¿Cumple su IA con la normativa? Regístrese hoy

Industria

Por qué los CISO están haciendo de la seguridad de las API una prioridad máxima

November 29, 2022

Roey Eliyahu
CEO & Co-founder

El mandato de un CISO es empoderar a la empresa para avanzar en iniciativas clave de crecimiento y, al mismo tiempo, reducir el riesgo. Para ello, deben evaluar y sopesar continuamente las ramificaciones de seguridad de muchas iniciativas estratégicas, sopesando en última instancia el impacto potencial en los siguientes aspectos de una empresa:

  • Velocidad de comercialización
  • Ventaja competitiva
  • Reputación de marca

Al centrarse en cómo su infraestructura de seguridad contribuye o entorpece el avance en esos tres frentes, los CISO contribuyen al éxito empresarial. En el panorama actual, ha surgido una nueva área que está intrínsecamente conectada con las tres dinámicas empresariales: el uso de las API para impulsar la innovación.

Las API se están comiendo el mundo

Las API son esenciales para que las empresas apoyen sus iniciativas de transformación digital innovadoras y generadoras de ingresos. Los servicios de banca abierta, los servicios móviles y en línea, las aplicaciones para compartir información digital, DoorDash, Uber, PayPal, Spotify, Netflix, Tesla — lo que sea — todos requieren API para funcionar.

Las empresas están desarrollando y lanzando API más rápido y en mayores cantidades que nunca. Las API permiten a las empresas crear y lanzar servicios avanzados al mercado, abriendo nuevas vías de negocio y fuentes de ingresos. La digitalización aceleró esta tendencia, y la COVID-19 aceleró su implementación. Las empresas tuvieron que desplegar rápidamente servicios remotos para trabajadores y clientes y crear integraciones de productos para soportar una miríada de dispositivos, todo lo cual exigía API. No es de extrañar que el centro público de API Postman alcanzara la cifra récord de 20 millones de usuarios a principios de este año.

Sin embargo, debido a que las API comparten datos altamente sensibles con clientes, socios y empleados, también se han convertido en un objetivo muy atractivo para los atacantes. Los CISO han reconocido el riesgo.

Según un nuevo estudio publicado por AimPoint Group, W2 Communications y CISOs Connect, El Informe de los CISO, Perspectivas, desafíos y planes para 2022 y más allá, los CISO identificaron los siguientes como sus principales componentes de TI que necesitan mejoras de seguridad:

  • API — 42%
  • Aplicaciones en la nube (SaaS) — 41%
  • Infraestructura en la nube (IaaS) — 38%

Las API impulsan la velocidad de comercialización

Cuanto más rápido una empresa pueda lanzar nuevos servicios al mercado, más rápidos serán los beneficios. Para algunas empresas (durante la COVID-19), la velocidad de comercialización significó la diferencia entre mantener el negocio en funcionamiento o cerrar las operaciones. El uso de API garantizó que las organizaciones pudieran seguir operando.  

Las empresas siempre deben evaluar el valor y los costos en términos de ganar o perder la carrera por la velocidad de comercialización. Deben considerar los obstáculos que podrían impedir la velocidad de comercialización. En el caso de las API, las amenazas de seguridad plantean un obstáculo enorme. Pueden ralentizar los lanzamientos o — lo que es peor — hacerlos insostenibles.

Al proteger las API de la explotación, las empresas aseguran su capacidad para impulsar la velocidad de comercialización, las oportunidades de crecimiento y la ventaja competitiva.

Las API ofrecen una ventaja competitiva

La rapidez en la salida al mercado es un factor subyacente importante que contribuye a la ventaja competitiva de una organización. Como pioneras en la industria, las empresas tienen la oportunidad de hacerse con la mayor parte de un mercado y sus beneficios.

En los servicios financieros, la ventaja competitiva es un objetivo empresarial crítico, y la transformación tecnológica es su componente estratégico central. Las empresas FinTech han impulsado las expectativas de los clientes, y la banca abierta les sigue de cerca, ofreciendo una innovación y comodidades inimaginables al vincular fácilmente aplicaciones móviles a cuentas bancarias.

Las instituciones bancarias y financieras deben mantenerse a la vanguardia de estos servicios para competir y seguir siendo relevantes. Las API potencian estas capacidades y permiten a las instituciones adelantarse a la competencia.

Sin embargo, las amenazas de seguridad y la falta de cumplimiento normativo pueden comprometer la implementación exitosa de las API y resultar en multas costosas. Las empresas deben garantizar un paso seguro entre las aplicaciones emergentes y los valiosos datos financieros de los clientes. Las API representan el punto de acceso a la PII y otros activos de datos importantes que los atacantes tienen como objetivo para su propio beneficio y en detrimento del negocio.

El enfoque de seguridad adecuado protege la reputación de la marca

Sin reputación de marca, las empresas pierden su ventaja competitiva. Quizás de todas las áreas de riesgo empresarial, la reputación de la marca es la más grande y puede tener el impacto más duradero. Una reputación de marca positiva transmite integridad, irradia confianza y genera lealtad del cliente.

Las API contribuyen a servicios que pueden mejorar la reputación de una marca por ser innovadora y orientada al cliente. Sin embargo, si esas API se ven comprometidas, todo lo bueno se disipa en un instante, reemplazado por la desconfianza, el miedo y la pérdida de clientes.

No obstante, el despliegue creciente y rápido de las API, combinado con su lógica de negocio única, hace que su seguridad sea compleja. Las soluciones de seguridad tradicionales, como los WAF y las pasarelas API, podrían funcionar contra ataques básicos, pero no protegen contra la creciente cantidad y complejidad de los ataques a las API. Investigaciones recientes muestran que el tráfico de ataques a las API está creciendo a más del doble del ritmo del tráfico general de las API.

Seguridad API dedicada: el coste de hacer negocios

Las oportunidades de crecimiento monetario que prometen las API son inmensas, pero para aprovecharlas, los CISO deben garantizar la protección de sus API. Las API soportan la interconectividad de las joyas de la corona de una empresa: los datos esenciales y sensibles que las empresas requieren para ofrecer sus bienes y servicios digitales.

Toda empresa que desarrolla software se ha convertido en una empresa impulsada por API. Para las empresas impulsadas por API, proteger esas API ya no es una cuestión, es simplemente el coste de hacer negocios en un panorama digitalmente transformado. Sin una seguridad API dedicada para proteger estas herramientas de conectividad cruciales, las empresas ponen todo en riesgo: la rapidez en la salida al mercado, la ventaja competitiva y la propia marca.

Por último, pero no menos importante, los CISO deben construir un enfoque colaborativo para la seguridad de las API. Las API afectan a todas las áreas del negocio. Los CISO deben desempeñar un papel activo en la educación de los equipos sobre sus iniciativas de seguridad de las API y su importancia para reducir los riesgos de la empresa. Los CISO deben proporcionar las respuestas y los conocimientos que empoderen a otros para ayudar a cumplir los objetivos de seguridad.

Un CISO tras otro le dirá que crear una cultura sólida, multifuncional y "consciente de la seguridad" sigue siendo su prioridad número uno. Para generar esta mentalidad de seguridad, los líderes deben priorizar las relaciones, reconocer la contribución de todos a la seguridad, y comunicar continuamente la importancia vital de la seguridad para lograr los objetivos empresariales generales.

Este artículo apareció por primera vez en Forbes como una contribución del Consejo Tecnológico de Forbes.

Para obtener más información sobre cómo Salt puede ayudar a defender a su organización de los riesgos de las API, puede contactar con un representante o programar una demostración personalizada.

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones