A crescente consolidação do software como infraestrutura central das empresas, impulsionada pela inteligência artificial (IA), trouxe agilidade ao desenvolvimento, mas também elevou os riscos de ciberataques. Diante desse cenário, a segurança de aplicações (AppSec) se torna crucial. Especialistas apontam oito tendências que moldarão o futuro da AppSec até 2026.
Ameaças impulsionadas por IA
De acordo com Wagner Elias, CEO da Conviso, a IA tem sido utilizada tanto para construir quanto para explorar vulnerabilidades em softwares. “A mesma inteligência artificial usada para construir aplicativos passou a ser empregada também para explorá-los. Por poucos dólares por mês, cibercriminosos já conseguem identificar e explorar vulnerabilidades”, afirma.
O que antes exigia equipes especializadas, infraestrutura pesada e semanas de trabalho agora cabe em alguns cliques e acelera o ciclo de ataque. — Wagner Elias, CEO da Conviso
Essa dinâmica exige que a AppSec atue desde a concepção do código, integrando-se ao ciclo de desenvolvimento para antecipar usos abusivos da IA, mapear padrões de ataque e proteger a aplicação em todas as suas camadas.
Estima-se que os investimentos globais em segurança da informação alcancem US$ 240 bilhões em 2026, impulsionados pela adoção de IA tanto no ataque quanto na defesa.
Tendências da AppSec para 2026
Confira as oito tendências que vão moldar o futuro da AppSec:
- IA na criação de código e riscos: A IA já é responsável por uma parcela significativa do código de produção global, mas também acelera a propagação de falhas e cria vulnerabilidades.
- Governança sobre IA: A governança do código produzido pela IA se torna tão crítica quanto a própria segurança, exigindo KPIs, métricas de risco e integração com a engenharia.
- Supply chain de software como vetor de ataque: Bibliotecas open source, pacotes de terceiros e APIs criam uma cadeia de suprimentos digital frágil, tornando ataques a fornecedores e dependências contaminadas cada vez mais comuns.
- Superfície de ataque em expansão: Microsserviços, nuvem híbrida, integrações e sistemas legados ampliam os pontos vulneráveis, exigindo mapeamento e governança da superfície de ataque.
- Foco no impacto, não em falhas: A métrica mais importante passa a ser o impacto das vulnerabilidades no negócio, e não a quantidade de falhas existentes.
- Dados substituem intuição: Decisões baseadas em dados, como histórico de falhas e tempo de correção, orientam investimentos e prioridades.
- Shift Left como padrão: A segurança entra antes da criação do código, com análise de requisitos e revisão de arquitetura para impedir o surgimento de falhas.
- Cultura como última linha de defesa: O fator humano continua decisivo, exigindo uma cultura de segurança integrada ao DNA das pessoas.
Marcia Tosta, CISO e Top Women in Cybersecurity, ressalta a importância da cultura de segurança: “Um trabalho de segurança é bem-feito quando ninguém precisa perguntar se está seguro no final. Isso só acontece quando está no DNA das pessoas”.
Apesar dos avanços em IA e automação, a cultura de segurança e a governança do uso da IA são essenciais para mitigar os riscos e garantir a proteção das aplicações.
