Norker

Есть такая фича во встроенном iMessage, но только для США => подробности

Вау, в лесу явно сдохло что-то большое...

Ну, поехали.

Доступ в wifi - по макам, по служебке на СSO (или по-русски директора по безопасности)
Бэкапы критичных данных - каждый вечер, складываются на отдельный сервер, куда вход - только у первосвященников (равно как и доступ в морду бэкапера)
На вход в есть - микротик(и), фронтальный пропускает в DMZ, где почта-веб-dns-внешние ресурсы, тыльный - отрубает юзеров, которые пытаются выйти мимо прокси, а также разруливает всех, кому надо его обойти. Тут же обычно стоит VPN.
Антиспам - на первом почтовике, который принимает почту из мира
Про FTP уже сказано. Если для файлообмена - проще сколхозить виртуалку с synology или nextcloud. FTP неудобен тем, что ему нужен не один порт а множество.

Если кто то что то похерит - восстановление из теневых копий или бэкапов, сотрудник который передал лог \ пасс - увольняется + вычит ущерба для копании. это надо закрепить приказом, под роспись

На вход инета - ставь допустим pfSense или zentyal там и прокси и антивирус итд итп...

доступ к вифи должны иметь только определенные машины, по MAC, либо делай им отдельную авторизацию, как советуют

отдельно сделать гостевую сеть вифи, для телефонов и прочего

FTP убрать, ввести сетевую шару либо webdav
ну и не забывайте, что вся нужна инфа должна бэкапиться... ежедневно + еженедельно

По железу. лично у меня обычно на входе стоит микротик(ферволла на нём вполне достаточно), а выходы в инет уже разруливает прокси-сервер
Антиспам - на почтовом серваке обычно настраивается, вместе с почтой

Подключение только по маку + ключу, для каждого мака персональная таблица маршрутизации, каждый сервис жёстко разделяет права, на каждом устройстве пользователь не может открыть меню пуск без сисадмина, wifi изолирует все подключения, все пароли и ключи меняются каждую неделю.

Больше об информационной безопасности ваш начальник даже слушать не захочет.

из базового и простого

1) Вход внутрь сети (из интернета) только через VPN, без исключений для начальников и проч.
2) доступ внутрь сети через wifi только для определенных машин
3) доступ в интернет 'для всех' - в отдельной гостевой сети из который в боевую попасть нельзя
и если немного упарываться
4) для каждой машины делать отдельный список доступа с авторизацией через (помоему 802.1X )

1) Да, после gpon модема можно ставить любой свой роутер
2) GPON заведут прямо в дом, куда покажите. Уличное оборудование есть, но не дешевое, и не для пользовательского использования