Il primo passo nella creazione di profili di sicurezza utente è di identificare i ruoli richiesti dell'organizzazione. Poiché un'organizzazione può essere piuttosto grande, con molti utenti, è utile creare profili di sicurezza per gli utenti che condividono lo stesso accesso di sicurezza. Allo stesso tempo, è importante distinguere i diversi livelli di abilità tra gli utenti con profili simili. Anche se un operatore del caso tirocinante e un operatore del caso esperto lavorano entrambi sui casi, ci sarebbero limitazioni a determinate operazioni di business che l'operatore del caso tirocinante potrebbe eseguire. Ad esempio, un operatore del caso tirocinante è poco probabile che esegua riesami dei casi e non sarebbe responsabile delle approvazioni dei casi. Pertanto, non sono solo le funzioni principali a definire un ruolo utente ma anche i differenti livelli di utente. Organizzando i SID in una struttura gerarchica, i processi di business simili che sono condivisi tra vari utenti possono facilmente essere distribuiti senza dover dichiarare manualmente tutti gli elementi protetti per ciascun profilo utente.