Rozwiązania DLP są przewidziane do ochrony przed utratą informacji, wychwytując próby wysłania informacji lub nieautoryzowanego jej przetwarzania przez pracowników. Producenci mają różne podejścia: od automatycznej klasyfikacji informacji i podążania za treścią, rejestrując przy tym wszystkie dokumenty i podążając za treścią, przez kryptograficzne odciski do wykrywania fragmentów na pewnym poziomie prawdopodobieństwa oraz detekcja wystąpienia żądanego wzorca. Zazwyczaj w przypadku wykrycia naruszenia założeń polityki rozwiązanie DLP blokuje transmisję, całkowicie uniemożliwiając przesłanie pliku. Istnieje jeszcze drugie podejście, które zakłada mniej restrykcyjne ograniczanie interfejsu użytkownika, ale powiadamianie go o możliwym naruszeniu polityki bezpieczeństwa w organizacji. Podejście to daje szansę prowadzenia polityki edukacyjnej, gdyż świadomy zagrożenia pracownik, który będzie także wiedział, że w przedsiębiorstwie wykorzystuje się rozwiązanie ochrony informacji, będzie bardziej odpowiedzialny.

Centralizowane DLP

Rozwiązanie chroniące przed wyciekiem danych może dobrze wpasować się w rozwiązania ochrony firmy, jeśli będzie wprowadzone w punkcie styku z Internetem. Istotnym zadaniem takiego sieciowego DLP jest optymalizacja kontroli, by inspekcja DLP obejmowała tylko te połączenia, w których może rzeczywiście być transmitowana poszukiwana informacja. Zatem nie ma potrzeby dokonywać inspekcji ruchu maszyna-maszyna, natomiast trzeba analizować ruch wychodzący HTTP. W przypadku większości urządzeń sieciowego DLP z powodzeniem można zrealizować schemat takiej inspekcji, w której ruch jest kategoryzowany na podstawie protokołu, a nie portu. Ochrona DLP dotyczy wtedy tych segmentów i aplikacji, które mogą zawierać dane umieszczone przez użytkownika, zatem niezbędny narzut mocy obliczeniowej jest znacząco niższy niż przy inspekcji całego ruchu.

Własne typy danych

W każdym przypadku warto mieć rozwiązanie, które umożliwi inspekcję według własnych wzorców. Oczywiście standardowe wykrywanie numerów kart płatniczych jest przydatne, ale nie wszystkie przedsiębiorstwa posiadają takie informacje. W przypadku polskich firm jest to szczególnie rzadkie, gdyż autoryzacje transakcji odbywają się przez przekierowanie do stron uznanych partnerów biznesowych, zatem nie ma powodu, dla którego takie dane mogą znajdować się w typowych polskich organizacjach. Zupełnie inaczej rzecz się ma w przypadku danych osobowych czy medycznych. Zatem ważnym etapem wdrożenia systemu, który ma chronić infrastrukturę firmy, jest opracowanie wzorców identyfikujących poufne dokumenty i jednocześnie minimalizujących liczbę fałszywych alarmów. Przy okazji identyfikacji danych osobowych można wykorzystać wzorzec numeru PESEL, przy czym dobry algorytm analizy uwzględnia sumę kontrolną. To samo dotyczy rachunków bankowych w formacie IBAN i NRB - można je połączyć z informacją o pracowniku, który te informacje wysłał. Dzięki temu udaje się odróżnić wiadomości wysyłane przez dział marketingu, które zawierają takie informacje, od wiadomości wysyłanych przez dział, który ich raczej wysyłać nie powinien. Jednocześnie motor DLP powinien mieć wzorzec numeru firmowego rachunku bankowego i wystąpienia takiego wzorca powinny być traktowane inaczej niż wysyłane z wewnątrz firmy nieznane numery kont bankowych.

Jeśli firma ma własny szablon do dokumentów poufnych, należy na jego podstawie opracować wzorzec i stosować go do wszystkich kanałów komunikacji. Z kolei zwykłe dokumenty firmowe również powinny być monitorowane, gdy są przesyłane w niestandardowy sposób, na przykład przez formularz uploadu do strony WWW. Opracowanie firmowego szablonu i wprowadzenie go do standardowych szablonów edytora tekstu bardzo jest tutaj pomocne. Dzięki rozróżnianiu poszczególnych aplikacji oraz kategoryzacji ruchu można wyeliminować wiele fałszywych alarmów, upraszczając przy tym proces wdrożenia i redukując obciążenie motoru DLP.