Não se engane, a única forma de avaliar a segurança dos conhecimentos da sua empresa no espaço cibernético se dá através do ataque, indo além das atividades de Blue Team e Red Team. Esse ataque pode ocorrer por meio da contratação de um serviço pela área de SI (segurança da informação) visando a realização de testes e auditorias de segurança da informação na companhia (ISO 27007).

Dessa forma, envolve exames diversos, como testes de intrusão aos sistemas de informação (Pentest), detecção de vulnerabilidades, bem como descoberta de pontos de acesso piratas instalados na maioria das vezes por funcionários a revelia da direção (Wardialing e Wardriving, por exemplo), no que tange a segurança das comunicações.

Esses testes poderão ocorrer sem qualquer conhecimento prévio dos sistemas ou com a indicação das características, seja por fora da rede, simulando um ataque externo, ou por dentro, emulando alguém com acesso à estrutura. Não obstante, outro processo de suma importância é testar a eficiência da conscientização em torno de ataques sociais, que no geral, se dão por meio de técnicas de engenharia social a fim de sobrepujar os controles de acesso físicos e lógicos da sua organização.

Em suma, esse serviço carece de um contrato direto com o chefe de segurança visando mitigar o risco de comprometimento dos ativos da empresa. Em linhas gerais, tal procedimento poderá se valer de meios automáticos, como em casos de softwares voltados ao escaneamento de vulnerabilidades conhecidas, ou humanos, nos casos de Pentest e engenharia social, cabendo ao responsável pela segurança da informação acompanhar essa tarefa de modo a evitar infortúnios. Além disso, embora o processo completo possa levar várias semanas ou meses, é importante garantir que tudo ocorra da forma mais ligeira possível visando evitar que a rápida evolução tecnológica desatualize os dados produzidos.