Geef medewerkers alleen toegang tot de data en systemen die nodig zijn voor het uitvoeren van hun taak. Dit geldt zowel voor accounts als voor fysieke toegang. Dit beperkt de handelingen die een aanvaller kan uitvoeren indien deze zich toegang verschaft. Ook beperkt het de gevolgen van eventuele fouten van gebruikers.
Beperk ook de toegang van serviceaccounts, machine-accounts en functionele accounts tot het noodzakelijke. Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Het toebedelen van minimale rechten wordt ook wel het principle of least privilege genoemd. Limiteer hierbij ook het gebruik van beheerrechten.
Zorg daarnaast dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Verander standaardwachtwoorden van apparatuur en systemen bij installatie of ingebruikname.
Zorg dat u processen heeft voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers. Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Ontneem accounts van vertrekkende medewerkers direct toegang tot data en systemen. Verwijder ongebruikte accounts. Deactiveer serviceaccounts, en activeer deze alleen wanneer onderhoud plaatsvindt.