Limitare l'accesso alle informazioni ed ai servizi di elaborazione delle informazioni secondo il criterio del „need to access‟ ovvero alle effettive e legittime necessità operative di ciascun soggetto è fondamentale per evitare la perdita o il furto di dati: limitare l’accesso alle informazioni internamente aiuterà a ridurre anche la possibilità di un hacker di trovare punti di accesso alle informazioni. Quindi diventa necessario capire e definire quali sono i ruoli in azienda e dare accesso alle informazioni secondo il criterio di necessità. Inoltre, le responsabilità relative alla sicurezza delle informazioni devono essere definite e assegnate.
I compiti e le aree di responsabilità in conflitto tra loro vanno separati per ridurre le possibilità di uso improprio, modifica non autorizzata o non intenzionale degli asset dell'organizzazione.
Il controllo degli accessi in base agli attributi è un sistema di autorizzazione che definisce l'accesso in base agli attributi associati a entità di sicurezza, risorse e ambiente.
L'uso delle condizioni di assegnazione di ruolo offre tre vantaggi principali: