Para diseñar el programa de seguridad de la información, será necesario que el gerente de seguridad se desplace entre los controles generales y de nivel de aplicaciones.
Entre las Categorías de controles de seguridad, por su mecanismo tenemos:

Los controles son los componentes principales que se deben tener en cuenta cuando se desarrolla una estrategia de seguridad de la información.

• Los tipos de controles se pueden categorizar por los mecanismos: Físicos (controles de acceso físico), Técnicos (controles tecnológicos) y administrativos (PNPs)
• Los controles también se categorizan por su propósito: proactivos (directivos, disuasivos, preventivos) y reactivos (detectivos, correctivos, restauradores, compensatorios)

Su elección debe basarse en diversos factores, entre otros, que se garantice su efectividad, que no sean demasiado costoso o restrictivos para la actividades de negocio
Un control es un medio para gestionar un riesgo, por lo tanto la implementación de un control debe ser justificado por un riesgo

Controles generales: son actividades de control que ofrecen soporte de forma centralizada a toda la organización. El termino controles generales se utiliza para describir todos los controles que se aplican a la infraestructura. Estos controles son generalmente actividades de control que respaldan un sistema operativo, una red y seguridad de instalaciones. También pueden incluir procedimientos centralizados de administración de usuarios.
Controles de nivel de aplicación: En los casos en que la información especifica, no centralizada del negocio esta respaldada por la tecnología, las actividades de control de esa tecnología se conocen como controles de nivel de aplicación.

Categorías de Controles (por su propósito):

• Preventivos: inhiben los intentos de violaciones a la política de seguridad e incluyen controles como ejecución de control de acceso, encriptación y autenticación (detener)
• Detectivos: advierten acerca de violaciones o intentos de violación a la política de seguridad e incluyen controles como pistas de auditoría, métodos de detección de intrusos y sumas de control (checksum)
• Correctivos: recuperan o rectifican las vulnerabilidades. Los procedimientos de respaldo y restablecimiento son una medida correctiva porque permiten recuperar un sistema en caso de que el daño haya sido tan extenso que no se puede continuar con el procesamiento si no s recurre a medidas correctivas
• Compensatorios: compensan por un aumento en el riesgo, al añadir pasos de control que mitigan el riesgo; por ejemplo, agregar un componente de pregunta/respuesta o doble factor de autenticación de seguridad a controles de acceso débiles puede compensar la deficiencia
• Disuasivos: generan advertencias que desaniman al atacante, pueden evitar posibles riesgos como letreros de advertencia en las pantallas de inicio de sesión o recompensas por el arresto de intrusos (hackers).