Depende.
Lo primero que debes preguntarte, es qué tan valiosa es la información que posee dicho servidor.
Por ejemplo:
¿Qué pasaría si algún empleado interno actualizara la base de datos con información incorrecta?
¿Qué impacto tendría el que dicha información saliera de la empresa y llegara a manos equivocadas?
¿Qué impacto tiene el quedarse sin dicha información?
Debes evaluar los diferentes impactos de diferentes escenarios, y en base a ello, determinar si se compensa el hecho de proteger, y el nivel de protección, de la base de datos.
Si el impacto de que la información salga de la empresa y que caiga en en manos de terceras es alto (afecta la imagen de la empresa, desvela estrategias futuras que pueden aprovechar los competidores, pone en peligro a las personas, etc.) entonces el cifrado del disco duro es un costo en tiempo/esfuerzo muy bajo a comparación de lo que supondría que la información cayera en las manos equivocadas.
Dependiendo de lo valiosa y crítica que sea la información puedes elaborar un plan de seguridad (pequeño o grande, dependiendo siempre) que establezca los riesgos a los que te enfrentas y las políticas de seguridad que podrían mitigar dicho riesgo, además de un plan de contingencia para actuar en caso de que se materialice alguna amenaza.
Por ejemplo:
Robo físico: se puede mitigar con un acceso biométrico (huellas, etc) al área del servidor.
Protección de la integridad y confidencialidad de la información: cifrado completo del disco duro, cambio de contraseñas frecuentes, etc. Manejo de políticas entre los empleados, definir bien quienes tendrán acceso al servidor y hacerles saber la responsabilidad que poseen a partir de ahora con el manejo de la información, así como las sanciones correspondientes en caso de que se incumplan las políticas, etc.
Si la base de datos almacena datos que no son críticos o relevantes, pues con unas cuantas medidas bastaría para mitigar los riesgos. Pero siempre: política de cambio de contraseñas, concientización de los empleados (de la información que manejan), definir roles y responsabilidades entre quienes utilizarán el servidor, cifrado del disco, backup frecuentes.
Si la base de dato almacena datos completamente irrelevantes, donde el mayor costo de que se lleven el disco es el costo económico del mismo, no tiene mucho sentido el implementar alguna medida, salvo definir responsabilidades entre quienes tendrán acceso físico al mismo.
El manejo de los empleados es muy importante, muchas de las fugas de información provienen de empleados descontentos o despedidos, así que debes ponerle atención, no solo al área técnica.
Espero haberte ayudado un poco.
Saludos
