Ci sono molte occasioni in cui l'utilizzo di più ruoli riduce drasticamente il rischio.
Ad esempio, una persona che ha accesso a un ambiente di sviluppo, nonché a un normale ambiente utente. Non vorrei qualcuno con privilegi di sviluppo in userspace, quindi aspetterei due account separati, uno che funziona solo in dev e uno che funziona solo in utente. In questo esempio, le attività registrate potrebbero essere diverse in ogni ambiente.
Per un altro esempio, potresti avere una persona che solleva normalmente i pagamenti nella loro area, ma in determinate occasioni deve produrre rapporti in più aree di pagamento. potresti fornire loro l'accesso al pagamento iniziale in un'area e visualizzare solo l'accesso in tutte le aree, oppure puoi assegnare loro il normale account per il ruolo del giorno e un altro specifico per il ruolo di rapporto.
Se disponi di più ruoli per un individuo, utilizzi una matrice di combinazioni tossiche per garantire che i ruoli che hanno non possano essere utilizzati per sovvertire i controlli di 4 occhi ecc.
È non più difficile da tracciare le azioni fintanto che controlli e registri tutte le attività che possono presentare un rischio.