Nel migliorare la sicurezza di un'organizzazione, sembra che un controllo di codice, procedure, politiche, infrastrutture, ecc. esistenti sia assolutamente sufficiente a rivelare eventuali carenze di sicurezza o di policy, e quindi una dimostrazione effettiva di tale carenza anche se un test di penetrazione commissionato non sarebbe necessario.
Quali benefici, quindi, i test di penetrazione "Red Team" forniscono ad un'organizzazione al di là del beneficio ottenuto attraverso un audit. Inoltre, ci sarebbe un vantaggio significativo nel contrattare con un'impresa per condurre regolari test di penetrazione contro un'organizzazione oltre agli audit di sicurezza altrimenti programmati?