Что нужно сделать в фирме безопаснику, если его должность только открылась и никакой почвы для этого нет?

что нужно сделать в первую очередь

Попить пива с админом.

Классика

1) Ставишь ptraffer
2) Через неделю показываешь начальнику "список запросов в гугле" (конечно же подписав с работниками нужные документы и т.п...) и рассказываешь кто чем занимается реально
3) Получаешь бюджет, далее делаешь документы уровня "концепция ИБ", далее инструкции и правила вводишь, аудит настроект безопасности домена и т.п..

Это алгоритм если в конторе никто ничего по теме не делал.

В первую очередь написать регламенты, потом вводить их, потом следить за ними.

Поднять прокси. И пусть люди ходят только через неё. Все действия людей логировать, передаваемую информацию тоже. Обрубить возможность работать с флешек, дискет, дисков и т.п. загрузочных вещей.
Подписать со всеми согласение о неразглашении информации и т.п.

P.S. Не безопасник я.

Самое простое - напишите политику информационной безопасности.

Правила использования паролей, политику паролей (длина, сложность).
Старайтесь продумать безопасность так, чтобы она была максимально комфортна для пользователей. Из-за нагромождения, на нее могут забить.
И да - дружите с админом.

В вопросе прослеживается характерный студенческий почерк... Только из вуза?

Рекомендую изучить должностную инструкцию, имеющуюся в наличии мат.часть, и на основе полученной информации приступать к планированию и реализации таких штук как "контроль переписок, защита от хакерских атак".

Прочитать 152 ФЗ.
Там одной только документации разрабатывать на месяц работы.

Возьмите СТО БР ИББС как пример политики (выкинув на первом этапе СМИБ и СУИБ, да и 2/3 требований к СОИБ туда-же).
Напишите документ по доступу, по интернету, по почте, по антивирусу (и, главное - утвердите их у руководства).
Доведите новые правила до сотрудников. Начинайте контролировать исполнение.