Problemy wdrożeniowe

Przed wyborem narzędzi DLP trzeba przygotować się na różne wyzwania. Właściwa implementacja DLP wymaga dużego wysiłku ze strony działu IT - to nie jest proces typu "zainstaluj i zapomnij". Jeżeli nie poświęci się wystarczająco dużo czasu na projekt DLP, to może on okazać się mało przydatny. Z chwilą podjęcia decyzji o wdrożeniu, trzeba mieć na uwadze kilka zasad dobrych praktyk, które nie tylko ułatwią wdrożenie, ale także mogą zapewnić jego większą efektywność.

Z praktyki wiadomo, że nierzadko po wdrożeniu prewencyjnego rozwiązania DLP nie włącza się funkcji prewencyjnych produktu, pozostawiając go w trybie wykrywania. Najczęściej z obawy o fałszywe trafienia. W praktyce automatyczne blokowanie ruchu danych w oparciu o błędne ich sklasyfikowanie może w poważny sposób wpłynąć na funkcjonowanie organizacji. Incydentalne zablokowanie legalnego ruchu biznesowego może być dużo bardzie bolesne dla organizacji niż przeoczenie niewielkiego wycieku danych z powodu pozostawienia DLP w trybie wykrywania. Niezależnie od tego, czy planuje się użycie funkcji aktywnej prewencji czy nie, zawsze należy przetestować narzędzia pod kątem fałszywych trafień i fałszywych pominięć.

Właściwa edukacja użytkownika końcowego jest krytycznym elementem każdej polityki ochrony danych. Pracownicy powinni być przeszkoleni w klasyfikacji danych i tego, które środki ochrony powinny być stosowane do poszczególnych typów danych. Polityka ochrony powinna takie szkolenia wymuszać. Edukowanie użytkowników, zamiast sztywnego dyscyplinowania, sprowadza się w praktyce do możliwości podejmowania akcji naprawczych, kiedy wykryte zostanie naruszenie polityki. Łatwo można blokować transmisję, odrzucać programy, odłączać urządzenia lub podejmować jedne akcje, a zatrzymywać inne. Ale często prowadzi to do frustracji pracowników, którzy nie mieli intencji zrobienia czegoś złego, ale jedynie brak im było dostatecznej wiedzy, jak właściwie mają zabezpieczyć swoje dane lub zapobiec, aby nie opuszczały one organizacji.

Należy też pamiętać, że dane często wyciekają "frontowymi drzwiami". Z wielu badań nad bezpieczeństwem danych wynika, że konsultanci, dostawcy, partnerzy i inne strony trzecie są odpowiedzialne za wiele incydentów wycieku danych. Należy więc upewnić się czy osoby nie będące pracownikami firmy przestrzegają tych samych reguł ochrony danych, co pracownicy.

Konieczne jest też systematyczne usuwanie zbędnych danych. W tym celu należy opracować politykę zachowywania danych, która w jasny sposób definiuje, gdzie dane mają być przechowywane i jak długo. W ramach polityki proaktywnego usuwania danych trzeba stosować automatyczne narzędzia do jej wspomagania. Usuwane dane powinno się tymczasowo składować, aby mieć możliwość odzyskania danych usuniętych w wyniku fałszywej oceny przydatności.