Зависит от того где нужно шифровать (не говоря о более примитивных рисках типа чтения с экрана, флэшек и т.д.) , можно всюду, на каждом шаге (Диск OS, Файл OS, Сервис-Файл ОС, Сеть, DB/Таблица/Поле/строка в DB).

Вообще опасных этапов несколько:
Хранение данных в файлах базы данных на диске
Данные во временных файлах на диске
Доступ к файлам
- из операционной системы (пароли на учётках),
- сети (FireWall, шифрование пакетов, аутентификация пользователей, ограничение по IP/MAC, сертификаты и т.д.)
- и на железе (криптование физического диска/носителя)
Последнее можно делать и родными средствами OS типа BitLocker (диск), EFS (файлы/директории),
а так-же RDBMS встроенной функциональностью типа TDE (некоторые файлы), ну и много чем ещё сторонним..

Кроме файлов есть ещё доступ через/к RDBMS (пользователи/пароли/сертификаты, опять-же FireWall {порты/сервисы/станции/пользователи и т.д.}),
методы безопасности данных/контроля доступа внутри RDBMS, затем передача данных опять-же по протоколам (сетевым, выше перечислены основные методы) и дальше вопросы безопасности на клиенте.

Практически на каждом шаге всё может шифро-криптоваться ключами/сертификатами и пр.

Если TDE не доступен (из-за редакции SQL Server) - то можно конечно весь диск на BitLocker (начиная с "Windows Vista" - с 2006-го) подсадить, или только выбранные файлы через EFS ("Windows 2000" - с 1999-го) , оба метода по ресурсам на конвертации практически совсем ничего заметного не потребляют, лучше конечно BitLocker т.к. он поновее и безопаснее..
но это ведь только малая часть всей системы потока данных - может утечь много ещё где.