Uit onderzoek en in de praktijk komt men steeds vaker tot de conclusie dat het verhogen van bewustzijn over cyberrisico’s niet leidt tot veiliger cybergedrag.
Een mogelijke reden is dat voor de medewerker het cybergedrag niet een doel op zich is: men doet iets met een ander doel, waarbij cybergedrag slechts een middel is. Bijvoorbeeld inloggen op wifi in de trein (middel) maakt het mogelijk om in de trein te werken (doel). Het doel van de medewerker is een belangrijk aanknopingspunt voor het verbeteren van de veiligheid van online gedrag. Door een faciliterend middel aan te reiken waarmee het doel kan worden bereik, kan op een veilige manier worden gewerkt. In dit voorbeeld zou dat kunnen door bijvoorbeeld werken in de trein te faciliteren door middel van een VPN. In onze aanpak richten we ons dan ook niet op het verbieden of bemoeilijken van gedrag, maar op het faciliteren van cyberveilig gedrag door veilige handelingsalternatieven aan te bieden die iemands doel niet dwarsbomen.
Gedrag kan benaderd worden vanuit twee invalshoeken: “Welk probleem speelt er binnen de organisatie?” en “Welke wens hebben de medewerkers?”
Medewerkers vertonen gedrag omdat ze binnen bepaalde randvoorwaarden willen werken. Hun werk is gericht op het uitvoeren van hun functie en cybersecurity maakt daar meestal geen onderdeel van uit.