1. Systemy backupu i archiwizowania informacji dobrane do potrzeb i specyfiki danego przedsiębiorstwa. Może to być np. wykonywanie kopii zapasowej na urządzeniach zewnętrznych, dyskach sieciowych NAS, nośnikach taśmowych, dedykowanych serwerach, ale także wykorzystywanie usług chmurowych. Zaletą tych ostatnich jest przechowywanie danych poza siedzibą firmy, co podnosi bezpieczeństwo np. w przypadku pożaru (ale warto pamiętać, że dla niektórych przedsiębiorstw niedopuszczalne jest przekazanie np. danych klientów firmie trzeciej). Oczywiście, w tej sytuacji również niezmiernie ważne jest stworzenie odpowiedniej polityki backupu - tzn. określenie, które dane powinny być chronione priorytetowo (i wymagają np. stworzenia dodatkowych kopii zapasowych), jak często ma być wykonywany backup itp.

2. Wdrożenie kompleksowego systemu ochrony zasobów firmowych, na który składać będą się m.in. firewalle, oprogramowanie antywirusowe i antyspyware’owe, system wykrywania włamań (IDS), a także zbiór dodatkowych aplikacji i rozwiązań, wykrywających wszelkie potencjale zagrożenia, anomalie i blokujące próby nieautoryzowanego uzyskania dostępu do firmowych repozytoriów danych, stacji roboczych itp. Do tej kategorii zalicza się również stosowanie w firmach podstawowych zabezpieczeń, takich jak odpowiednio silne szyfrowanie w sieci WLAN, kontrola dostępu, zrezygnowanie z konta administratora na stacjach roboczych pracowników - na pierwszy rzut oka to rudymentaria, jednak nie brak przykładów firm, które wdrażając warte dziesiątki tysięcy złotych specjalistyczne zabezpieczenia zapominają o takich "banałach".

3. Specjalistyczne oprogramowanie do wykrywania wycieków danych (DLP - data leak prevention), którego zadaniem jest zapewnienie firmie pełnej kontroli nad obiegiem danych i identyfikowanie wszelkich słabych punktów oraz potencjalnych miejsc "wycieku" wrażliwych informacji. Wdrożenie takiego oprogramowania umożliwia m.in. automatyczne zablokowanie najpopularniejszych "kanałów", przez które następować może nieuprawnione udostępnianie firmowych danych - chodzi tu np. o uniemożliwienie pracownikom zapisywania poufnych informacji na nośnikach USB, domyślne szyfrowanie wskazanych typów plików czy rodzajów dokumentów, lub też tworzenie reguł definiujących - czy i do kogo dane dokumenty mogą być przesyłane i kopiowane.

4. Rozwiązania do zarządzania urządzeniami mobilnymi (MDM - mobile device management). To szczególnie ważne w trwającej właśnie "erze BYOD" - firmowi administratorzy właściwie przegrali już wojnę z pracownikami chcącymi używać w pracy swoich prywatnych iPadów, iPhone’ów czy urządzeń z Androidem. Dlatego, by zapewnić bezpieczne korzystanie z takich "obcych" (dla firmowej infrastruktury) urządzeń, zwykle niezbędne jest specjalistyczne narzędzie, służącego do zabezpieczania danych przesyłanych do takich smartfonów i tabletów. MDM-ów jest wiele i działają na różne sposoby. Umożliwiają np. tworzenie na urządzeniach mobilnych izolowanych środowisk, na których przechowane są firmowe dane lub umożliwienie korzystania użytkownikom z dostępnego w chmurze środowiska do pracy z firmowymi dokumentami. Każda firma powinna bez problemu dobrać rozwiązanie zgodne ze swoją specyfiką.

5. Zapewnienie odpowiedniego poziomu fizycznego bezpieczeństwa firmowej infrastruktury IT - poprzez odpowiednią kontrolę dostępu do serwerowni, stacji roboczych, kluczowych pomieszczeń itp. Chodzi tu nie tylko o zabezpieczenie tych punktów przed intruzami, ale również o wdrożenie rozwiązań przeciwpożarowych, systemu wentylacji, rozwiązań zapobiegających awariom itp.

6. Stałe edukowanie użytkowników w kwestii zagrożeń - ten punkt wymieniamy jako ostatni, ale wcale niewykluczone, że gdyby poniższa lista ułożona była z uwzględnieniem wagi poszczególnych zagadnień, to byłby on pierwszy. Nie od dziś wszak wiadomo, że za znaczną część przypadków utraty czy nieautoryzowanego udostępniania danych odpowiadają właśnie pracownicy. Niekoniecznie wynika to ze złych zamiarów, równie dobrze przyczyną może być niefrasobliwość czy po prostu niewiedza. W tym miejscu należy przypomnieć o polityce bezpieczeństwa - odpowiednie, przystępne sformułowanie tego dokumentu i wypunktowanie tego, co pracownik z firmowymi danymi robić może, a czego nie, powinno być obowiązkowym pierwszym etapem każdego firmowego planu ochrony danych. Etap nr 2 to z kolei upewnienie się, że pracownicy ów dokument znają i na co dzień się do niego stosują (dodajmy, że ten etap powinien mieć charakter ciągły).