Вчерашний шифровальщик Петя положил у одного из контрагентов всю сеть намертво, встали все отгрузки, потери составят несколько млн рублей.
Что делать с такими IT-"специалистами"?

(22) тогда

(30) Больше суток уже лежат, и даже примерных сроков восстановления назвать не могут...

надо разграничивать внутреннюю сеть и внешнюю,
крупные предприятия НЕ должны быть подключены к Инету,
там где не надо

Уволить старых, и нанять новых с большей ЗП

Обычно после коллапса в организациях есть традиция - пинок под зад начальнику ИТ-отдела. Потому что в большинстве случаев у решения сократить админа, сэкономить на антивирусах, не заниматься настройкой и запустить инфраструктуру, купить что-то дорогостоящее навроде безумно дорогой СХД, вместо нескольких серверов и лицензий, есть имя и фамилия. А толку с того, что выгонишь беспомощного админа, который вечно занят рутиной и вопросом, как выжить на 30 тысяч с семьей в городе, особо нет. Гнать, но начальника.

Основное это шары, должны стоять заплатки на эту уязвимость.
Про остальное, когда контролеры и все такое, не должно быть админских прав.
windows xp ? xD!
тонкие клиенты, и Linux