Pentest: de compliance a diferencial competitivo
Hoje, o teste de penetração — ou pentest, como é mais conhecido — é praticamente um consenso como pilar de segurança. De acordo com o relatório, 97% das empresas o consideram essencial. Mais do que isso, sua função foi além da simples conformidade regulatória. Ele se tornou um verdadeiro diferencial competitivo, pois fortalece a confiança dos clientes e eleva a qualidade dos produtos e serviços.
Essa mudança de paradigma impulsionou uma transformação: o modelo programático. Empresas mais evoluídas abandonaram o pentest esporádico em favor de uma abordagem contínua, integrada diretamente ao ciclo de desenvolvimento de software e à gestão de riscos. É um passo importante para garantir que a segurança seja pensada desde o início, e não apenas como um check-list tardio.
A falha não está na ferramenta, mas na remediação
Apesar de toda essa maturidade e avanço, o relatório da Cobalt aponta um gargalo crucial: a remediação. É aqui que a teoria e a prática se chocam. Enquanto algumas empresas consideradas de alta performance conseguem resolver falhas críticas em cerca de 10 dias, outras, menos estruturadas, chegam a levar impressionantes 249 dias. Ou seja, um risco que deveria ser rapidamente corrigido pode permanecer exposto por mais de oito meses.
E o problema vai além: muitas organizações afirmam cumprir seus SLAs (Service Level Agreements), mas apenas 15% dos profissionais técnicos que lidam diretamente com o código concordam com essa perspectiva. Isso evidencia um claro desalinhamento entre a gestão que estabelece as metas e a operação que as executa.
Na prática, o que está acontecendo é que:
A segurança não falha por falta de ferramentas de ponta. Os recursos existem.
Ela falha, na maioria das vezes, pela ausência de uma execução operacional eficiente e bem coordenada.
Uma máxima popular entre especialistas resume bem o problema: “Pentest sem remediação é apenas diagnóstico. Segurança real começa quando o finding vira ação.” Não basta saber que há um buraco; é preciso tapá-lo.
Inteligência Artificial: segurança em terreno movediço
A adoção vertiginosa da Inteligência Artificial abriu um novo flanco de exposição. Os números são instigantes. Cerca de 83% das empresas hoje monitoram o comportamento de suas IAs para detectar uso malicioso ou abuso — um salto de 21% em um ano. Além disso, 77% realizam avaliações de segurança regulares e testes de penetração específicos para produtos de IA generativa, o que representa um aumento de 11%.
Mais da metade das organizações já utiliza testes de intrusão ou testes adversariais focados diretamente na segurança de modelos de linguagem grandes (LLMs). É um avanço e tanto, que mostra uma preocupação genuína com a segurança dessas novas ferramentas.
No entanto, esses dados precisam ser lidos com cautela. Apesar de todo esse monitoramento e testes, quase uma em cada cinco organizações sofreu um incidente de segurança relacionado à IA no ano passado. Ou seja, o monitoramento é vital, mas não suficiente para deter todas as ameaças.
A discrepância é ainda mais reveladora: enquanto 77% estão realizando avaliações, a confiança na postura de segurança de IA ronda os 50%. Isso sugere que os testes estão, de fato, revelando uma enxurrada de problemas, mas as equipes de segurança estão lutando para corrigi-los na mesma velocidade em que são encontrados. É mais um indício de que a velocidade de detecção, sem a agilidade na remediação, coloca as empresas em uma corrida contra o tempo.
O cenário para o pentest em 2026, e especialmente para a segurança da IA, pede uma reflexão mais profunda. A detecção de vulnerabilidades é apenas a primeira etapa. O verdadeiro desafio reside em construir processos de remediação que sejam tão rápidos e eficazes quanto os métodos para descobrir as falhas. Sem isso, a maturidade da segurança ofensiva corre o risco de ser apenas uma fachada, enquanto as portas dos sistemas continuam abertas para quem souber explorá-las.