Al mejorar la seguridad de una organización, parece que una auditoría del código, procedimientos, políticas, infraestructura, etc. existentes sería absolutamente suficiente para revelar cualquier deficiencia de seguridad o política, y por lo tanto una demostración real de esa deficiencia a través de una prueba de penetración comisionada sería innecesaria.
¿Qué beneficio, por lo tanto, proporciona la prueba de penetración del "equipo rojo" a una organización más allá del beneficio obtenido a través de una auditoría? Además, ¿habría un beneficio significativo en la contratación con una firma para realizar pruebas de penetración regulares contra una organización además de las auditorías de seguridad programadas de otra manera?