een gestructureerde aanpak die organisaties gebruiken om potentiële bedreigingen voor hun activa, activiteiten en doelstellingen te identificeren, te beoordelen en aan te pakken. Deze strategie vormt het overkoepelende kader voor de manier waarop risico's worden aangepakt in overeenstemming met de bedrijfsprioriteiten en risicotolerantieniveaus.
De belangrijkste risicobeheerstrategieën zijn risicomijding (het elimineren van risicovolle activiteiten), risicobeperking (het implementeren van controles), risico-overdracht (het delen van gevolgen via verzekeringen of contracten), risico-acceptatie (het formeel erkennen en dragen van risico's) en risico-exploitatie (het benutten van positieve risicokansen).
De belangrijkste componenten zijn methodologieën voor risico-identificatie, beoordelingskaders, selectieprocessen voor behandeling, monitoringmechanismen en bestuursstructuren. Effectieve strategieën omvatten ook duidelijk omschreven verklaringen over risicotolerantie, rollen en verantwoordelijkheden, en integratie met bedrijfsprocessen.
Hoewel de CISO of beveiligingsverantwoordelijke doorgaans het ontwikkelingsproces aanstuurt, vereisen effectieve risicobeheerstrategieën input van het uitvoerend management, de hoofden van de bedrijfsonderdelen, IT-teams en risicobeheerprofessionals.
Veelgemaakte fouten zijn onder meer uitsluitend focussen op technische risico's zonder rekening te houden met de zakelijke context, het niet verkrijgen van draagvlak bij het uitvoerend management en het behandelen van risicobeheer als een eenmalig project in plaats van een doorlopend programma dat voortdurend moet worden verfijnd.
