I buoni pennarelli tendono ad avere tre qualità: un'attenzione al dettaglio mentre si segue un processo flessibile in modo che nulla venga perso, la pazienza di continuare a fare qualcosa quando hanno la sensazione che ci sia "qualcosa lì" e un sacco di esperienza (che è il modo in cui hanno il "budello" in primo luogo)
I pen-testers scadenti seguono un rigido elenco di checklist (indipendentemente dai risultati durante il test) e utilizzano gli strumenti di base e riportano semplicemente l'output dello strumento al client. I buoni tester delle penne possono esaminare i risultati e comprendere e discutere il rischio reale associato alle vulnerabilità.
I pen-testers poveri non comprendono tutte le implicazioni delle vulnerabilità scoperte dai loro strumenti. I buoni pennarelli hanno visto, o possono prevedere, come una vulnerabilità può essere sfruttata ulteriormente, o in che modo è possibile combinare più vulnerabilità per creare un rischio maggiore. I buoni tester di penna possono anche raccomandare di compensare i controlli tecnici oltre alle raccomandazioni più immediate.
I pen-testers poveri sono spesso opachi nel loro processo. I buoni tester di penna sono felici di mostrare il loro funzionamento, i loro registri e anche (forse più importante) discutere di ciò che non hanno testato, e perché.
I poveri tester di penne a volte credono, e persino dicono ai loro clienti, che un risultato di test pulito significa che i sistemi che stanno testando sono "sicuri"! I buoni tester di penna capiscono anche il ruolo dei test delle penne come parte di un programma generale di governance della sicurezza e che il loro lavoro potrebbe non avere copertura al 100% e sono solo un'istantanea dello stato di sicurezza al momento del test.