API Security
API Security
En demasiadas empresas, las APIs no están diseñadas, catalogadas o administradas de manera uniforme, lo que significa que un equipo a veces duplica las APIs ya creadas por otro equipo, que las APIs creadas por un equipo no pueden ser fácilmente entendidas y aprovechadas por los desarrolladores en otros lugares, y así sucesivamente. Las APIs bien diseñadas deben ser consistentes, intuitivas y estar bien documentadas para facilitar su consumo por parte de los desarrolladores.

Por esta razón, las APIs no deben considerarse como «middleware» solo, sino como productos que permiten a los desarrolladores trabajar de forma ágil y receptiva, aprovechar los activos digitales con mayor facilidad y experimentar e iterar más rápidamente. Muchas empresas exitosas han formado equipos APIs dirigidos por un administrador de productos APIs para ayudar a garantizar que las APIs sean diseñadas de manera consistente para el consumo intuitivo del desarrollador, bien respaldadas con documentación y otros recursos, actualizadas y mantenidas en función de los patrones de los usuarios y las necesidades comerciales cambiantes, y protegidas contra amenazas.

Desde los datos del cliente hasta la información del inventario y desde las aplicaciones heredadas hasta los microservicios, las APIs exponen los valiosos datos y la funcionalidad de una empresa, haciéndolos análogos a las puertas y ventanas de la empresa. Del mismo modo que poner una puerta alrededor de una casa no disminuye la necesidad de cerraduras en esas puertas y ventanas, cada API es un punto de acceso potencial que necesita ser asegurado.

Afortunadamente, muchas empresas han avanzado desde este enfoque, utilizando la administración de APsI para mediar el acceso a las APIs, monitorear su uso y automatizar el registro, la incorporación, la autenticación y la educación del desarrollador.

Aún así, todavía es común que las empresas apliquen estas precauciones sólo a algunas de sus APsI, ya sea debido a una gobernanza desigual, atajos tomados para alcanzar plazos agresivos de sprint, la creencia de que las APIs a medida no destinadas a la reutilización no requieren administración; existen muchas otras posibles razones. Este enfoque parcial es similar a poner cerraduras en las ventanas que permiten vislumbrar los objetos de valor más impresionantes, dejando las puertas desprotegidas.

APISERVICE cuenta con un partnership con 42Crunch, líder mundial en seguridad de APIs. Lo cual nos permite ofrecer un servicio de monitoreo permanente de seguridad.

42crunch

Artículos interesantes sobre API Security

OWASP API Security Top 10

OWASP API Security Top 10

Proyecto OWASP API Top 10 Continuando con la publicación anterior, ahora desarrollaremos las vulnerabilidades que el proyecto  OWASP API Top 10 ha identificado. API1 - Autorización de nivel de objeto roto (Broken Object Level Authorization) Las API tienden a exponer...

leer más
API Security – Seguridad en la Era de las Interacciones

API Security – Seguridad en la Era de las Interacciones

Las formas en que las empresas atraen interactúan y sirven a los clientes han cambiado profundamente en los últimos años. Los canales tradicionales dedicados dieron paso a una combinación de canales discretos aumentados por sitios web y aplicaciones, que a su vez...

leer más
APIs y Seguridad por diseño

APIs y Seguridad por diseño

Seguridad en la estrategia de APIs. Las API exponen datos, servicios y transacciones, creando activos para compartir y reutilizar. La ventaja es la capacidad de aprovechar la energía creativa de los constituyentes internos y externos para crear nuevos productos y...

leer más