Pués sí, es lo normal, sean pequeñas, medianas o grandes empresas... pero sobretodo cuando el ramo al que se dedican no es la misma informática, cuando la informática es solo un medio en su negocio.
Y es normal, como es normal que cualquier otra empresa de cualquier otra cosa (un bar, un estanco, una tienda de frutas, un taller mecánico, etc... tampoco posea medidas antirrobo a la última, con cristales blindados, caja fuerte, etc... La razón es muy simple: NUNCA han sufrido ciertos ataques, lo que les hace suponer que 'esas defensas' eran suficientes y que de atacar, los atacantes elegirían víctimas 'más suculentas'...
La culpa, erróneamente se la achacais a los trabajadores, cuando ellos no han sido contradados como profesionales de seguridad, si no seguramente por otro tipo de dotes. La culpa debe ser achacada al jefe del departamento (sea cual sea el rango que tiene en la empresa.. en las pequeñas empresas no queda bien definido y es probable que un 'trabajador aventajado' se vea obligado a asumir roles profesionales de los que en verdad no está capacitado... cosas d elas empresas quieriendo ahorrar el sueldo de un profesional, haciendo que otro asuma roles para capacidades que no tiene).
Si a un trabajador le dices: "...desde ahora esto es así...", ten por seguro que así lo harán, da igual la edad que tengan... otra cosa es que tu le digas: "...esto no se puede hacer..." y te quedes tan pancho, la culpa yo se la echo al que le ha prohibido hacer tal cosa (sea quien sea), sin ofrecerle una alternativa para lograr el mismo objetivo... Si les cortas las alas y no le das salida, harán lo que les han prohibido, sí o sí, porque tienen que hacer su trabajo y no conocen otra forma, o la que les propones es 'asquerosamente retorcida', que les consume un tiempo que no tienen... Si a un trabajador le das una alternativa, eficaz y sencilla, no hay ninguna razón para que no la adopte... es más estará contento por ello.
...pero en general las empresas deberían contratar personal cualificado en seguridad... en vez de emplear al trabajador que parece 'más entendedido en ordenadores', para dicha labor.