L'obiettivo primario di un penetration test è garantire che i dati rimangano integri ed accessibili, nei tempi previsti, ai soli utenti che ne hanno facoltà. Il sistema informatico deve essere in grado d'impedire l'accesso abusivo ai dati, sia da parte di utenti non autorizzati che da eventi accidentali.
Si esegue un'analisi attiva e passiva del sistema informatico dell'azienda per individuare eventuali punti deboli e vulnerabilità: queste problematiche possono derivare dalla progettazione, implementazione o gestione del sistema, e potrebbero essere sfruttate per compromettere la sicurezza del sistema e quindi i dati dell'azienda.
La finalità è evitare che un attaccante malintenzionato – esterno o interno – o una instabilità del sistema possano impattare sulla confidenzialità, integrità e disponibilità dei dati.
I problemi di sicurezza rilevati verranno presentati al titolare dell'azienda in un report, insieme a una valutazione dell'impatto, a una soluzione tecnica o, se non possibile, a un rimedio di attenuazione delle criticità.
È necessario operare previo contratto che autorizzi le attività, regolandone gli obiettivi e la tempistica e soprattutto le sole risorse interessate.