Есть ещё вариант разделения сетей. По сути нужно вынести общие ресурсы компании в отдельную подсеть и между ней и локалкой поставить фаерволл с авторизацией. Грубо говоря потенциальный злоумышленник подключившись к сети увидит просто набор из локальных ПК сотрудников и ничего более, не самый высокий уровень безопасности, но довольно простой и не требует больших затрат.
