Az átvilágításra kerülő területek egyike – a kritikusság szempontjából kiemelkedőnek számító –, a felhasználói jogosultságok kezelése. A szabályozottság, dokumentáltság, nyomon követhetőség és a valós állapot tükrözésének képessége itt is elvárás. Annak érdekében, hogy megfelelő kontrollal rendelkezzünk ezen az igen kényes területen, szabályoznunk kell azon folyamatokat, melyeket egy új felhasználó belépésekor, munkakör betöltésekor, munkakör módosításakor, helyettesítéskor, illetve kilépéskor végre kell hajtani - beleértve az adminisztratív és dokumentációs feladatokat is. Abban az esetben, ha minden eljárásrendet kialakítottunk, audit során bizonyítanunk kell azt, hogy ettől nem történt eltérés, tehát a folyamatot megkerülve más jogosultságok nem lettek kiosztva, nem maradt ki semmi visszavonás esetén.

A feladat nagyságából és összetettségéből adódóan mindezt csupán szabályozással, eljárásrendekkel, illetve manuális legyűjtésekkel megvalósítani rendkívül nehézkes, időigényes feladat és az eredménye is megkérdőjelezhető.

Gyakorlati tapasztalatok alapján azon vállalatoknál, ahol egységesített jogosultságkezelő rendszer (IdM) került bevezetésre ezen feladatok elvégzése leegyszerűsödött, illetve a rendszerből kapott kép valósághoz viszonyított állapota is megfelelő volt.

Az IdM rendszer képes a belső szabályozások mentén automatizálni a jogosultságok kiosztását, módosítását, és visszavonását egyaránt. Egy megfelelően kiválasztott és kialakított rendszer képes az egyedi elvárásoknak is eleget tenni; a delegálási és helyettesítési folyamatokat egyidejűleg kezelni, valamint több audit szempont szerinti elemzést biztosítani - elkerülve a manuális munka erőforrás igényét. Ilyen lekérdezés lehet például az egyes végponti rendszerekben meglévő felhasználók és jogosultságaik valós idejű lekérdezése, illetve az egymást kizáró jogosultságok vizsgálata, ami kialakítástól függően megvalósulhat akár üzleti, akár informatikai szerepkörök alapján.

Az IdM megoldások az elmúlt időszakban kulcsszerepet kaptak minden olyan szervezetben, ahol a jogosultságok kezelésében történő hibalehetőség jelentős üzleti károkat okozhat. A pénzügyi szektor szereplői emelték be elsők között a technológiát IT-biztonsági alkalmazásaik közé, azonban ennek hasznosságát és jelentőségét már egyre több nagyvállalat ismeri fel. Ennek oka, hogy nem szektorfüggő a jogosultságkezelés biztonsági kockázata, hiszen az informatikai rendszereket használó alkalmazottak számával arányosan nő azok azonosság- és jogosultság-kezelésében történő hibalehetőség.

Míg korábban elsődlegesen a kívülről érkező támadások elleni védekezés volt a fókuszban, az elmúlt években már nagyobb figyelmet kapnak a belső védelmi megoldások is, az információ-védelem szükségessége miatt. Így a biztonsági auditok alkalmával mindkét szempont vizsgálatára számítani kell.