O software se consolida, de forma cada vez mais definitiva, como a principal infraestrutura das empresas. Bancos, varejistas, indústrias, operadoras e plataformas digitais hoje operam sobre milhões de linhas de código, APIs, microsserviços e integrações em nuvem.
A diferença é que, agora, toda essa construção se tornou ainda mais ágil com a incorporação da inteligência artificial, que acelerou ciclos de desenvolvimento e reduziu drasticamente o tempo entre a concepção, produção e uso.
Essa nova velocidade, no entanto, trouxe um efeito colateral relevante: quanto mais rápido o software evolui, maior também é o risco. “A mesma inteligência artificial usada para construir aplicativos passou a ser empregada também para explorá-los. Por poucos dólares por mês, cibercriminosos já conseguem identificar e explorar vulnerabilidades. O que antes exigia equipes especializadas, infraestrutura pesada e semanas de trabalho agora cabe em alguns cliques e acelera o ciclo de ataque”, afirma Wagner Elias, CEO da Conviso.
Segundo o executivo, o desafio agora é acompanhar essa nova dinâmica, em que inovação e ameaça evoluem praticamente no mesmo ritmo. “Nesse novo contexto, a segurança de aplicações (AppSec) também muda. Ela passa a atuar desde a concepção do código, integrada ao ciclo de desenvolvimento, antecipando usos abusivos de IA, mapeando padrões de ataque e protegendo a aplicação em todas as suas camadas”, diz.
Não é por acaso que o Gartner prevê que os investimentos globais em segurança da informação devem alcançar US$ 240 bilhões em 2026, crescendo cerca de 12,5% ao ano, impulsionados justamente pela adoção de IA tanto no ataque quanto na defesa.
Acompanhe, de forma resumida, oito tendências que vão moldar esse novo ciclo da AppSec no Brasil e no mundo:
1 – A IA vai escrever a maior parte do código, e também dos riscos
A produção de software entrou em escala industrial. Ferramentas de programação com IA já são responsáveis por 24% do código de produção global, chegando a 29% nos Estados Unidos, segundo a Aikido. Nos próximos anos, esse número deve ultrapassar 60%. “Isso exige thresholds e governança para garantir segurança”, reforça Dalson Souza, cyber security manager – Vivo. O problema é que a IA também acelera a propagação de falha e cria vulnerabilidades que podem ser replicadas milhares de vezes no mesmo ecossistema.
2 – Governança sobre IA vira tão crítica quanto a própria segurança
A segurança saiu da retaguarda da TI e foi parar no board. KPIs, métricas de risco, integração com engenharia e impacto financeiro passaram a definir o programa de AppSec.
“A segurança já começa na concepção. Isso mudou completamente o cenário dos últimos anos”, afirma Márcia Tosta, CISO e TOP WOMEN IN CYBERSECURITY – Latin America 2020 e 2022.
A IA reduziu ruído e aumentou a capacidade analítica, mas também multiplicou riscos em escala. Por isso, governar o código que a IA produz virou uma função de negócio.
“Proteger aplicações passa, então, a ser um diferencial competitivo — e não apenas um requisito de conformidade”, conta Wagner Elias.
3 – O supply chain de software vira o principal vetor de ataque
O maior risco já não está no código que a empresa escreve, mas no que ela consome. Bibliotecas open source, pacotes de terceiros, APIs e SaaS criaram uma cadeia de suprimentos digital altamente interconectada e altamente frágil.
“Sem inventário de aplicações, repositórios e pipelines, você não tem visibilidade real do risco”, alerta Teógenes Panella, head of information security – LWSA.
Ataques a fornecedores, dependências contaminadas e zero-days em componentes externos se tornaram um dos maiores vetores de incidentes.
4 – A superfície de ataque continua explodindo
Microsserviços, cloud híbrida, integrações e sistemas legados ampliam exponencialmente os pontos vulneráveis. Cada nova API traz produtividade e uma nova porta de entrada. Mapear e governar essa superfície passa a ser tão estratégico quanto proteger o core do sistema.
5 – AppSec deixa de contar falhas e passa a medir impacto
A métrica que importa não é mais quantas vulnerabilidades existem, mas quais podem parar o negócio. “Antes, era comum levar dezenas de falhas ao board. Hoje, levamos apenas o que realmente importa para a operação”, afirma Dalson Souza.
6 – Dados substituem feeling
Com ambientes complexos e ataques automatizados, decisões baseadas em intuição não escalam. Histórico de falhas, tempo de correção, exposição por sistema e risco por dependência passam a orientar investimentos e prioridades.
7 – Shift Left vira padrão
A segurança entra antes do código existir. Análise de requisitos, revisão de arquitetura, PRs automatizados e pipelines inteligentes impedem que falhas nasçam.
“Eu investiria em Shift Left desde a concepção, com IA atuando já nessa etapa”, diz Teógenes Panella.
8 – Cultura vira a última linha de defesa
Mesmo com IA e automação, o fator humano continua decisivo.
“Um trabalho de segurança é bem-feito quando ninguém precisa perguntar se está seguro no final. Isso só acontece quando está no DNA das pessoas”, afirma Márcia Tosta.
Segundo a Checkmarx, 91% das empresas admitem lançar aplicações com vulnerabilidades conhecidas. Nos EUA, 43% já tiveram incidentes severos ligados ao uso de IA no código.
“A mesma IA que acelera a inovação também amplia o risco. A saída não é bloquear, é governar”, resume o CEO da Conviso.
