No hay que preocuparse por los usuarios privilegiados (O: Controlando acciones, no personas)
En todas las organizaciones, los usuarios necesitan acceso a diferentes recursos para poder realizar su trabajo. Dichos recursos pueden ser datos, aplicaciones, derechos de administración del sistema, capacidades de aprobación para diferentes procesos, etc. La mayoría de los usuarios terminarán teniendo un conjunto de permisos que presentan un riesgo relativamente bajo para la empresa (así debiera ser, al menos). En otras palabras, si esos usuarios decidieran dañar a la organización, o si sus cuentas fueran comprometidas o robadas por atacantes externos, el nivel del daño que podrían infringir está suficientemente bajo control. Sin embargo, es inevitable que otros usuarios acaben teniendo ciertos permisos que suponen un riesgo mucho mayor. Los administradores del sistema podrían deshabilitar todas las cuentas corporativas, evitando que todos los empleados lleven a cabo sus funciones. Los propietarios de los datos podrían revelar información confidencial al público en general, causa