BLOG | OFICINA DEL CTO

Invertir la API es la transformación digital que las empresas necesitan para participar y competir en una economía API

Miniatura de Rajesh Narayanan
Rajesh Narayanan
Publicado el 18 de octubre de 2022


Motivación, desafíos y oportunidades

Las interfaces de programación de aplicação (API), y posteriormente la economía API, se están convirtiendo rápidamente en facilitadores de la transformación digital. Si bien la mayoría de las empresas comprenden la mecánica de una API, pocas la han adoptado como un medio para aumentar su propio valor comercial. La economía API se refiere a todos los modelos de negocio, prácticas y activos que impulsarán la economía digital a medida que más empresas externalicen sus servicios a través de API. En esencia, la economía API permite a una empresa exponer de forma segura sus servicios y datos, generando a su vez valor para el negocio.

Todas las empresas almacenan datos y brindan servicios relacionados que tienen valor intrínseco pero que normalmente solo están disponibles internamente en la organización. Pero para participar y competir eficazmente en esta economía de API, una empresa también debe considerar dar un giro radical invirtiendo algunas de estas API. En el informe “Cómo las API crean crecimiento invirtiendo la empresa”, Benzell et al. describen cómo la exposición de API privadas aumenta el valor de una organización. Extendimos la frase a “ Invertir la API”, un proceso mediante el cual una empresa externaliza una API privada haciéndola disponible como socio o API pública .

Resumen rápido de las API

Las API permiten a los desarrolladores crear aplicações y productos con facilidad y agilidad. Facilitan la integración rápida de software de diferentes partes de una empresa e interactúan con servicios proporcionados a través de API de socios o API públicas.

Las API también pueden permitir la integración de nuevos servicios entre empresas al permitir el acceso a datos y el intercambio de capacidades compartidas. Es en este acceso a los datos donde las API ofrecen las oportunidades más atractivas y al mismo tiempo plantean los mayores desafíos y riesgos. Las API permiten a los usuarios acceder a datos de diferentes servicios de forma segura, sin tener que pasar por las medidas de seguridad de cada proveedor de servicios individual. Pero un diseño inadecuado de las API puede provocar que la organización exponga datos de forma inadvertida, lo que genera los numerosos desafíos que vemos hoy en la industria.

Según el informe State of the API 2022 de Postman, la “integración con los sistemas internos” fue la principal razón por la que las organizaciones decidieron consumir API, lo que proporciona la forma más sencilla para que las empresas participen en la economía digital. Esto es importante porque las herramientas de integración se convierten en un punto crucial cuando las empresas eligen su tecnología preferida para una estrategia API-first.

Motivación empresarial

El ejemplo más clásico de habilitación de API privadas para que un ecosistema más grande las consuma es Amazon Web Services (AWS). Amazon vio una oportunidad para permitir a los clientes utilizar su propia infraestructura informática de forma autoservicio y bajo demanda. Esto no era nuevo para ellos, ya que contaban con todas las herramientas de autoservicio y automatización para desarrolladores internos. Fue la oportunidad de Amazon de impulsar el crecimiento del negocio y condujo al nacimiento de la computación en la nube tal como la conocemos hoy. Aunque los escépticos descartaron que las empresas nunca adoptarían la nube, en los 15 años transcurridos desde su introducción, la computación en la nube se ha convertido en una industria de aproximadamente 1 billón de dólares y la valoración de Amazon ha crecido más de 10 veces en una década, en gran parte debido al éxito de AWS. Esto estimuló la creación de una nueva vertical.

Pero las empresas aún no han reconocido todo el potencial de las API para aumentar el valor comercial. Si bien puede haber varias razones para pasar por alto la perspectiva de un mayor rendimiento, la motivación convincente es la ciberseguridad. Dado que proteger los activos de una organización es la máxima prioridad para TI, la mayoría de las organizaciones introducen prácticas recomendadas y flujos de trabajo onerosos que limitan la agilidad empresarial y, en última instancia, restringen las ganancias. Pero el objetivo de la seguridad debería ser liberar el valor latente de una empresa y no limitarlo.

API calificadas para inversión

“Invertir la API” no es sólo una cuestión técnica de ponerla a disposición de otros fuera de la organización. La granularidad de la exposición de una API (GRAPE) lleva a que la empresa debata si una API se puede invertir de forma segura. En una "prueba de uva", una empresa debe determinar si está exponiendo inadvertidamente datos que podrían considerarse competitivos o datos que podrían entrar en conflicto con la Gobernanza, el Riesgo y el Cumplimiento (GRC), y qué tan bien está diseñada la API desde un punto de vista de seguridad. En esencia, las empresas no quieren dejar ninguna 'uva' para la cosecha.

Una vez que una API pasa esta auditoría, la decisión de hacer que los datos estén disponibles a través de un socio o una API pública sigue siendo una decisión comercial, y el objetivo de la organización de TI debe ser brindarle a la empresa las herramientas para hacerlo de manera segura. Necesitamos permitir que los desarrolladores creen más valor al ser lo más granulares posible para exponer varios servicios que normalmente estarían enfocados dentro de la empresa. Estas API podrían probarse con clientes y socios externos “amigables”, pero este proceso es tan oneroso hoy en día que la mayoría de las empresas se niegan a seguir esta ruta. La solución es que los equipos de GRC y de seguridad proporcionen barreras que impidan que suceda algo inesperado y, al mismo tiempo, promuevan la autonomía.

Desafíos, principalmente técnicos

Entonces, ¿hacia dónde vamos desde aquí? Suponiendo que se comprende el valor comercial de invertir una API y se pasa la prueba de la uva , aún quedan desafíos técnicos por delante.

  • La seguridad lo informa todo : GRC y la seguridad son beneficiosos porque existe un lado oscuro de las API. Los piratas informáticos buscan API para utilizar en sus ataques. Los actores maliciosos están motivados y son persistentes, emplean muchas técnicas e improvisan constantemente para eludir la seguridad de las API. Las empresas que carezcan de las mejores prácticas de seguridad adecuadas tendrán dificultades para hacer públicas sus API privadas.

  • Descubrir y auditar API : limpiar una empresa de API perdidas, huérfanas o inseguras es un problema difícil. Los desarrolladores abandonan sus grupos u organizaciones sin limpiar los servicios que están desarrollando y probando. Incluso los equipos de software bien disciplinados cometen el error de permitir que los servicios se ejecuten mucho más allá de las etapas de desarrollo, prueba y fin de vida útil. Otro problema con las API es la documentación cuando los nuevos desarrolladores no conocen todo el potencial de los datos que se devuelven. Esto apunta nuevamente a la seguridad.

  • Conectividad : incluso si una empresa encuentra una motivación convincente para aprovechar sus API privadas para clientes o socios externos, conectar una API detrás de tres capas de firewalls en una empresa es una tarea abrumadora. Si bien las unidades de negocios pueden tardar muchos meses en validar y justificar el ROI para que esto sea práctico, no se puede simplemente tomar una API interna y hacerla pública; la conectividad también es un proceso. En consecuencia, la agilidad se resiente y los desarrolladores no pueden innovar a un ritmo rápido.

En último término, lo que debemos comprender es que la agilidad empresarial en un entorno no confiable es extremadamente difícil. Los procesos de TI están informados, definidos y dictados por diferentes preocupaciones de seguridad. Existen con un propósito y no se pueden eludir.

Oportunidad: La empresa ES la plataforma

Una vez que una empresa comienza a pensar en cómo competir en la economía API, la necesidad de invertir sus API se convierte en una decisión natural. El siguiente paso lógico es imaginar la totalidad de su negocio como una plataforma y visualizar formas de trabajar para alcanzar ese objetivo.

Kristin R. Moyer, vicepresidenta y analista distinguida de Gartner, afirmó: “La economía API es un facilitador para convertir una empresa u organización en una plataforma. Las plataformas multiplican la creación de valor porque permiten que los ecosistemas empresariales, tanto dentro como fuera de la empresa, creen vínculos entre los usuarios y faciliten la creación o el intercambio de bienes, servicios y moneda social para que todos los participantes puedan obtener valor”. ( Mulesoft )

Llevar a una empresa a través de este recorrido no está exento de desafíos, y aquí es donde los proveedores comparten la responsabilidad con las organizaciones de TI. La empresa necesita comprender qué aspectos de sus activos internos pueden o quieren beneficiar a la comunidad en general y ampliar su valor. El ecosistema de proveedores debe ofrecer herramientas y tecnologías que ayuden a las empresas a invertir las API de forma segura y liberar el valor de la empresa como plataforma.