Home > Customer Stories > Democo

Democo Group drijft aandacht en bewustzijn voor cyberdreiging onder medewerkers verder op

De afgelopen jaren heeft het Belgische bouw- en aannemersbedrijf Democo Group een aanzienlijke vooruitgang geboekt op het gebied van cybersecurity maturiteit. En elk jaar opnieuw willen ze hier bijkomende stappen zetten. Dit jaar ligt hun focus sterk op het creëren van een cultuur van cyberdreigingsbewustzijn onder alle medewerkers.

 

“Cybersecurity is niet alleen een zaak van IT,” verklaart John Louwet, Infrastructure & Security Engineer bij Democo. “Samen met het management en alle medewerkers van Democo willen we onze bewustwording rond cybersecurity en onze beveiligingsmentaliteit verder aanscherpen.” Om hen hier stap-voor-stap in te begeleiden, doet Democo Group beroep op de expertise van spotit. De samenwerking tussen beide partijen begon zes jaar geleden met een uitgebreide security audit.

Deze audit gaf ons een duidelijk beeld van waar we stonden en wat onze belangrijkste doelen waren.
John Louwet | Infrastructure & Security Engineer, Democo

De bevindingen leidden tot een strategisch beveiligingsplan dat geleidelijk werd geïmplementeerd, deels door het interne team van Democo, deels met de ondersteuning van de experts van spotit.

Meer aandacht voor cybersecurtity

Aanvankelijk kreeg cybersecurity niet voldoende aandacht binnen Democo en werd dit enkel getrokken vanuit IT. Daar kwam geleidelijk aan verandering in. Dankzij een groeiend bewustzijn en ondersteuning van het management werden de voorbije jaren stelselmatig aanzienlijke veranderingen doorgevoerd. “We voeren ongeveer drie grote initiatieven per jaar uit,” zegt John. “Bijvoorbeeld in het begin werden paswoorden bijgehouden in Excel. Uiteraard hebben we daar snel verandering in gebracht met de invoering van een wachtwoordbeleid.” Ook Active Directory werd aangepakt en de implementatie van meer geavanceerde tools zoals Cisco Umbrella zijn vandaag een feit. Daarnaast werd ook alle nodige documentatie  uitgewerkt zoals een incident responseplan en een business continuity plan. Tot slot stapte Democo Group ook in op de CSIRT-service van spotit. Zo genieten ze van expertondersteuning in geval van een cyberincident.

Social engineering test liegt niet

Een volgende belangrijke stap richting meer maturiteit is het werken aan een ‘awareness cultuur’ op de werkvloer.

Je kon bij wijze van spreken gewoon binnenlopen bij ons, niemand stelde zich vragen hierover. Om het bewustzijn over veiligheid te verhogen, lieten we begin dit jaar een social engineering test uitvoeren door spotit.
John Louwet | Infrastructure & Security Engineer, Democo

Zo werden USB-sticks naar verschillende Democo-vestigingen gestuurd met de vraag deze te verdelen. Dit onder het mom van een wedstrijd waarbij medewerkers een geschenk konden winnen. Bepaalde receptionisten stelden zich vragen en contacteerden IT. Maar bijlange niet iedereen. Een groot aantal USB-sticks werden dus intern verspreid. Er werden 64 USB-sticks in een computer gestoken waarbij ook de pdf die op de stick stond werd geopend. Dit op een totaal van 100. Twee personen lieten zelfs hun accountgegevens achter. Resultaten die toch even de wenkbrauwen doen fronsen en aantonen dat er nog werk aan de winkel is.

 

De koe werd dan ook direct bij de horens gevat. Kort na het uitvoeren van de test werden deze resultaten voorgelegd tijdens de veiligheidsdag van Democo Group. “Alle resultaten werden besproken, wat er juist gebeurd was en wat ze niet mochten doen. Het feit dat het insteken van een gewone USB al heel wat kwade gevolgen kan hebben, werd zo duidelijk gekaderd,” aldus John. Naast het invoeren van securitytrainingen krijgen medewerkers nu ook via het Insites intranet regelmatig berichten die het bewustzijn moeten blijven aanwakkeren. Verder investeerde Democo Group in een online trainingsplatform dat medewerkers voortdurend opleidt en informeert over actuele bedreigingen zoals phishing en dergelijke meer. “We laten het niet meer los. We zijn definitief vertrokken,” zegt John strijdvaardig.

Onze samenwerking met spotit is simpelweg effectief. Ze beschikken over de nodige expertise waarvan we naar behoefte gebruik kunnen maken. Ook onze jaarlijkse strategiebrainstorms zijn van onschatbare waarde en leiden vaak tot projecten die onze cybersecurity verbeteren.
John Louwet | Infrastructure & Security Engineer, Democo

Advies voor andere IT-managers?

Op basis van zijn opgedane ervaringen deelt John graag volgende raad met collega IT’ers: “Veel hangt af van de maturiteit van je organisatie. Wij kwamen van heel ver dus hebben we eerst sterk ingezet op het optimaliseren van de bestaande tools. Begin met het verstevigen van de basis en breid dan geleidelijk uit met trainingen voor gebruikersbewustzijn en meer geavanceerdere tools. Regelmatige audits zijn ook essentieel om zwakke punten te blijven identificeren en zo je security posture systematisch te verbeteren.”

De weg die Democo Group samen met spotit heeft afgelegd in de afgelopen jaren is een getuigenis van hun toewijding aan het verbeteren van hun cybersecurity maturiteit. Dankzij de geleverde inspanningen is de business van Democo Group vandaag een heel stuk sterker gewapend om met de vele cyberdreigingen om te gaan.