Definir la seguridad se lo puede hacer de muchas maneras, he visto aplicaciones que tienen definida hasta el rango de horas en las que un usuario (dependiendo del rol que tenga) puede entrar a los diferentes formularios de la aplicación.

El tema de seguridad y auditoría es un modulo más en tu aplicación. Tratandolo de hacer de una manera poco compleja lo primero que toca hacer es definir todos los roles. Luego a cada rol definirles las pantallas a las que tendrán acceso. Y al momento de crear un usuario deberá asignarsele un rol, y cuando este usuario se autentifique se buscará en la base de datos los nombres de formularios a los que tiene acceso (según su rol) y de esa manera se le construirá el menú correspondiente, así solo podrá acceder a ciertos formularios.

Dependiendo de la cantidad de datos que se manejen se podrá establecer el tipo de respaldo, hacer un respaldo consume recursos del servidor de base de datos, por lo que no se lo debe de hacer cuando tienes a todos los usuarios conectados, pero sí cuando todos se van a su casa o a la hora del almuerzo. Pero es riesgoso hacer un solo respaldo diario, pues que pasaría si acostumbramos a sacar respaldos al final de cada día, sacas el respaldo el lunes de noche y el martes a las 15:00 ocurre algún error y se daña tu base, te toca restaurar el respaldo del lunes en la noche pero todo lo hecho el martes hasta las 15:00 se va a perder, para que no ocurra esto el respaldo sacado al final de cada jornada debe ser un tipo de respaldo total y sacar respaldos diferenciales a lo largo del día. Los respaldo se pueden efectuar automáticamente creando el device correspondiente y un job programado para que se ejecute cada cierto tiempo.

Saludos Cordiales