En opinión de Ideskog, las políticas de control de acceso mal definidas son la perdición de muchas iniciativas de API. Las deficiencias en la autenticación y autorización ocupan un lugar destacado en la lista de OWASP de los 10 principales riesgos de las API. Una gobernanza que aborde estas áreas ayuda a seguir el ritmo de los atacantes, que cada vez recurren más a las API. “Las API suelen ser puntos de entrada a datos y sistemas sensibles”, afirma Tahir, de APIwiz. “Incidentes como las más recientes violaciones de datos en T-Mobile y en Dell nos demuestran que los actores maliciosos están siempre vigilando”.
Evitar esfuerzos inútiles
Además de responder a las necesidades normativas y de seguridad, las API bien gobernadas pueden aportar más coherencia a todo el panorama digital, afirma Wilde, de INNOQ. Las API no gobernadas pueden dar lugar a un “despilfarro de recursos”, dice, “porque los mismos problemas se resuelven numerosas veces en lugar de establecer una buena práctica en una plataforma”. Con una gobernanza adecuada de las API, se pueden eliminar los esfuerzos duplicados y reducir el tiempo de búsqueda de API para los proyectos. “Muy a menudo, ya existe una API para lo que estás tratando de implementar”, dice Snyder. “Con una buena gobernanza, probablemente tendrás acceso a un inventario que te ayudará a encontrarla”.
“En la mayoría de los casos, se está intentando reducir la proliferación para unificar y simplificar los procesos, al tiempo que se reducen los costes de licencias y mantenimiento”, añade Higginbotham. Otros citan ventajas como una entrega más rápida del software, una reducción de los costes de licencia y mantenimiento, una supervisión más sencilla de la eficacia empresarial, un mayor potencial de monetización y un resultado más ágil en general.
Diseños de API más coherentes
La gobernanza de las API también puede promover normas de diseño interno más coherentes. “Una gobernanza sólida garantiza que las API sean coherentes y utilicen patrones predecibles, lo que facilita que funcionen entre sí y con interfaces externas”, afirma Voget. Las guías de estilo de las API, las reglas de linting y las pruebas de contratos pueden ayudar a reducir los defectos o detectar la falta de esquemas de seguridad, afirma. “Sin este tipo de gobernanza, es muy posible que se descuiden estos detalles, lo que provocaría graves riesgos”.
Establecer estas normas y automatizar las revisiones y comprobaciones de diseño cuando sea posible ayuda mucho al proceso de diseño de API. Estas medidas también pueden reducir las tareas repetitivas en el ciclo de vida de la API e informar el desarrollo futuro. “Una gobernanza eficaz de las API facilita a los equipos la toma de decisiones por defecto a la hora de embarcarse en el diseño y la entrega de una API nueva o actualizada”, afirma Higginbotham. “También ayuda a la organización a capturar las lecciones aprendidas de esfuerzos anteriores”.
Mejor colaboración y alineación empresarial
Por último, disponer de un marco de gobernanza de API mejora la colaboración con otras partes interesadas, ya sean consumidores internos o externos. «La gobernanza de API se asegura de que todos remen en la misma dirección», dice Halliwell. «Proporcionar API coherentes y bien documentadas mejora la experiencia de los usuarios y da a tu API la reputación de ser fácil de utilizar», afirma.
El intercambio interno de conocimientos puede reducir la ineficacia y evitar soluciones complicadas. También puede ayudar a aumentar la concienciación sobre las API entre las partes interesadas de la empresa. “El principal beneficio que vemos es a nivel empresarial, donde los responsables de negocio pueden saber qué API están disponibles y qué equipo las gestiona”, afirma Knabe, de Apiable. “Si las API existen en silos con poca o ninguna gobernanza, a menudo se requiere a los desarrolladores en reuniones empresariales para que expliquen qué es posible y qué no”, afirma.
Futuros de la gobernanza de las API
El panorama de las API varía mucho de una empresa a otra, y la mayoría de los esfuerzos por centralizar la gobernanza están aún en curso. “A medida que crecen las carteras de API, la necesidad de gobernanza de API se hace más necesaria”, dice Higginbotham. “La adopción de microservicios, funciones sin servidor y SPAs [aplicaciones de una sola página] en la última década solo ha causado que la cartera de API empresariales se multiplique en tamaño”, dice.
Mirando hacia el futuro, otros pronostican un mundo con más estándares API para toda la industria. “Veo un mayor impulso hacia la adopción de protocolos estándar como OAuth, GraphQL, OpenAPI y AsyncAPI”, afirma Halliwell. También cree que la IA desempeñará un papel importante a la hora de graduar los diseños de API e impulsar la automatización, como el análisis predictivo y el cumplimiento automatizado, que reducirán significativamente los esfuerzos de gobernanza manual.
Al mismo tiempo, la prisa por integrar las capacidades de la IA podría agravar un catálogo de API ya de por sí saturado. “La IA generativa actuará como un multiplicador más de la cartera de API”, afirma Higginbotham. “El reto es si la economía de las API dará valor al establecimiento de las personas, los procesos y las herramientas necesarias para hacer frente a la proliferación de API que estamos viendo hoy en día”.
La emergente disciplina de ingeniería de plataformas puede ayudar a responder a esta llamada. También es probable que veamos surgir catálogos más unificados y diferenciados de las herramientas preexistentes. “Las organizaciones deberían empezar por aplicar la capacidad de descubrimiento y localización”, afirma Van Tomme, de Pronovix. “Un registro de API con fines de seguridad y gestión puede ser distinto de ese portal para desarrolladores”.
Otros consideran que los requisitos de seguridad desempeñarán un papel más importante en el futuro de la gobernanza de las API. “Creo que en los próximos años la gobernanza se contemplará desde la perspectiva de la autorización”, afirma Ideskog. “Unas mejores herramientas de autorización permitirán una gobernanza más sólida y serán el gran motor de la gobernanza de la economía de las API”, afirma.
En este sentido, se prevé que las normativas de seguridad impulsadas por el sector fomenten más prácticas de gobernanza de las API en todos los ámbitos. “Creo firmemente que el aumento de las normativas externas, como la banca abierta y las normas sanitarias, junto con las crecientes preocupaciones sobre la seguridad de los datos de IA, llevarán a las organizaciones a dar prioridad a una gobernanza estricta en sus iniciativas de API”, afirma Shukla, de APIwiz.
Sin embargo, dado que las necesidades de gobernanza de las API no pueden abordarse con una sola herramienta, las organizaciones también necesitarán un cambio cultural. Para algunos grupos, esto significa encargar al líder adecuado la dirección de las normas API. “El simple hecho de que exista un gestor de producto de API que se ocupe de que las API sean correctas y estén actualizadas hace maravillas si se aplica correctamente”, afirma Knabe, de Apiable.
En resumen, la gobernanza de las API exige un enfoque polifacético de la visibilidad y el control del uso de las API en toda la organización, que debe responder a un dilema técnico polifacético. “Llámese gobernanza, normalización o estrategia de plataforma… será cada vez más importante para la economía de las API a medida que proliferen y aumente nuestra necesidad de arquitecturas de microservicios componibles y flexibles”, afirma Voget.
