Determinar la probabilidad de que el sistema específico bajo evaluación podría verse comprometido por un atacante con acceso a los equipos conectados a la red de la empresa. Investigación de si o no un atacante podría penetrar el sistema, sin la compañía que proporciona más información que naturalmente estarían disponibles para los usuarios legítimos.