API Security

En demasiadas empresas, las APIs no están diseñadas, catalogadas o administradas de manera uniforme, lo que significa que un equipo a veces duplica las APIs ya creadas por otro equipo, que las APIs creadas por un equipo no pueden ser fácilmente entendidas y aprovechadas por los desarrolladores en otros lugares, y así sucesivamente. Las APIs bien diseñadas deben ser consistentes, intuitivas y estar bien documentadas para facilitar su consumo por parte de los desarrolladores.

Por esta razón, las APIs no deben considerarse como «middleware» solo, sino como productos que permiten a los desarrolladores trabajar de forma ágil y receptiva, aprovechar los activos digitales con mayor facilidad y experimentar e iterar más rápidamente. Muchas empresas exitosas han formado equipos APIs dirigidos por un administrador de productos APIs para ayudar a garantizar que las APIs sean diseñadas de manera consistente para el consumo intuitivo del desarrollador, bien respaldadas con documentación y otros recursos, actualizadas y mantenidas en función de los patrones de los usuarios y las necesidades comerciales cambiantes, y protegidas contra amenazas.

Desde los datos del cliente hasta la información del inventario y desde las aplicaciones heredadas hasta los microservicios, las APIs exponen los valiosos datos y la funcionalidad de una empresa, haciéndolos análogos a las puertas y ventanas de la empresa. Del mismo modo que poner una puerta alrededor de una casa no disminuye la necesidad de cerraduras en esas puertas y ventanas, cada API es un punto de acceso potencial que necesita ser asegurado.

Afortunadamente, muchas empresas han avanzado desde este enfoque, utilizando la administración de APsI para mediar el acceso a las APIs, monitorear su uso y automatizar el registro, la incorporación, la autenticación y la educación del desarrollador.

Aún así, todavía es común que las empresas apliquen estas precauciones sólo a algunas de sus APsI, ya sea debido a una gobernanza desigual, atajos tomados para alcanzar plazos agresivos de sprint, la creencia de que las APIs a medida no destinadas a la reutilización no requieren administración; existen muchas otras posibles razones. Este enfoque parcial es similar a poner cerraduras en las ventanas que permiten vislumbrar los objetos de valor más impresionantes, dejando las puertas desprotegidas.

APISERVICE cuenta con un partnership con 42Crunch, líder mundial en seguridad de APIs. Lo cual nos permite ofrecer un servicio de monitoreo permanente de seguridad.

42crunch

Artículos interesantes sobre API Security

Claves para que comercios mejoren la seguridad y experiencia digital en este CyberDay

Estos eventos de venta masiva generan una gran demanda de transacciones sobre los sistemas de las empresas que participan en ellos, las que deben ocuparse de mejorar la experiencia digital para el usuario final, con el fin de entregar seguridad y efectividad en los...

Ciclo de Webinars APISERVICE – GOOGLE

Durante este segundo semestre estaremos realizando un ciclo de Webinar con nuestro socio de negocio Google, en donde profundizaremos sobre estrategias para el Journey Cloud, la Modernización de la aplicaciones, la implementación de programas de APIs empresariales y la...

OWASP API Security Top 10

Proyecto OWASP API Top 10 Continuando con la publicación anterior, ahora desarrollaremos las vulnerabilidades que el proyecto OWASP API Top 10 ha identificado. API1 - Autorización de nivel de objeto roto (Broken Object Level Authorization) Las API tienden a exponer...

API Security – Seguridad en la Era de las Interacciones

Las formas en que las empresas atraen interactúan y sirven a los clientes han cambiado profundamente en los últimos años. Los canales tradicionales dedicados dieron paso a una combinación de canales discretos aumentados por sitios web y aplicaciones, que a su vez...

Necesitas más información? Contáctanos