Cílem je bezpečně odhalit slabiny dřív než útočník a ověřit účinnost kontrol. Testy pokrývají aplikace, infrastrukturu, API i sociální inženýrství podle předem daného rozsahu. Podstatné v praxi je povolení, časové okno a pravidla, aby nedošlo k ohrožení produkce. Výstupem je report s důkazy, dopady a prioritami nápravy, který musí někdo vlastnit. Retesty ověřují, že opravy skutečně fungují a nezavedly nové chyby. Pen_test je doplněk, ne náhrada bezpečného vývoje, code review a automatizovaných skenů. Ve veřejné správě se hlídá auditní stopa, klasifikace dat a oznamování incidentů. Špatně řízený test končí falešným pocitem bezpečí.
