Las estructuras homogéneas de grandes ordenadores son parte del pasado. Las estructuras informáticas descentralizadas actuales, en parte reforzadas por la conexión directa entre socios y clientes por Internet, cuentan con nuevas vulnerabilidades y fallos de funcionamiento que son reparadas, con más o menos rapidez, por los fabricantes de software. Para algunos programas, la asistencia está completamente configurada, con lo que, sin mayor esfuerzo, el usuario está en el lado seguro. Los cortafuegos y antivirus protegen contra ataques externos, pero el surgimiento de nuevas vulnerabilidades puede poner en riesgo la seguridad del sistema rápidamente. Los escáneres de vulnerabilidades son una herramienta útil para sistemas de redes complejas, sin embargo, no son suficientes.
Aquí, el penetration testing desempeña su labor más importante: en primer lugar, revisa los sistemas con mayor dedicación que una comprobación de seguridad común y, por otro lado, tiene como objetivo fundamental comprobar la interacción de los componentes individuales. Si incluyes un pentester externo, obtendrás un punto de vista adicional y una perspectiva diferente acerca del concepto de seguridad subyacente. Los pentester profesionales están especialmente capacitados y proceden de manera similar a como lo haría un atacante. A menudo, los resultados muestran vulnerabilidades en tu red que, de otra manera, probablemente nunca hubieras descubierto.
Sin embargo, la cooperación con un comprobador externo también está asociada a ciertos riesgos. Debes partir de la base de que este obtendrá una visión de tu red interna durante la ejecución del test. Adicionalmente, siempre existe la posibilidad de que la prueba de penetración cause daños irreparables, incluso si la realizas tú mismo. Cabe resaltar que los pentests implementan diferentes medidas de seguridad que se ejecutan de fondo durante todo el día y que, por lo tanto, conllevan la desventaja de que solo proporcionan una impresión instantánea de tus sistemas de red. Como consecuencia, no es recomendable fundamentar una estructura de seguridad sobre la base de pruebas de penetración, ni tampoco renunciar a los mecanismos tradicionales de seguridad.
Por último, la llamada ingeniería social no forma parte de los riesgos que comprobaría una prueba de penetración clásica. Muchos proveedores de servicios ofrecen la verificación de las vulnerabilidades humanas en las empresas, incluyendo, opcionalmente, formación especializada.