Medewerkers richten zich in de dagelijkse praktijk vaak op de werkzaamheden die passen binnen hun functieprofiel. Cybersecurity maakt hier in de meeste gevallen geen deel van uit. Bovendien wordt er door de waan van alle dag niet altijd gelet op gedragingen die van belang zijn voor het veilig gebruik van hardware en software. Ook als medewerkers zich bewust zijn van mogelijke risico’s, heiligt het doel soms de middelen. Denk aan het uitstellen van updates, het gebruiken van openbare wifi en het onveilig versturen van bestanden.