Estado de la estrategia de aplicação : ¿Quién debería impulsar su estrategia de seguridad de API?
Hay al menos tres buenas respuestas y algunas no tan buenas.
La estrategia, sobre todo cuando se trata de tecnología, suele recaer sobre los hombros de los ejecutivos. Cuando se trata de estrategias relacionadas con la seguridad, el responsable suele ser el CISO o, si no existe tal función, el CIO.
Pero algunas organizaciones delegan la responsabilidad de impulsar las estrategias de seguridad de API a otros roles. Los desarrolladores, los SRE e incluso los profesionales de la red pueden ser los dueños de la estrategia para proteger las API hoy en día.
Quizás se deba a que no existe ninguna investigación real sobre cuáles podrían ser los resultados de esas decisiones. Después de todo, existen buenas razones para que los desarrolladores impulsen una estrategia de seguridad de API, así como también existen buenas razones para dejar esa responsabilidad en manos de todos aquellos que puedan tocar una API de alguna manera, ya sea durante el desarrollo, las pruebas o la producción.
En nuestra reciente investigación sobre seguridad de API, preguntamos a cada uno de nuestros encuestados (todos tomadores de decisiones de seguridad de API) qué roles en su organización eran responsables de impulsar la estrategia de seguridad de API. Encontramos una mezcla de respuestas, desde desarrolladores hasta profesionales de redes y enfoques interorganizacionales.
Pero también preguntamos algunos detalles esenciales sobre los tipos de servicios de seguridad que utilizan las organizaciones para proteger las API. Se trata de servicios como protección DDoS, control de acceso, mTLS y SSL. Utilizamos la implementación de estos servicios como una representación tangible de la ejecución estratégica porque son algunos de los controles necesarios para hacer cumplir las políticas derivadas de una estrategia de seguridad. Luego analizamos cuáles de esos servicios se implementaron en función de quién impulsa la estrategia de seguridad de API.
Francamente, quedamos atónitos con los resultados.
Resulta que el conjunto de servicios más completo se implementó cuando la estrategia de seguridad de API es una responsabilidad interorganizacional, seguida de cerca por la organización de seguridad más general y el liderazgo de CIO/CISO.
Quizás lo más preocupante es que cuando los SRE impulsan la estrategia de seguridad, la seguridad de la API no se incorpora hasta la fase de prueba del ciclo de vida de la API. Cuando se toman otras decisiones sobre la estrategia de seguridad de API, la incorporación de la seguridad de API comienza en gran medida en las fases de diseño o desarrollo. Incluso cuando los equipos de red impulsan la estrategia de seguridad de API, nos dicen que el desarrollo es la fase en la que se debe incorporar la seguridad de API.
Ahora bien, la buena noticia es que la mayoría de las organizaciones asignan la responsabilidad de definir la estrategia de seguridad de API a uno de esos tres. Solo un 8% lo delega en los desarrolladores, aún menos (3%) espera que lo manejen profesionales de la red y solo el 1% asigna esta tarea a los SRE.
Esto se alinea estrechamente con el dominio al que se asigna la seguridad de la API. Porque esa decisión está en gran medida influenciada por quién impulsa la estrategia. Cuando la estrategia de seguridad de API es impulsada por el liderazgo del CIO/CISO o se considera interorganizacional, la seguridad de API termina distribuyéndose en cuatro dominios típicos: Gestión de API, seguridad de aplicação , red y seguridad, pero separada de la seguridad de las aplicação . Dado que los servicios que defienden y protegen las API pueden abarcar múltiples dominios, eso tiene sentido.
Entonces, si su organización asigna la estrategia de seguridad de API al liderazgo del CIO/CISO, Seguridad, o la considera una responsabilidad interorganizacional, ¡felicitaciones! Su enfoque estratégico conduce a controles de seguridad integrales a través de servicios de seguridad que defienden y protegen las API de una amplia variedad de ataques.
Puede profundizar aún más en la vida secreta de las API leyendo el comunicado de prensa de hoy y consultando nuestro último informe . Allí encontrará estadísticas más alarmantes, pero también aprenderá más sobre las formas en que las API se utilizan realmente dentro de la empresa, así como las capacidades de seguridad que las organizaciones consideran importantes para mantener las API seguras.