人为因素在信息安全领域仍未得到充分探索和重视。越来越多的网络攻击、数据泄露和勒索软件攻击都是人为错误造成的，事实上，95% 的网络事件都是人为的。研究表明，现有的信息安全计划并未考虑风险管理或审计中的人为因素。企业高管、经理和网络安全专业人员广泛依赖技术来避免网络安全事件。管理者错误地认为技术是提高安全防御的关键，尽管研究表明新技术会产生意想不到的后果；尽管如此，技术引起的错误是人为的。管理者目前对信息安全的人为因素问题的看法范围太窄，不仅仅是一个培训问题。复杂的网络安全操作管理伴随着越来越多的人为因素挑战，超出了大多数信息安全专业人员的专业知识范围；然而，管理人员不愿意寻求人为因素专家、认知科学家和行为分析师的专业知识来实施有效的策略和目标，以减少信息安全中的人为错误。