Artikel

Meer API’s vraagt om meer beheer

Frank Arts is Chief Strategy Officer en Founder van Enable

Het toegenomen gebruik van API’s zorgt niet alleen voor veiligheidsrisico’s, maar is in veel gevallen zelfs een zakelijk risico. Wat zijn de trends en wat hoe moet uw organisatie omgaan met deze uitdagingen? 

De afgelopen 5 jaar is er met groeiend succes gebruik gemaakt van API’s om applicaties te koppelen en gegevens uit te wisselen. De meeste van deze API’s zijn door verschillende interne- en externe IT-specialisten gebouwd en u weet ongetwijfeld hoeveel en waar ze in gebruik zijn. We hebben al genoeg te beheren, en zo’n API, wat kan daar nou fout mee gaan? Volgens Gartner zal in 2025 slechts 50% van de API’s fatsoenlijk beheerd worden. API’s waarmee u uw applicaties en systemen openzet voor partners, klanten en andere bedrijfsonderdelen. API’s waarmee privacygevoelige gegevens en intieme details over uw bedrijfsprocessen mee uitgewisseld worden. Uw auditors hebben ongetwijfeld veel interesse in de 50% die u WEL managed, maar ja, van wie zijn die API’s en wat is het bedrijfsrisico als er iets fout gaat?

Slimme(re) IT

Supply-chains (waarde-ketens), de zoektocht naar een flexibeler IT-architectuur, efficiënt(er) omgaan met gegevens of hergebruik van business-logica zijn allemaal redenen om steeds slimmere integratie technieken te gebruiken. Daarom is in de afgelopen jaren zo veel aandacht gegaan naar het ontwikkelen van meer en slimmere API’s. Het gebruik van publieke API’s is sinds 2019 dan ook gestegen van 52% naar > 95%!

Technical Debt

De “technical debt” is, zeker tijdens de Covid periode enorm opgelopen. De belangrijkste reden om juist nu actie te ondernemen is de schrikbarende stijging van het aantal security incidenten die direct in verband gebracht kunnen worden met de API Infrastructuur van organisaties. Het aantal API gerelateerde aanvallen is tussen 2021 en 2022 gestegen met meer dan 280% en de cijfers voor de twaalf maanden erna lijken nog dramatischer te worden.

Tijdens audits blijkt regelmatig dat er onduidelijkheid bestaat over het 'eigenaarschap' van API’s

Technical Debt

De “technical debt” is, zeker tijdens de Covid periode enorm opgelopen. De belangrijkste reden om juist nu actie te ondernemen is de schrikbarende stijging van het aantal security incidenten die direct in verband gebracht kunnen worden met de API Infrastructuur van organisaties. Het aantal API gerelateerde aanvallen is tussen 2021 en 2022 gestegen met meer dan 280% en de cijfers voor de twaalf maanden erna lijken nog dramatischer te worden.

De Schade

Natuurlijk is schade moeilijk in te schatten. Maar als een ‘unsigned’ API bij het Australische Opta tot gevolg heeft dat meer dan 900.000 Australiërs een nieuw rijbewijs, paspoort of ander identiteitsbewijs moesten aanvragen dan is wel duidelijk dat het beter beheren van de API-infrastructuur nu absolute voorrang zou moeten hebben bij iedere organisatie. Tijdens audits blijkt regelmatig dat er onduidelijkheid bestaat over het “eigenaarschap” van API’s, welke gevoelige gegevens er worden uitgewisseld en wie bepaalde API’s mag aanpassen. En dat is vreemd als we bedenken dat juist API’s gebruikt worden om belangrijke processen te koppelen en gegevens uit te wisselen met overheden, partners en klanten. Gartner beweert dat in 2025 slechts 50% van de Enterprise API’s “gemanaged” wordt en specialisten twijfelen niet over dit percentage.

Gartner beweert dat in 2025 slechts 50% van de Enterprise API’s “gemanaged” wordt.

Zoals gezegd, veel nieuwe IT-initiatieven leunen sterk op het supply-chain concept (waarde-ketens) om gegevens te verrijken. Weer andere ketens verrijken juist transacties door deze completer te maken door een link met de leveranciers van grondstoffen, vervoerders en betaaldiensten. API’s worden dan, naast een veiligheidsrisico, ook een zakelijk risico omdat ze een enorme impact kunnen hebben op de stabiliteit van de bedrijfsprocessen.

Meer APIs, meer beheer!

API’s spelen een steeds belangrijker rol in de digitalisering. De groei van het aantal API’s zal in de komende jaren daarom ook enorm zijn. Dat brengt enorme uitdagingen met zich mee vooral ook omdat niemand de zwakste schakel in een keten wil zijn. Dat is niet goed voor de reputatie, maar kan zelfs geld kosten omdat afgesproken SLA afspraken niet nagekomen kunnen worden. Vanwege al die complexiteit en afhankelijkheden is API Mediation (uitgebreid API-management) broodnodig en dat mag best wat kosten.

Hoe nu verder?

De belangrijkste vraag die iedere CIO zich moet: wil/kan ik dit allemaal nog wel zelf? Er is een enorm tekort aan ervaren ICT’ers en het is belangrijker dat de ICT-afdeling uw eigen specifieke ICT-problemen, die zij als beste kennen, op orde krijgt. En zich dus niet bezighouden met het bouwen, beveiligen, beheren en monitoren van API’s dat ook door specialisten buiten het bedrijf gedaan kan worden. De inspanningen die uw staf zal moeten leveren rond integratie en het gebruik van API’s zullen alleen nog maar toenemen. Het is daarom belangrijk om een partner te kiezen die deze specifieke zorg kan wegnemen.

ENABLE U

De security specialisten van Enable U zijn experts op het gebied van bouwen, beheren en monitoren van integraties. Vooral API’s die onderdeel uitmaken van een waardeketen zoals bijvoorbeeld bij de overheid. De beslissing dat uw API infrastructuur beter beheerd moet worden is al voor u genomen door cybercriminelen. Maar u beslist nog steeds zelf of u dat met uw eigen specialisten wilt doen of door de specialisten van Enable U.

Bekijk ook de video over API Mediation

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren