Seguridad: ¿la está tomando en serio?

Por febrero 1, 2018

¿Cuándo piensa implementar APIs en su empresa, usted tiene en cuenta la seguridad?

Si usted no había pensado en ello, o no había dado la debida importancia al tema, por favor, usted necesita leer este artículo antes de continuar…

Recientemente leí un artículo escrito por Sam Macklin, él es analista de marketing y especialista en estrategia, diseño, administración y seguridad de APIs en la API Academy. Hablaba de la importancia de pensar de forma anticipada sobre la estrategia de seguridad al momento de la definición de un programa corporativo de APIs.

Se ha citado también el informe de una encuesta realizada por Freeform Dynamics (patrocinada por CA Technologies) con un grupo de empresas digitales de comportamiento disruptivo (“Digital Disrupters”) afirmando que la seguridad de las APIs está entre las principales preocupaciones de esas empresas. Para acceder a la encuesta, haga clic aquí.

Esta preocupación no es en vano. Estas empresas saben que una API tiene el poder de exponer su backend a una serie de amenazas graves. También saben que la seguridad de las APIs no es algo que se pueda agregar a la infraestructura en cualquier momento, como un firewall o un antivirus. La seguridad es algo que debe ser parte integrante desde el principio de su estrategia de definición, uso y exposición de las APIs.

Me pareció bastante curioso y pensé cómo este tema ha sido enfrentado por las empresas en el mercado LATAM. En los últimos meses, he estado particularmente involucrado en algunas competencias contra players nacionales e internacionales de gestión de APIs y he llegado a la conclusión de que algunos clientes todavía no lo están tomando tan en serio como deberían…

Muchas empresas justifican esta baja preocupación con seguridad diciendo que las APIs serán utilizadas sólo para integraciones internas o en aplicaciones internas, es decir, no se expondrán a desarrolladores externos o usuarios finales. Lógicamente, cuando tenemos este escenario, la preocupación por la seguridad puede ser menos urgente. Lo que acaba sucediendo es que las empresas sólo invierten en seguridad cuando es realmente primordial para los negocios y eso acaba siendo un gran error, apunta el informe.

Lo que hemos visto es que estas APIs, inicialmente desarrolladas para uso interno, posteriormente terminan siendo reutilizadas para proyectos que exigen exposición externa, es decir, a largo plazo es mucho más eficiente proveer mecanismos de seguridad robustos desde el principio de creación de sus APIs que tener que revisar eso allá adelante.

Sabiendo eso, ¿qué necesitamos preocuparnos para tener una solución robusta de seguridad de APIs?

El principal es centralizar el proceso de seguridad de todas las APIs. En realidad, la idea es separar la parte de seguridad de todo el resto a través del cual todo el tráfico de las APIs debe pasar y tratar como parte de una infraestructura central de API. Las soluciones de gestión de APIs más seguras lo permiten.

Otros puntos importantes que deben evaluarse:

  1. Busque saber si la solución de gestión de APIs tiene alguna certificación de seguridad (¡FIPS 140-2 y Common Criteria son buenos ejemplos!);
  2. Consigue proteger de forma directa contra ataques y amenazas REST y SOAP (Cross-Site Scripting, XML Flood/ Encapsulación/ Virus, Replay Attacks, Resource Hijack, XPath/ SQL Injection, entre otras)
  3. Puede gestionar accesos utilizando estándares de mercado e integrarse con soluciones de IAM.

¡Siguiendo esta línea, puedo afirmar, sin miedo de equivocarse, que hoy el CA API Management es la solución de gestión de APIs más segura del mercado!

Escrito por Leandro Deffente
Solution Account Manager – Security & API Management CA Technologies
LinkedIn: @leandrodeffente