Skuteczna ochrona infrastruktury IS wymaga wielu ukrytych elementów – takich jak ukryte kamery monitorujące, czujniki i detektory – oraz całego okablowania, które je obsługuje. Ale dobra ochrona wymaga również kilku dobrze widocznych elementów. Ważne jest, aby zastanowić się, które urządzenia są najlepiej ukryte, aby je chronić, a które powinny być widoczne jako środki odstraszające. Urządzenia jawne to takie, które są widoczne dla pracowników i gości lub których obecność jest sugerowana przez inne widoczne przedmioty, takie jak tablice ostrzegawcze. Te widoczne urządzenia, które sugerują, że istnieje jakieś zabezpieczenie, mają na celu odstraszenie wichrzycieli, tak aby wszyscy oprócz najbardziej zdeterminowanych napastników udali się gdzie indziej. Przykładami są kamery monitorujące, kontrola dostępu, widoczne skrzynki alarmowe i widoczne czujniki. Chociaż większość jawnych urządzeń jest aktywnych i rejestruje dane, niektóre mogą być niedrogimi urządzeniami zastępczymi, które tylko wyglądają realnie, być może z wolno migającymi lampkami kontrolnymi, aby wzmocnić efekt. Ukryta ochrona nie może być jednak widoczna ani dla gości, ani osób wtajemniczonych. Nic nie może wskazywać, że te zabezpieczenia istnieją, czym są, jak mogą funkcjonować lub gdzie się znajdują. Najbardziej efektywne systemy bezpieczeństwa działają w ukryciu; przykłady obejmują ukryte i ciche alarmy, ukryte systemy wczesnego ostrzegania, czujniki obwodowe i zbliżeniowe, monitory dostępu i wiele innych urządzeń monitorujących, których nie widać. Ważne jest również, aby ukryć okablowanie, które łączy wszystkie systemy ochronne i obsługujące je media. Niezależnie od tego, czy jakakolwiek część systemu jest widoczna, czy nie, okablowanie, które ją łączy, nie powinno być. Chociaż jawne urządzenia mogą same w sobie być podatne na ataki, generalnie będą reklamować, że jest tu dobra ochrona i każdy w obiekcie może czuć się bezpiecznie. Jednak widoczne urządzenia mogą być czasami zakryte lub pomalowane w sprayu, strącone pałką lub wystrzelone, aby je wyłączyć. Doświadczony złodziej może również pokonać wiele ukrytych systemów, jeśli wie, czym one są, gdzie się znajdują lub w jaki sposób są połączone. Inne podejście do ochrony obejmuje oszustwa. Fikcyjne urządzenia, które wyglądają jak kamery monitorujące, urządzenia kontroli dostępu i czujniki alarmowe, można umieścić w taki sposób, aby przyciągnąć wichrzycieli, którzy mogą pomyśleć, że mogą fizycznie uszkodzić, wyłączyć lub obejść system. Te widoczne urządzenia mają na celu odwrócenie uwagi potencjalnych wichrzycieli i odwrócenie ich od wrażliwych obszarów. Niektóre urządzenia są zwodnicze, ponieważ nie są tym, czym się wydają, ale w rzeczywistości są czujnikami alarmowymi do pomiaru ruchu, bliskości, dźwięku lub wszystkiego, co zakłóca działanie urządzenia. Podstępne urządzenia są często używane w celu odwrócenia wichrzycieli z dala od osób narażonych na niebezpieczeństwo i infrastruktury, oferując im „honeypot”: atrakcyjny cel, który odwraca ich uwagę, ale często cel wyposażony w urządzenie alarmowe, kamery monitorujące lub inne sposoby identyfikacji sprawcy i zbieranie dowodów. Istnieje szara strefa między tym, co kierownictwo może zgodnie z prawem zrobić, aby chronić swoje systemy informacyjne, a tym, co może być nieetyczne lub niezgodne z prawem. Kierownictwo ma prawny i powierniczy obowiązek ochrony ludzi i mienia, a zwolennicy oszustwa twierdzą, że te techniki są coraz bardziej niezbędne do ochrony organizacji. Inni twierdzą, że jest to pułapka lub narusza prawa do prywatności. Stanowe i lokalne przepisy i interpretacje są bardzo zróżnicowane i podlegają ciągłym zmianom. Konieczne jest dokładne sprawdzenie z lokalnymi urzędnikami, doradcami prawnymi i ubezpieczycielami, aby określić, co jest dopuszczalne i jak zarządzać takim ryzykiem. Kierownictwo musi następnie zdecydować, w jakim stopniu te techniki mogą być skuteczne i czy wystarczą mniej kontrowersyjne podejścia. Niezależnie od tego, czy same urządzenia zabezpieczające są jawne, ukryte czy oszukańcze, systemy bezpieczeństwa za nimi nie mogą być oczywiste. Nikt, kto widzi lub wie o elementach systemu bezpieczeństwa, nie powinien być w stanie wydedukować szczegółów systemu, jego funkcjonalności ani miejsca i sposobu monitorowania. Obserwator może zauważyć określone urządzenie lub produkt lub sugestię standardowego rozwiązania zabezpieczającego dostawcy, ale szczegóły systemów ochrony muszą pozostać niejasne, a całe okablowanie, które je obsługuje, musi być ukryte lub zamaskowane. Wszyscy zaangażowani muszą znać zasady i procedury bezpieczeństwa. Widoczne znaki powinny informować, że każdy wchodzący na teren obiektu może być monitorowany, podobnie jak cała komunikacja. Wszystkie zasady i procedury bezpieczeństwa powinny być zrozumiane i zaakceptowane przez wszystkich zaangażowanych. Pracownicy i inny personel zakładowy powinni przechodzić okresowe szkolenia i instrukcje dotyczące bezpieczeństwa. Powinny istnieć okresowe ćwiczenia i ćwiczenia w zakresie bezpieczeństwa w celu przetestowania procedur i wzmocnienia szkolenia. Wreszcie ochrona nie może być nachalna. Bezpieczeństwo nie może w żaden sposób ograniczać produktywności ani wydajności IS. Zamiast tego ochrona musi przyczyniać się do poczucia bezpieczeństwa i ochrony w miejscu pracy, a tym samym zwiększać produktywność