Verdier skal beskyttes slik at risiko for sikkerhetstruende virksomhet reduseres til akseptabelt nivå. Risikoreduksjon oppnås gjennom etablering av menneskelige, fysiske, elektroniske og/eller organisatoriske sikkerhetstiltak.

Sikkerhetstiltak og -prosedyrer etableres som balansert sikring i form av barrierer, deteksjon, verifikasjon og reaksjon. Sikringen må etableres slik at det tar lenger tid å gjennomføre en uønsket hendelse (eks. innbruddstid) enn det tar å håndtere den Dette betegnes "positivt tidsregnskap".