Для начала нужно определиться с защищаемой информацией - составить четкий и определенный перечень. Затем понять значимость информации каждого вида из перечня. Т.е. понять уровень потерь в случае ее утечки. После этого - как можно нейтрализовать / компенсировать / нивелировать эти потери. Какие действия нужно предпринять. Эти действия будут зависеть от разных факторов. От значимости информации, от способа ее утечки, от ваших ресурсов..... Чему то можно придать видимость глупой шутки, чему то дезы, а что то придется срочно перестраивать...