А вы уверены что наращивание такой безопасности устраивает бизнесс? Вы примерно хотя бы просчитывали риски? Что касается бумажек с паролями... у вас внедрена политика ИБ? Быть может вам проще провести некую очную ставку и сделать внутренний мини пентест, тем самым сымитировать действия злоумышленника? А по результату указать руководству на некомпетентных сотрудников?