Соглашусь со всеми отписавшимися в ответах и комментариях, но все же отвечу одним советом, который возможно в вашем случае может сильно помочь.
Разделяйте и стандартизируйте все и как можно сильнее. Т.е. буквально, каждая подзадача должна решаться в независимом окружении, в идеале разделять по железу, но это дорого (т.е. грубо говоря ставить по компьютеру на задачу) - работа с банками, работа с почтой, работа с интернетом, работа с клиентом, работа аналитика, работа с отчетами, работа по настройке и администрированию окружения, обеды, туалеты, планерки,.. сядьте и запишите все это на бумажке, вдумчиво, зачем, когда, почему, как.
Избегайте сборной солянки, не должно быть такого чтобы разные работники у вас работали с разными продуктами, если можно делать в одном. Т.е. если почта то пусть у всех будет один продукт а не десять (потому что каждый привык к своему). Ни в коем случае не должно смешиваться личное и рабочие задачи, я не говорю о запрете, я говорю об разделении и изоляции.
Самое простое и дешевое решение для изоляции, это виртуализация и сервера терминалов. Поверьте, если вы посадите пользователей лазить в абстрактном интернете на отдельной машине, подключаясь к ней по терминалу (rdp/vnc/..), которое не имеет никакого доступа к вашей локальной сети и машине, то это станет почти непреодолимым препятствием для вирусов любого толка (есть свои ньюансы), причем эти машины могут штатными средствами средств виртуализации автоматически очищаться (сбрасываться на дефолтное состояние, с автоматическими обновлениями по ночам), это будет наилучшим противовирусным и достаточно просто с настройкой.
Пусть почта и чаты у вас будут в одной песочнице, а открытие вебстраничек и документов, пришедших снаружи, в другой, с закрытым доступом друг к другу не только по файлам но и сеть (одна из причин почему софт должен быть унифицирован, настраивать эти ограничения проще).
На самом деле вам действительно может понадобиться передача информации между этими зонами, в большинстве случаев с этим может справиться обычный буфер clipboard вашего рабочего места (с оговорками) но всеравно какие то пути передачи информации настраивать придется, так вот, что и куда передавать должно контролироваться, в идеале отделом безопасников, или хотя бы специлизированным софтом (если боитесь утечек секретной информации например), но хотя бы здравым смыслом. Например вам пришла pdf-ка или docx- документ, по почте,.. это уже вектор атаки, и открывать такие документы нужно в изолированной песочнице, но вам же с ними нужно работать, так вот обычно это копирование конкретной информации и вставка в ваши рабочие документы, реже - загрузка этих документов в ваш софт или сохранение, так вот пусть эти файлы копируются управляемо снаружи песочниц (гипервизор обычно имеет доступ к песочницам) таким образом чтобы не создавать общую папку доступную на запись из нескольких.
То же самое делайте и с другими задачами, пусть они будут максимально разнесены. Я знаю, люди привыкли делать общую файлопомойку, доступную во всей локальной сети без какого то ни было разделения прав, но это первый вектор атаки и огромная дыра для утечки информации. Каждому должно быть доступно ровно столько сколько ему требуется. Не ленитесь, настраивайте и разграничивайте, причем нет ничего постоянного, не получится один раз настроить и потом к этому вопросу не возвращаться, думать и перенастраивать придется (хоть и значительно меньше чем в первый раз), и речь не о знаниях администрирования компьютера, речь об умении формулировать свои задачи, так как если у вас будет администратор, вы точно так же должны все это делать только человеческими словами, общаясь с ним.
p.s. меня сейчас тут запопсуют, но я повторяю, изоляция песочницами (на базе виртуальных машин и нескольких независимых сегментов сети) не самое верное, но самое простое и дешевое решение, доступное мелким организациям, не готовым платить за готовые ЕРП решения.