Krok kolejny, to określenie, które dane potrzebują ochrony. W tym celu najlepiej użyć rozwiązań do rozpoznawania wrażliwych danych, które mogą zapewnić dość dokładne zlokalizowanie i sklasyfikowanie wszystkich wrażliwych informacji.

Następnie należy ustalić, która zawartość wymaga ochrony. Klasyfikować można np. na podstawie przepisów o ochronie danych osobowych lub wydzielać dane stanowiące własność intelektualną organizacji. Takie rozróżnienie jest ważne, ponieważ zmienia ono nie tylko sposób identyfikowania treści, ale także raportowania - aby zagwarantować zgodność, trzeba zapewnić nie tylko pokrycie wymogów stawianych np. przez PCI DSS w odniesieniu do takich danych, jak numery kart kredytowych czy dane osobowe, ale także raporty niezbędne na potrzeby audytu. Z kolei w przypadku własności intelektualnej ważne jest rozróżnienie, czy dotyczy to kodów źródłowych, plików CAD czy innych. Ten etap może być krytyczny dla prawidłowego wdrożenia rozwiązania DLP.

Kolejny krok to zidentyfikowanie potencjalnych kanałów wycieku w organizacji (np. poczta elektroniczna czy pamięci USB w urządzeniach końcowych). Pozwoli to określić rodzaj potrzebnego produktu. Na tym etapie nie warto starać się znaleźć wszystkich potencjalnych kanałów wycieku - należy pamiętać, że jest to próba powstrzymania incydentalnych (niezamierzonych) wycieków danych. Jeżeli chce się powstrzymać zamierzone wycieki danych, to jest to zadanie znacznie trudniejsze i wymagające zaangażowania środków mających istotny wpływ na procesy biznesowe. Wewnętrzny użytkownik może mieć wystarczającą wiedzę, aby obejść stosowane zabezpieczenia programowe. Nie można też zapominać o zdalnych pracownikach i urządzeniach działających poza firmą.

Określenie zasad polityki, to jeden z końcowych etapów wdrożenia. Z chwilą zainstalowania rozwiązania konieczne jest utworzenie reguł polityki zapewniających rozpoznawanie rzeczywistej treści, która ma być kontrolowana, oraz tego, jak będzie kontrolowana. Wszystkie poprzednie kroki mają pomóc w utworzeniu właściwych zasad dla polityki DLP.

Ostatni etap wdrożenia to testowanie rozwiązania, które ma pomóc w dostrojeniu reguł polityki do potrzeb organizacji. Na tym etapie potrzebne jest też uświadomienie wszystkim pracownikom zasad polityki DLP i zapewnienie środków do jej egzekwowania. Niepraktyczne jest stosowanie wszystkich reguł naraz. Należy ustalić pewne priorytety i harmonogram wdrażania poszczególnych etapów polityki, aby nie spotkać się ze zbyt dużym oporem "czynnika ludzkiego", który lepiej znosi zmiany ewolucyjne, gorzej - rewolucyjne.

Świadomość pracowników - najskuteczniejsza ochrona wrażliwych danych

Pracownicy mogą różnymi kanałami wyprowadzać wrażliwe dane i mogą to być działania nieświadome lub intencjonalne. Organizacja może zakupić najlepsze na rynku produkty DLP, ale nie zapewnią one bezpieczeństwa danych, jeżeli pominie się czynnik ludzki. Technika jest bardzo ważna w zapobieganiu wyciekom danych, jednak eksperci ds. bezpieczeństwa zwracają uwagę, że kluczowa pozostaje świadomość użytkownika przy korzystaniu z wrażliwych danych.

Technologia pozwala na automatyzację pewnych procesów ochrony danych, ale procesy te muszą uwzględniać również szkolenie użytkowników, zarządzanie rejestracją danych i kontrolowanie zgodności z obowiązującymi przepisami. Celem musi być stałe informowanie właścicieli i użytkowników danych (pracowników) o obowiązujących regułach polityki bezpieczeństwa danych.