Tilpass hva slags informasjon som gis ut og til hvem basert på mål og omfang for testen. Eksempelvis vil det ofte være naturlig å informere ekstern driftsovervåkning i forkant av en test, men ikke nødvendigvis brukere og driftspersonell.
Implementasjon
1. Kommunikasjon
Før en penetrasjons test skal gjennomføres er det viktig at de relevante interesse parter blir informert før det begynner.
Om bedriften har innleid ekstern driftsovervåkning kan det være greit å gi dem informasjon på forhånd om hva det er som skal testes. Dette er for å forhindre eventuell panikk eller forvirring når de legger merke til angrepene. Det kan også være en vurdering og ikke informere om dette, for å se om de faktisk ser angrepene, men da er det greit å ha en klar informasjons gang ved oppdagelse.
Det er ikke alltid nødvendig å informere de ansatte i bedriften, med mindre deres daglige jobb vil bli påvirket av testen. Dette er på bakgrunn av social Engineering som vil teste de ansatte. Ved å begrense informasjonen om testen i virksomheten kan bedriften vedlikeholde testen sin integritet og effektivitet.