ITの世界(というか業界)は、自分が持っているノウハウを中々外に出しません。
それは多くの業界人が仕事などの過程で、分からない事は時間をかけて調べて、自己解決しながらスキルアップしている人が多いからです。
なのでIT業界人は「自分自身で解決しようとしない人」に対して、あれこれ教えようとしません。
本心としては「それくらい自分で調べれば分かるでしょう」と思っています。
これは、企業の中にいるIT担当者も同じです。
ITは日々進化して、新しい事が発生しているために、IT担当者もまた毎日調べたり、試したり、わざと失敗したり、そうやって経験を積んで実践で使えるスキルを身につけなければなりません。
もしこれを怠るとスキルはさび付き、古いやり方しか知らない=セキュリティが危険だったり、管理に手間暇が掛かるようなシステムを作ってしまうからです。
そんな担当者に対して
・簡単に教えて
・ちょっとやっといて
・ザックリでいいので教えて、難しい事は言わないで
と言ってしまうと、担当者はそっぽを向きます。
そのうち「仕事では言われた事だけをやる、スキル向上は趣味の時間にやる」
などの時間の使い方になってゆきます。
しかし、IT担当者以外の従業員もまた「本業が忙しくて、それ以外の事は対応できないし、考える時間さえも惜しい」と考えていますね。
このGAPは決して埋まりません。
こんな状況では、情報セキュリティレベルを高いレベルで維持することは難しいですね。
これを改善するためには、経営者の明確な意志と行動が必要になります。
とは言うものの、経営者がIT素人のケースは多く、情報セキュリティの重要性をなかなか理解して貰えないばかりか、非生産性コストと扱われるIT担当者の悶々とした日々は決して融和されることはありません。
つまり、経営者はITの詳細こそ理解する必要は無いものの、重要性やコストの意味合いについて理解しなければ、情報セキュリティレベルは低下してゆき、その結果重大インシデントを発生させることになってしまいます。