Aby zapobiegać wyciekom danych, nie wystarczy zablokować komunikatory, pocztę internetową i możliwość korzystania z nośników przenośnych. Kontrolowanie komunikatorów, poczty i zewnętrznych nośników danych może zwiększyć podstawowe bezpieczeństwo danych, jednak w świecie powszechnej komunikacji wdrożenie drastycznych ograniczeń w przepływie informacji może utrudniać procesy biznesowe i w rezultacie - hamować rozwój firmy. Efektywne zapobieganie wyciekom danych to zdolność utrzymania informacji wewnątrz firmy, bez zakłócania możliwości jej uprawnionego wykorzystywania w procesach biznesowych.

Błędne jest również mniemanie, że większą uwagę należy poświęcać ochronie danych przed kradzieżą oraz złośliwym wyciekom wewnętrznym. Większość z nich nie jest zamierzona. Pomyłki, odchylenia od pragmatyki procesów biznesowych lub IT czy niedbalstwo pracowników - mogą także prowadzić do wycieków. Według Forrester Research, 70% wycieków danych jest przypadkowe.

Technologie zapobiegania wyciekom danych są skomplikowane i drogie, często więc uważa się, że nie warto je instalować. Jednak każda organizacja jest inna i potencjalny koszt wycieku danych jest różny. Forrester Research szacuje koszt utraty informacji o klientach na 90 do 305 USD za rekord. A informacje o klientach to tylko część najczęściej używanych danych. Wyciek informacji poufnych, takich jak własność intelektualna, może mieć dużo większy wpływ na biznes. Po oszacowaniu takiego ryzyka można określić, czy koszty implementacji systemów kontroli informacji są uzasadnione.

Trzeba też mieć na uwadze fakt, że pracownicy często nie mają pełnej świadomości, jakie informacje mogą przekazywać poza firmę. Często też nieświadomie przyczyniają się oni do wycieku informacji i dlatego tylko odpowiednie szkolenia, połączone z technologią zapobiegania wyciekom danych, mogą ograniczać to ryzyko. W zwiększającym się stale mobilnym środowisku pracy szkolenia pracowników stają się jeszcze ważniejsze.

Lokalizacja wrażliwych danych

Typowa organizacja ma mnóstwo przejść otwartych na zaporze ogniowej dla: klientów, dostawców usług internetowych, outsourcingu. Ocena bezpieczeństwa danych stanowi więc podstawę ochrony przed atakami skierowanymi na krytyczne dane w bazach danych i współdzielonych plikach. Ochrona ta polega na przyznawaniu priorytetów danym z najbardziej krytycznych obszarów biznesu i zastosowaniu bezpiecznej komunikacji oraz szyfrowania.

Właściwe podejście do ochrony danych krytycznych musi uwzględniać zintegrowane mechanizmy przekraczające podziały na: dane strukturalizowane i niestrukturalizowane, w spoczynku, w użyciu i w ruchu. Zadania priorytetyzacji, szyfrowania, monitorowania i kontrolowania dostępu oraz użytkowania wrażliwych danych są trudne do integracji. Przedsiębiorstwa stosują więc różne podejścia do ochrony danych, wykorzystując systemy DLP, kontrolę dostępu i szyfrowanie.

Zadaniem podstawowym jest rozpoznanie, które dane potrzebują ochrony i gdzie są zlokalizowane. Niecelowe jest wydawanie takich samych pieniędzy na ochronę prywatnych e-maili i wiadomości zawierających istotne informacje biznesowe. Jednakże klasyfikowanie takich zasobów to sprawa bardzo skomplikowana. Można używać do tego oprogramowania DLP, które potrafi rozpoznawać krytyczne dane niestrukturalizowane.

Rozwiązania DLP zapewniają mechanizmy wykrywania miejsc rezydowania informacji wrażliwej, jak również zapobiegania, aby nie opuszczała ona organizacji za pośrednictwem powszechnie dostępnych kanałów komunikacyjnych, takich jak poczta elektroniczna czy komunikator. Technologia ta musi być jednak używana w połączeniu z właściwym szkoleniem pracowników i systemami zarządzania uprawnieniami, szyfrowaniem, bezpieczeństwem punktów końcowych oraz fizycznymi środkami ochrony. Ma ona obniżać ryzyko wycieku danych i zapewniać śledzenie i szybką reakcję na krytyczne naruszenia zasad ich użytkowania.

Sposób korzystania z danych to kolejny problem. Tutaj pomocne są narzędzia audytu, które pozwalają określić: kto ma dostęp do danych, i czy taki dostęp jest uzasadniony. Przy okazji analizowana jest zgodność z obowiązującymi przepisami dotyczącymi okresu przechowywania danych.