W kolejnym kroku niezbędne jest rozpoznanie wrażliwych danych. Do tego celu najlepiej użyć rozwiązań do wykrywania wrażliwych danych, które mogą zapewnić dość dokładne zlokalizowanie i sklasyfikowanie wszystkich wrażliwych informacji.

Następnie należy ustalić, która zawartość wymaga ochrony. Przy klasyfikowaniu pomocne mogą okazać się na przykład przepisy mówiące o ochronie danych osobowych lub wynikające z zasad ochrony danych stanowiących własność intelektualną organizacji. Takie rozróżnienie jest ważne, ponieważ zmienia ono nie tylko sposób identyfikowania treści, ale także raportowania - aby zapewnić ich zgodność muszą zostać spełnione nie tylko wymogi stawiane przez odpowiednie przepisy, ale także zasady raportowania niezbędne na potrzeby audytu. Z kolei do zabezpieczenia własności intelektualnej istotne jest np. rozróżnienie, czy dotyczy to kodów źródłowych, plików CAD czy innych.

Kolejnym, ważnym krokiem jest rozpoznanie potencjalnych dróg wycieku w organizacji, co pozwoli określić typ potrzebnego produktu. Takie kanały to m.in. poczta elektroniczna czy używanie pamięci USB w urządzeniach końcowych. Na tym etapie należy pamiętać, że jest to próba powstrzymania incydentalnych (niezamierzonych) wycieków danych. Jeżeli chce się zatrzymać zamierzone wycieki, to jest to zadanie znacznie trudniejsze i wymagające zaangażowania środków mających istotny wpływ na działanie biznesu.

Określenie zasad polityki to jeden z końcowych etapów wdrożenia. Z chwilą zainstalowania rozwiązania, konieczne staje się utworzenie reguł polityki zapewniających rozpoznawanie rzeczywistej treści, która ma być kontrolowana, oraz tego, jak będzie kontrolowana. Wszystkie poprzednie kroki mają pomóc w utworzeniu właściwych zasad polityki DLP.

Ostatni etap wdrożenia to testowanie rozwiązania, umożliwiające dostrojenie reguł polityki do potrzeb organizacji. Na tym etapie ważne jest też uświadomienie wszystkim pracownikom zasad polityki DLP i zapewnienie środków jej egzekwowania. Należy ustalić priorytety i harmonogram wdrażania poszczególnych etapów polityki, aby nie spotkać się ze zbyt dużym oporem "czynnika ludzkiego", który lepiej znosi zmiany ewolucyjne, gorzej - rewolucyjne.

Pracownicy mogą różnymi kanałami wyprowadzać wrażliwe dane i mogą to być działania nieświadome lub intencjonalne. Najlepsze na rynku produkty DLP nie zapewnią bezpieczeństwa danych, jeżeli pominie się czynnik ludzki.

Procesy ochrony danych muszą więc uwzględniać także szkolenie - właściciele danych i ich użytkownicy powinni być stale informowani o obowiązujących regułach polityki bezpieczeństwa danych.

Jednym z "popularniejszych" kanałów wycieku danych jest poczta elektroniczna - jej użytkownicy mogą bez trudu wysłać wrażliwą informację poza sieć przedsiębiorstwa jednym kliknięciem. Dlatego duże znaczenie mają tu właściwie zdefiniowane reguły polityki i pełne uświadomienie zagrożeń pracownikom. Reguły te powinny jasno określać rodzaje treści, które nie mogą być wysyłane. Stałe informowanie pracowników o schematach socjotechniki stosowanej w internecie może zmniejszyć ryzyko kliknięcia na niewłaściwym linku czy załączniku.

Zagrożenia pojawiają się także w sieciach społecznościowych, takich jak Facebook czy Twitter. Wielu napastników wykorzystuje takie portale do tych samych niecnych celów, w jakich wykorzystuje się pocztę elektroniczną i komunikatory. Programy uświadamiania pracowników muszą więc uwzględniać również tego rodzaju zagrożenia.

Innym poważnym problemem jest dostęp do dużo większej liczby aplikacji, niż wynika to z rzeczywistych potrzeb pracownika. Dla nielojalnych osób jest to znakomita okazja do pozyskiwania wrażliwych danych, które potem można sprzedać lub wykorzystać przy zmianie pracy. Najlepszą ochroną jest tu zapewnianie pracownikom tylko takiego dostępu, jaki jest im niezbędny do wykonywania swojej pracy.