El documento define los controles como procesos diseñados por la gerencia para lograr los objetivos de una organización de manera razonable y segura. Explica que existen tres tipos de controles: preventivos para evitar eventos no deseados, de detección para identificar dichos eventos una vez ocurridos, y correctivos para remediar las circunstancias que permitieron actividades no autorizadas. Además, señala que estos controles preventivos, de detección y correctivos deben adaptarse a cada caso específico en la evaluación de la seguridad