Poczta elektroniczna jest jednym z popularniejszych kanałów wycieku danych - administratorzy mogą mieć sukcesy w wykrywaniu i blokowaniu złośliwych przesyłek pocztowych, ale użytkownicy mogą bez trudu wysłać wrażliwą informację poza sieć przedsiębiorstwa jednym kliknięciem. Często zdarza się wysłanie na zewnątrz organizacji wiadomości przeznaczonej do odbiorców wewnętrznych w wyniku omyłkowego wybrania adresata. Jednocześnie filtry poczty nie mogą zatrzymać każdej próby phishingu i wystarczy, gdy jeden z użytkowników kliknie na URL prowadzący do złośliwego miejsca w internecie, aby jedna lub więcej maszyn w sieci zostało zainfekowane kodem złośliwym wyszukującym i wykradającym dane. Duże znaczenie mają tu właściwe reguły polityki i uświadomienie pracowników. Reguły te powinny jasno określać rodzaje treści, które nie mogą być wysyłane: numery kart kredytowych, szczegóły dotyczące własności intelektualnej, rekordy danych osobowych pracowników itp. Stałe informowanie pracowników o schematach socjotechniki stosowanej w internecie może zmniejszyć ryzyko kliknięcia niewłaściwego URL.

Pracownicy mobilni coraz częściej za pomocą komunikatorów kontaktują się ze swoimi przełożonymi i współpracownikami. Napastnicy, wykorzystując ten kanał komunikacyjny, mogą znaleźć sposób na podsyłanie złośliwych odnośników i załączników, tworząc fałszywe konta i wysyłając wiadomości wyglądające na pochodzące od współpracowników. Biorąc pod uwagę fakt, iż wiele aplikacji IM można sprowadzać za darmo, trzeba się liczyć z tym, że po zainstalowaniu są one poza kontrolą IT. Podobnie jak w przypadku poczty, problem komunikatorów można rozwiązać poprzez uświadamianie pracownikom niebezpieczeństw związanych z beztroskim stosowaniem tych narzędzi poza kontrolą działu IT. Wielu napastników wykorzystuje do ataków także sieci społecznościowe, takie jak Facebook czy Twitter. Programy uświadamiania pracowników muszą więc uwzględniać również tego rodzaju zagrożenia.

Stałym problemem pozostają mało bezpieczne hasła. Użytkownicy muszą posługiwać się coraz większą liczbą haseł, aby uzyskać dostęp do wielu miejsc: od poczty elektronicznej, po konta sieci społecznościowych czy e-banki. Ponieważ pamięć jest zawodna, często wykorzystuje się to samo hasło dostępu do różnych aplikacji. Dlatego prawidłowa polityka bezpieczeństwa powinna wymuszać stosowanie różnych haseł, składających się zarówno z małych i dużych liter, jak i znaków alfanumerycznych.

Kolejne zagrożenie może mieć związek z dostępem do zbyt wielu aplikacji, wcale niewynikającym z rzeczywistych potrzeb pracownika. Dla nielojalnych osób jest to znakomita okazja pozyskiwania wrażliwych danych, które można sprzedać lub wykorzystać przy zmianie pracy. Najlepszą ochroną jest tu zapewnienie pracownikom tylko takiego dostępu, jakiego potrzebują do wykonywania swojej pracy.

Szyfrowanie w punktach końcowych

Przy wyborze typu szyfrowania powinno się brać pod uwagę dwa podstawowe kryteria: jego rodzaj i sposób implementacji.

Szyfrowanie może dotyczyć plików/folderów FES (File Encryption System) lub całych dysków FDE (Full Disk Encryption). W FDE dane są szyfrowane automatycznie w momencie zapisywania na dysku. Natomiast w przypadku FES o tym, które dane potrzebują szyfrowania - decyduje użytkownik. Największą zaletą FDE jest brak możliwości pomyłki wynikającej z niewłaściwie odczytanych przez użytkownika zasad polityk szyfrowania. Natomiast wadą jest to, iż nie szyfruje danych przenoszonych między urządzeniami, czyli: w czasie transmisji, przechowywania na dyskach przenośnych lub wysyłanych pocztą elektroniczną. Do tego celu lepiej nadaje się FES, chociaż wymaga większej uwagi ze strony użytkownika i ustanowienia czytelnych zasad polityki szyfrowania. FES bardziej też obciąża komputer.