Короткий ответ: им не до этого или они не знают как. Длинный — читайте дальше.
А вот чуть более подробный список причин:
1. Недостаток компетенций. Информационная безопасность — это огромная область знаний с множеством нюансов, и обычно IT-специалисты не тратят на неё время, потому что и без того есть что изучать: новые технологии, фреймворки и т.п.
2. Им просто некогда. У них уже есть текущие задачи, которые вы им дали. И они будут делать именно их, потому что спрос будет именно за эти задачи.
3. Им не важна сохранность ваших данных. Самый циничный пункт, но это правда. Вашим сотрудникам, в большинстве случаев, абсолютно безразлично, если вы потеряете данные, понесёте большие убытки или даже закроете бизнес. Зарплату платят за текущие задачи, а не предвидение ваших рисков.
И даже если ваш IT-отдел отчитался, что всё настроено, всё работает как часы, всё тестируется — смотрите ещё раз на каждый пункт. Удивительно, но они продолжают работать!
Как всегда, сказать ещё есть много чего, но, говорят, длинные статьи никто не читает :) Ставьте лайк, если хотите больше статей про ИБ.