As políticas de DLP podem abranger uma variedade de tópicos, incluindo classificação de dados, controles de acesso, padrões de criptografia, práticas de retenção e descarte de dados, protocolos de resposta a incidentes e controles técnicos, como firewalls, sistemas de detecção de intrusão e software antivírus.
Um grande benefício das políticas de proteção de dados é que elas estabelecem padrões claros. Os funcionários sabem quais são suas responsabilidades para proteger informações confidenciais e geralmente recebem treinamento sobre práticas de segurança de dados, como identificar tentativas de phishing, manusear informações confidenciais com segurança e relatar prontamente incidentes de segurança.
Além disso, as políticas de proteção de dados podem aumentar a eficiência operacional, oferecendo processos claros para atividades relacionadas a dados, como solicitações de acesso, provisionamento de usuários, relatórios de incidentes e auditorias de segurança.
Em vez de elaborar uma única política para todos os dados, as equipes de segurança da informação costumam criar políticas diferentes para os diferentes tipos de dados em suas redes. Isso ocorre porque os tipos de dados muitas vezes precisam ser tratados de maneira distinta para diferentes casos de uso, a fim de atender às exigências de conformidade e evitar interferir no comportamento aprovado de usuários finais autorizados.
Por exemplo, informação de identificação pessoal (PII), como números de cartão de crédito, números do seguro social, endereços residenciais e de e-mail, estão sujeitas a regulamentações de segurança de dados que vão determinar qual o tratamento adequado.
No entanto, a empresa pode fazer o que quiser com a própria propriedade intelectual (PI). Além disso, as pessoas que precisam de acesso a PII podem não ser as mesmas que precisam de acesso a PI da empresa.
Os dois tipos de dados precisam ser protegidos, mas de maneiras diferentes, portanto, são necessárias políticas de DLP distintas e adaptadas a cada tipo de dado.