На самом деле, в бизнесе нет информационной безопасности, есть безопасность самого бизнеса. И эту функцию – управление, администрирование, конфигурация – лучше всех умеют решать службы ИТ. На ИБ-отдел всегда ложился контроль качества над исполнением этих задач. А кто виноват в случае возникновения инцидента:
ИТ – потому что не настроили как надо,
ИБ – потому что не проконтролировали должным образом,
HR – потому что не научили пользователей правильно себя вести,
Или кто-то еще?