Interesującym mechanizmem jest możliwość przeglądania serwerów baz danych i metkowania poszczególnych baz, tablic lub kolumn pod kątem monitorowania przez DLP. To poszerza zdolność rozpoznawania plików bazy danych i to bez konieczności posiadanie wiedzy o językach kwerend. Pozwala także na analizowanie danych na miejscu, bez konieczności kopiowania serwerów baz danych w celach analizy.

Na rynku narzędzi DLP pojawiają się rozwiązania drugiej generacji, wykorzystujące innowacje wprowadzające nowe możliwości. Najnowsze korzystają z modelu wykrywania anomalii, który wymaga wcześniejszego kalibrowania. Do ustalenia poziomu odniesienia wykorzystują wyniki monitorowania punktów końcowych lub ruchu sieciowego, zgromadzone w pewnym okresie czasu. Taki poziom odniesienia pozwala zdefiniować wartości progowe dla ruchu normalnego.

Wiele incydentów naruszenia danych charakteryzuje się anormalną wielkością transferów do nieautoryzowanych lokalizacji. Inne anomalie to np. kopiowanie całej bazy danych na lokalny lub przenośny dysk. Wykrywanie anomalii nie jest doskonałe, ale powinno być elementem ogólnego planu zabezpieczania danych.

Najnowsza strategia DLP to wprowadzanie znaczonych (fikcyjnych) danych (red herring data) do produkcyjnych zbiorów danych. Pojawienie się znaczonych danych poza produkcyjną bazą danych jest sygnałem potencjalnego wycieku.

Wybór odpowiedniego narzędzia

Organizacje decydujące się na wdrożenie DLP muszą w pierwszej kolejności zdecydować, które dane chcą chronić i gdzie ich poszukiwać. Dane są niemal wszędzie, konkretne rozwiązanie DLP może doskonale radzić sobie w sieci, ale z danymi na dyskach USB czy pamięciach backupu - już niekoniecznie. Pojedyncze narzędzie nie może chronić wszystkiego - należy być przygotowanym na konieczność zakupu wielu narzędzi do ochrony wszystkich danych lub zaakceptować fakt, że dane w niektórych lokalizacjach będą tej ochrony pozbawione. Przy ocenie różnych opcji DLP trzeba się kierować różnymi kryteriami. Hierarchia tych kryteriów zależy od specyfiki potrzeb w zakresie ochrony danych.

Problemy wydajności

Niezależnie od tego czy jest to rozwiązanie sieciowe czy hostowe ma ono wpływ na wydajność systemu, w którym działa. Każdy dodatkowy proces uruchomiony na hoście musi odbijać się w jakimś stopniu na wydajności. Konieczne jest więc gruntowne przetestowanie produktu, aby nie narazić się na ryzyko znacznego spowolnienia wykonywania zadań po wprowadzeniu DLP do systemów produkcyjnych.

Jakie hosty mają być chronione?

Jeżeli używa się hostowego DLP, to należy upewnić się jakiego typu hosty obsługuję. Jeżeli jest to Microsoft Windows, to która wersja? W wielu środowiskach Windows mogą jeszcze pracować systemy starsze. Jeszcze większe kłopoty sprawiają środowiska heterogeniczne. Trzeba się upewnić, czy narzędzie współpracuje z Mc OS X, Linuksem, BSD, Solaris itp. Poza samym systemem operacyjnym, pod uwagę trzeba wziąć też inne czynniki techniczne: wymagania na pamięć dyskową, minimalną pamięć operacyjna i możliwość współpracy z stosowanymi produktami szyfrowania dysków.

Jaki rodzaj danych ma być wykrywany?

Większość narzędzi DLP może mieć pod kontrolą dane mające wcześniej określoną charakterystykę, takie jak daty czy numery formatowane (np. PESEL), ale już możliwość przesiewania danych niestrukturalizowanych może być bardzo różna. Pojawia się także problem danych szyfrowanych. Czy narzędzie może zaglądać do szyfrowanych strumieni danych lub archiwów chronionych hasłem? Niektóre rozwiązania mogą to robić, ale jeżeli ten rodzaj inspekcji jest potrzebny, to trzeba się jeszcze upewnić, jak trudna jest jego implementacja, oraz jaki to ma wpływ na wydajność hosta.