Solo puede hacer mucho con el entrenamiento, especialmente cuando no hay consecuencias (percibidas) por no seguir las reglas.
En el campo de la seguridad, debemos aceptar el hecho de que las personas tienen mejores cosas que hacer con su tiempo que seguir nuestras tontas reglas, la mayoría de las cuales no entienden y cualquier consecuencia para el usuario se retrasa (horas, semanas) , meses) que la mayoría nunca aprenderá. Es pura psicología y debemos tomar en serio lo que los últimos 60 años de marketing / spin / manipulación nos han enseñado sobre el cerebro humano.
Su mejor opción es manipular su camino hacia el éxito. Independientemente de lo que intente hacer que sus usuarios hagan, haga que su forma segura sea la forma más fácil / rápida / económica. Los usuarios se saltan los consejos de seguridad porque les puede ahorrar 2 segundos, así que recompensen el buen comportamiento de cualquier manera que puedan.
Ejemplo: Hace muchos años, estaba en una organización que sufría debido a que los usuarios elegían las mismas contraseñas en muchos sistemas y estos sistemas aceptaban el acceso telnet desde cualquier lugar. Los atacantes lo explotaron en más de una ocasión.
Matar telnet e ir a ssh con autenticación de clave resolvió el problema de seguridad y eliminó la necesidad de que los usuarios escriban nombre de usuario y contraseñas en cada conexión remota. Tener que no escribir su contraseña para cada nueva conexión permitió que tuvieran que desbloquear su clave ssh con una frase de contraseña cada mañana.