社会规范。如果员工看到经理们认真对待安全，它就会树立一种文化期望，即要在这家公司取得成功，我必须认真对待安全。

矛盾的是，安全培训的首要职责是说明为什么安全培训对您（员工）很重要、对您（员工）感兴趣以及（与您的工作）相关。
任何培训（至少是第一次的意识培训）都必须从这个开始，或者至少很快就开始了，否则毫无意义。

尽管从您的 WTF 示例看来，您指的是对培训进行测试，但这是非常不同的……培训首先需要教授信息。
如果第一份工作（说明为什么它很重要）做得很好，你就不需要测试其余的了。如果不是——那么，那真的没有任何意义，不是吗？如果人们认为这不重要，他们 总会找到一些作弊的方法。

此外，拥有一位有趣的教练也有很大帮助……但不如在免费午餐上进行培训！
我在一些最大的银行做过这件事，并取得了很大的成功——员工有兴趣来吃东西（但不仅仅是简单的三明治，请注意）；他们有理由四处闲逛，不会一有机会就用完，所以他们坐下来听；他们很享受（研究表明，当周围有食物时，人们会很享受，去想一想）；由于食物，他们的心理防线已经放松。
（好吧，这与其说是政策，不如说是一种战略，但仍然……政策是让员工想要培训并享受它。）

一个小小的补充，同样不是政策本身，而是对意识的态度的一部分应该是提供解决方案和这些解决方案的实用性。
这当然包括适当的工具，足够的资源来“做”安全，等等。
如果管理层让每个人都意识到安全，然后拒绝他们做任何事情的能力，那将比没有意义更糟糕。

在原始 HTML 代码中发现所有答案

当培训这么容易被颠覆时，认真对待安全培训不是有点难吗？

对于与工作相关的安全代码审查或具有积极反馈的同​​行审查可能是最好的方法。

当你认真对待它时，雇用关心的员工是最重要的政策，其次是解雇那些不关心的人。没有什么比看到同事逃脱糟糕的安全实践（尽管他们的经理知道）更快地让人们不在乎的了。

确保任何安全策略都不会过于严厉，以至于阻止人们实际工作。如果您将网站列入黑名单/灰名单，则尤其如此。

例如，我工作的一家公司将Google列入灰名单。这意味着员工在“配额时间”用完之前只有有限的时间在 Google 上进行搜索。当公司使用某些专有语言时，这可能没问题，但是在无法使用 Google 的情况下编写 .Net 是一种真正的痛苦（不，MSDN 不是一个合适的替代品）。再加上将网站添加到白名单的过程的不透明性，引发了很多不满和对政策的颠覆。