セキュリティに対する従業員の賛同を最大化するポリシーは何ですか？

逆説的に言えば、セキュリティトレーニングの最初の責任は、セキュリティトレーニングがなぜ重要なのか（-===-）（従業員）であり、関連があるのか​​を示すことです。作業）。
すべてのトレーニング（少なくとも初回の認識トレーニング）必須これで開始するか、少なくとも非常に迅速にそれ以外の場合は無意味です。

あなたのWTFの例から、トレーニングでtestingを参照していたようですが、これは非常に異なります...トレーニングではまず第一に、情報。
最初の仕事（なぜそれが重要なのかを示す）がうまくできていれば、残りの仕事をテストする必要はありません。そうでなければ、まあ、実際には何の意味もありませんね。人々は常にそれが重要ではないと思うなら、不正行為をする方法を見つけます。

さらに、面白いトレーナーがいることは大きな助けになります...しかし、無料のランチでトレーニングをすることほどではありません！
私はいくつかの最大の銀行でこれを行い、大成功を収めました-従業員は食べ物に来ることに興味があります（単純なサンドイッチだけでなく、気にしてください）。彼らはぶらぶらする理由があり、最初に出くわす機会を使い果たすのではなく、座って聞いているのです。彼らは楽しんでいます（研究では、食べ物があるときに人々が楽しんでいることが示されています）。そして彼らは食物のために彼らのメンタルガードを下に置いています。
（さて、それはポリシーよりも戦略の詳細ですが、それでも...ポリシーは従業員にwantトレーニングとお楽しみそれ。）

ポリシー自体はそれほどではありませんが、意識に対する態度の一部はソリューションの提供および実用性これらのソリューションの。
もちろんこれには、適切なツール、セキュリティを「実行する」ための十分なリソースなどが含まれます。
経営陣が全員にセキュリティを意識させるようにしても、それについて何もする能力を彼らに拒否した場合、それは無意味なものよりも悪いでしょう。

生のHTMLコードですべての答えを見つける

セキュリティトレーニングがあまりにも簡単に実行できる場合、セキュリティトレーニングを真剣に受けるのは少し難しいのではないですか。

仕事に関連するセキュリティコードレビューまたは肯定的なフィードバックを伴うピアレビューは、おそらく最良の方法です。

それに気が付くと、気になる従業員を雇うことが最も重要なポリシーであり、気にしない従業員を手放すことに続きます。マネージャーが気づいていなくても、同僚が悪いセキュリティ慣行から逃れるのを見るよりも速く、人々を気にしないものはありません。

どんなセキュリティポリシーも、人々が実際に仕事をするのを妨げるほど厳しくないものではないことを確認してください。これは、サイトをブラックリスト/グレーリストに登録している場合に特に当てはまります。

たとえば、私が働いていたある会社のグレイリストにGoogleがありました。これは、従業員が「割り当て時間」がなくなる前に、Googleで検索するための限られた時間しか得られなかったことを意味しました。これは、会社が独自の言語を使用していた場合は問題なかったかもしれませんが、Googleを使用できないように。これは、サイトがホワイトリストに追加されたプロセスの不透明性と相まって、多くの憤慨とポリシーの転覆をもたらしました。