Alla företag har information som man vill skydda. Det kan vara konversationer mellan medarbetare, rapporter, kunduppgifter, information om konton och ekonomi och så vidare. I ett modernt företag är dessa uppgifter så klart också digitaliserade och finns tillgängliga för de medarbetare som behöver dem. Digitaliseringen har gjort livet lättare för många företag, och många är helt beroende av fungerande nätverk och en IT-struktur bestående av servrar, olika mjukvaror och så vidare.
Men denna smidighet har en stor nackdel, som blir ett allt större problem i och med att komplexiteten i systemen växer; nämligen illasinnade attacker i syfte att förstöra eller komma över känslig information. Hackerattacker, som dessa kallas i folkmun, är inte alltid illasinnade, men ofta är de det. Dessutom kan de pågå under en lång tid utan att de märks. Det betyder att all information som under en period lagras på ett företags interna system enkelt kan hämtas och därefter delas eller användas mot företaget i utpressningssyfte.
För att skydda sin känsliga information är det viktigt för ett företag att ta säkerheten på allvar. Det är inte alltid man har medarbetare som är kompetenta nog inom IT för att på egen hand skydda sina och företagets uppgifter på ett hållbart sätt. Då får man ta hjälp utifrån med att skapa säkerhetslösningar. Många säkerhetsföretag erbjuder fortlöpande säkerhetstjänster inom IT, där de både hjälper till att ta fram anpassade säkerhetssystem, utbildar personalen och även utför organiserade, simulerade attacker mot företagets system i syfte att avslöja brister i säkerheten. En sådan medveten, simulerad attack kallas penetrationstest.
Penetrationstester har förekommit inom nätverkssystem ända sedan nätverkens barndom på 60-talet. Det var inom det amerikanska försvaret som penetrationstester började utvecklas och implementeras och ända sedan dess har testen blivit alltmer sofistikerade och effektiva. Samtidigt har förstås komplexiteten i attackerna blivit större och för att upptäcka och avvärja fullskaliga attacker krävs i regel en mängd olika säkerhetslösningar. Ett penetrationstest är bra eftersom det leder till att man kan upptäcka vägar att ta sig in, men för att finna spår efter tidigare intrång krävs andra tekniker som IT-forensik.
Ett penetrationstest kan utföras av säkerhetsföretaget själva eller i samarbete med personalen. I det förra fallet försöker säkerhetsföretaget angripa systemet och ta sig in för att komma över känslig information utan att personalen på det berörda företaget märker det. Utifrån detta kan man sedan identifiera luckorna och ge förslag på hur de kan täppas till.
I det senare fallet får personalen själva försöka avvärja en pågående attack och agera enligt ett på förhand bestämt säkerhetsprotokoll. En bra övning för personalen som får en realistisk bild av hur en attack går till och hur man, åtminstone tillfälligt, kan avvärja den.