Problemem jest też zbyt liberalna polityka dostępu. Użytkownicy mają często zapewniany dostęp do wielu aplikacji, których w rzeczywistości nie potrzebują w pracy. Z takiej możliwości nielojalny pracownik może skorzystać, aby wyprowadzić wrażliwe dane poza przedsiębiorstwo. Najlepszą obroną w tym przypadku jest przydzielenie dostępu tylko do takich aplikacji i danych, jakich pracownik potrzebuje do wykonywania własnej pracy. Istotny jest także przydział uprawnień w obrębie danej aplikacji, aby uniknąć kumulacji uprawnień w miarę zmiany stanowisk danego pracownika oraz audyt jego poczynań przy dostępie do wrażliwych danych.

Pragmatyzm wdrożeń DLP

Zanim przedsiębiorstwo podejmie decyzję o wdrożeniu systemu DLP, powinno przede wszystkim określić istotne jego składowe. Można wyróżnić pięć technologicznych podejść, które - zastosowane razem - mogą zapewnić solidną ochronę danych: rozpoznanie danych, klasyfikacja i odciski "linii papilarnych" danych, szyfrowanie, wykrywanie i blokowanie bramowe oraz zarządzanie urządzeniami.

1. Rozpoznanie danych, klasyfikacja i odciski "linii papilarnych" danych

Kompletne rozwiązanie DLP powinno pozwalać na zidentyfikowanie każdego komputera PC w sieci i wykrycie, czy może on być miejscem przecieku. Przy tym nie można chronić wszystkich danych, ponieważ jest to praktycznie niewykonalne. Dlatego szczególnego znaczenia nabiera klasyfikacja danych. Metodologia, technologia, polityka i szkolenie są na tym etapie szczególnie ważne, aby można było wydzielić zasoby, wymagające zabezpieczeń i skupić się na ich ochronie. Kluczowe jest tu zaprojektowanie systemu klasyfikacji danych, który będzie działał sprawnie. Należy jednak pamiętać, że wrzucanie danych do zbyt wielu przegródek - czyli nadmiernie rozbudowana klasyfikacja - prowadzi zazwyczaj do niepowodzenia. Zaleca się tworzenie nie więcej niż trzech, czterech zbiorów takich danych.

2. Szyfrowanie

Wielu specjalistów uważa, że szyfrowanie to nie DLP, ale według analityków Gartnera ochrona kryptograficzna jest jego niezbędnym elementem. Zaszyfrowanie danych składowanych na dyskach twardych jest niezbędne, by zablokować możliwość skopiowania plików po uruchomieniu komputera z obcego nośnia. Jest to dobra metoda ochrony dla plików składowanych na dyskach oraz dla danych w ruchu. Jedyną rzeczą, której szyfrowanie nie ochroni, jest zrzut ekranu i przeniesienie go na drukarkę lub do pamięci wymiennej.

3. Wykrywanie i blokowanie

Technologia ta wydaje się oczywista, ponieważ nie można zapobiec wyciekom danych bez wdrożenia narzędzi, które mogą wykrywać i blokować szkodliwe działania. Kluczowe są tu technologie monitorujące i blokujące dane, docierające do obrzeża sieci, dane w spoczynku i dane używane w punktach końcowych sieci - w czasie rzeczywistym lub zbliżonym do rzeczywistego. Jednym z bardzo ważnych elementów tego składnika jest audyt. Gdy stosuje się wykrywanie i blokowanie, należy także analizować zapisy w logach, generowanych przez system DLP.