1. Начать использовать прокси-сервер для выпуска пользователей во вне. Желательно со встроенной урл-фильтрацией. Например, Usergate.
2. Заблокировать usb\cd на станциях конечных пользователей. Хотя бы через групп полиси.
3. Серверную часть КВС выделить в отдельный vlan, публикуемые сервисы отделить в DMZ. Грамотно настроить ACL.
4. Конфиденциальную информацию локализовать на сетевых ресурсах, доступ к ней выдавать на основании заявок, которые согласуют или ИБ\ЭБ или владельцы ресурсов.
5. Сделать небольшую памятку для сотрудников по правилам ИБ - минимум, как хороший результат - проработать политику ИБ на предприятии.
6. Просканировать корпоративные внешние ip хотя бы портсканерами (nmap), в идеале сканером уязвимостей (nessus например)
7. Немаловажно донести до руководства аспекты ИБ, чтобы они поняли насколько это может быть важно и в дальнейшем не было преград..надо было это первым пунктом)
Ну и так далее..централизованное хранение обработка логов, WSUS...
