La mayoría de los programas de conciencia sobre seguridad hoy en día proporcionan a los empleados la información que necesitan sobre el manejo de datos, las normas del RGPD y amenazas comunes, como el phishing.

Sin embargo, hay una gran debilidad en este enfoque: los programas no tienen en cuenta el comportamiento humano. Suelen seguir un enfoque único, en el que los empleados completan una formación anual genérica por ordenador con alguna animación ingeniosa y un breve cuestionario.

Aunque esto proporciona la información necesaria, la naturaleza apresurada de la formación y la falta de relevancia personal a menudo resulta en que los empleados olviden la información en tan solo 4-6 meses. Esto puede explicarse por la teoría de Daniel Kahneman sobre la cognición humana. Según esta teoría, cada individuo tiene un proceso de pensamiento rápido, automático e intuitivo, denominado Sistema 1. Las personas también tienen un proceso de pensamiento lento, deliberado y analítico, llamado Sistema 2.

Los programas tradicionales de conciencia sobre seguridad se dirigen principalmente al Sistema 2, ya que la información debe procesarse racionalmente. Sin embargo, sin suficiente motivación, repetición y significado personal, la información suele entrar por un oído y salir por el otro.