De rol die iemand speelt in een bedrijf bepaalt welke rechten hij heeft. Een verkoper moet immers toegang krijgen tot klantgegevens. Zodra iemands rol in de organisatie verandert, wijzigen ook zijn rechten. De IT-afdeling moet bepalen of de dienst direct wordt uitgeleverd, of dat de dienst pas beschikbaar wordt zodra de gebruiker er om vraag, of wellicht pas nadat de rechthebbende de kerngebruiker verzoekt om de dienst te gebruiken. Doordat klassieke werkplekken worden vervangen door plaats- en tijdonafhankelijk werken, moeten er meer risicobeperkende maatregelen worden genomen om informatie te beschermen.
Menig bedrijf verandert in een 24 uursbedrijf, want op elk moment kan iemand van waar dan ook ter wereld op het netwerk inloggen om werk te verrichten. Een IT-leverancier heeft echter periodes van inactiviteit nodig om upgrades en patches te installeren. Diensten moeten op zulke momenten dus niet beschikbaar worden gesteld.
