Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

avances tecnológicos

Asegurando la Economía de la API

Si posee un negocio y tiene el cargo de CEO, CIO o bien es responsable de una línea de negocio, necesita continuamente buscar formas de innovar, maniobrar y superar a su competencia. La economía colaborativa en que vivimos ofrece una oportunidad sin precedentes para unirse y asociarse con otros con el fin de hacer aquello en lo que uno es bueno para realizarlo aún mejor, siendo más convincente, o formando parte de una propuesta de valor más amplia. Nunca antes en la historia había sido tan sencillo hacerlo.

El argumento es el siguiente: hay capacidades que ustedes ofrecen y suministran mejor que nadie. Como resultado, desea aprovechar al máximo las fuentes de datos previamente aisladas y poner sus capacidades a disposición de otros. Para ello, es necesario conectarse más a la estructura de la «economía de la API».

En los últimos años se ha incrementado el interés en las API, más específicamente en las «API de Negocios» o en las «API Web»

El término API (Application Programming Interface – un programa que llama a otro programa a través de su API) ha existido desde hace mucho tiempo; sin embargo, en los últimos años se ha incrementado el interés en las API, más específicamente en las «API de Negocios» o en las «API Web». Las «API de Negocio» son bastante sencillas de entender: son interfaces centradas en los activos de la empresa, por ejemplo, un producto, un cliente o un pedido.

La «Economía de las API» se relaciona con el uso de las «API de Negocio» para impactar positivamente en una empresa o en una agencia gubernamental. Las iniciativas de API se centran principalmente en los impulsores de negocio relacionados con:

  • innovación
  • tiempo de comercialización más rápido
  • mejor distribución de activos
  • la creación de nuevas fuentes de ingresos conectando el mundo físico con el mundo online (estrategia omnicanal), y abordando nuevos clientes/industrias/geografías/casos de uso
  • mejora de la experiencia de los clientes

Una mayor participación y compromiso de los empleados es también un área de interés para muchas organizaciones.

Las API de Negocios facilitan la integración y conexión de personas, lugares, sistemas, servicios, datos, productos, cosas y algoritmos. Todas las industrias, todos los sectores verticales y corporaciones de todos los tamaños pueden extraer valor de sus datos y conectarse con otros, no solo las organizaciones tecnológicas. Las API ahora permiten que cualquier negocio se integre en el negocio de otras personas de una manera sin precedentes.

Ejemplos aleatorios de la Economía de la API incluyen entre otros:

  • Google ofrece Google Maps, una aplicación que un retailer o una firma dedicada a la gestión de viajes compartidos puede conectar a sus aplicaciones sin tener que crear su propio sistema de mapas.
  • Sistemas de pago PayPal o Stripe integrados con aplicaciones B2C
  • Uso de su cuenta de Facebook al iniciar sesión en varias apps
  • Los retailers brick-and-mortar, -basan su modelo de negocio solo en establecimientos físicos-, que desarrollan canales de ecommerce y aprovechan las API de backend para manejar aspectos como pagos, envíos, etc.
  • Sistemas de control de plagas con tecnología IoT con notificaciones automáticas de roedores capturados en trampas con conexión Wi-Fi.

El valor de la Economía de las API asciende a billones de dólares, según estima McKinsey.

De hecho, una interesante encuesta del sector sugiere que más de un tercio (35%) de las empresas genera el 25% o más de sus ventas de línea superior a través de APIs. ¡Una cifra asombrosa!

Pero he aquí el inconveniente: a medida que nos adentramos en un entorno cada vez más digital y con más datos, impulsado por la Economía de las API, se pone a los agentes del fraude sobre la pista de dichos datos, simplemente porque los datos (después del capital humano) son uno de los activos más valiosos que tienen las empresas. Y las API son la clave para esos datos.

Si la API es insegura, si sus cargas de trabajo o la navegación o las identidades online de los usuarios se ven comprometidas, se abre un vector de amenaza en el negocio y en el ecosistema de partners.

Conclusión: Cuando los líderes de negocio y los desarrolladores conectan datos dispares entre sí y los sistemas transaccionales centrales se ponen a disposición del público, esto aumenta la superficie de ataque para los agentes maliciosos, que ahora pueden infiltrarse en ecosistemas enteros a través de sus cadenas de suministro.

¿Cómo mitigar los riesgos en la economía de las API?

Como empresario en progreso que gana mercado aprovechando los ecosistemas de sus partners, lo último que desea es que los ciberdelincuentes roben sus datos confidenciales o sus activos financieros.

Como siempre, cuando se trata de seguridad TI, se debe adoptar una triple estrategia para minimizar los riesgos y mejorar la postura de ciberseguridad:

  • Personas: educar y concienciar continuamente a los usuarios para que los empleados se conviertan realmente en un «firewall humano» y puedan detectar un correo electrónico de phishing a un kilómetro de distancia.
  • Procesos: existen muchas buenas prácticas en torno a la copia de seguridad de datos, parches y respuesta a incidentes. Las mejores tecnologías no protegerán el negocio de los agentes maliciosos si se implementan y configuran incorrectamente. La reciente brecha de SingHealth en Singapur demuestra que no importa cuán avanzadas sean las herramientas de seguridad, si el personal o los procesos se «rompen», se encuentra en problemas y acapara mucha atención no deseada de manera que su reputación, sus ingresos o ambos se verán afectados.
  • Tecnología: si tiene intención de ser parte activa de la Economía de las API y ofrecer sus API a otros, será objetivo de brechas de seguridad si no piensa correctamente en implementación y el control de versiones. Empezar protegiendo las APIs con un marco de gobierno de servicios de aplicación, que se adapta al gobierno end-to-end para todos los tipos de servicios de red, es un buen punto de partida.

Además, y aún más importante, se deben proteger las cargas de trabajo; si no se ha hecho ya (tanto si las aplicaciones o servicios son on-premise y residen en las instalaciones de su infraestructura de TI tradicional, como si se encuentran fuera de las instalaciones en una nube pública o privada, o bajo un modelo de TI híbrido), y las identidades de sus empleados. Las tecnologías en torno a la seguridad de la red y la autenticación multifactor sin duda ayudarán a lograr este importante aspecto de asegurar la Economía de la API.

Deja un comentario

Scroll al inicio