11 Pasos para lograr una estrategia API Management exitosa

Es el momento de dar los pasos que se necesitan para conseguir una estrategia de API Management de éxito para tu empresa que te permita comprender mejor el potencial de las APIs en tu negocio y lo que te hará falta, en términos de API Management, para alcanzar ese potencial.

Para ello, en este artículo se explicará paso a paso el proceso que necesitas llevar a cabo para poder beneficiarte de las ventajas de llevar a cabo una estrategia de API Management exitosa en tu empresa. Lo primero que tendrás que hacer será cambiar la forma de pensar respecto de las APIs. El antiguo modelo de contrato app-to-app ya no es la única forma de hacerlo. Es necesario construir o modernizar el conjunto de herramientas de API Management. Para ello, se necesitará un modelo de API Governance, que reúna a las partes que están interesadas del negocio y de la técnica. A continuación, habrá que convertir las capacidades y los datos existentes en API y construir un registro interno de API, para que la gente sepa dónde encontrarlas, etc.

Figura 1. 11 Pasos para lograr una estrategia API Management exitosa

11 Pasos para lograr una estrategia API Management exitosa

Para poder implementar una estrategia de API Management de éxito en tu empresa en necesario seguir los siguientes pasos que mencionaremos a continuación:

Paso 1: Cambiar la forma de pensar sobre las APIs para lograr una estrategia de API Management exitosa

Gestionar las APIs para que formen parte de la estrategia empresarial de tu organización debería implicar un cambio en la forma de pensar sobre ellas en primer lugar. No se puede culpar a nadie, pero durante muchos años, el personal informático ha visto la API como un fragmento de código, un poco de tecnología.

Por ello, es conveniente cambiar la perspectiva de cómo se utilizan las APIs. Piensa primero en la experiencia del cliente más que en las características de la aplicación.

Por ejemplo, no se trata de que necesites integrar tu aplicación de tarjeta de crédito con una aplicación de cuenta de millas de una aerolínea. Es más probable que el cliente quiera saber cuántas millas ha ganado en su último extracto. Es el mismo requisito subyacente, pero verlo desde la perspectiva del cliente te ayudará a hacer que la API, y su implementación, sea más valiosa para el cliente y, por tanto, para la organización.

De este modo, se pueden alinear las APIs con los servicios que ofrece la empresa, junto con los que planea proporcionar en el futuro y comprender cómo las APIs se encuentran en el nexo de la empresa, la experiencia de usuario, la tecnología y la seguridad. Una API eficaz, al igual que cualquier solución API Management, debe tener en cuenta todos estos elementos.

Paso 2: Construir o modernizar el conjunto de herramientas de API Management

La API Management necesita las herramientas de API Management adecuadas. Si no las tienes, tendrás que crearlas, adquirirlas o actualizar lo que ya tienes. Para habilitar nuevas experiencias de clientes y estrategias empresariales, se necesitará una solución que ofrezca una API Management a lo largo de todo su ciclo de vida. Desde el diseño hasta el desarrollo, el despliegue y la retirada, la solución debe proporcionar un control eficaz sobre la API.

El conjunto de herramientas API Management debería permitir asignar privilegios de acceso a la API a usuarios o máquinas específicas. En algunos casos, esto podría significar la utilización de un esquema de autorización de terceros como OAuth. Además del control de acceso, el sistema debe ser capaz de establecer límites de uso, por ejemplo, el usuario X recibe 10 000 llamadas a la API por día y así sucesivamente. Esto es necesario para evitar sobrecargar los sistemas internos con llamadas ilimitadas a la API.

Así mismo, tienes que ser capaz de supervisar la salud de tus API en tiempo real. Si una API se ralentiza o se desconecta, tienes que saberlo, y tener preparada una conmutación por error, que también es una capacidad de la mayoría de las plataformas modernas de API Management.

Paso 3: Crear un registro interno de API

Es necesario que los consumidores puedan descubrir las APIs. Por lo tanto, un registro interno de API es esencial para sacarles el máximo partido. Si ya tienes un registro de API es una buena idea pensar en modernizarlo. El objetivo es facilitar el descubrimiento por parte de las partes internas y externas. Será necesario describir las APIs en el registro tanto en términos técnicos como de negocio. Un gran número de detalles sobre la API y su potencial de uso será de gran ayuda. Si se hace bien, el registro interno de API dará lugar a usos innovadores de las APIs dentro de la organización, así como con socios externos. Así mismo, permitirá la reutilización de las APIs, lo que fomenta una mejor rentabilidad de inversión (ROI, por sus siglas en inglés) para el desarrollo de API.

Otra ventaja de un registro interno de API es el coste y la productividad. Con un registro efectivo en uso, es posible asignar el costoso tiempo de desarrollo a nuevos progresos innovadores en lugar de «reinventar la rueda» y construir una API que ya existe.

Figura 2. API Interna

Paso 4: Establecer un modelo de Governance para API management

La expansión del uso de las APIs, que es algo que se espera que ocurra, requiere un énfasis renovado en API Governance. Un modelo de API Governance puede abarcar muchas áreas temáticas diferentes y estas pueden complicarse. Sin embargo, si se simplifican las cosas, API Governance es una cuestión de determinar, y después cumplir las reglas que dictan quienes supervisan los distintos aspectos del programa de las APIs.

Por ejemplo, un modelo de API Governance trata quién puede autorizar el desarrollo de una API, o una aplicación que está construida con API. Debería determinar quién tiene privilegios de acceso, en especial aquellos que son otorgados fuera de la compañía. Governance gestiona contratos legales y devoluciones financieras que se relacionan con las APIs. Governance controla tanto el ciclo de vida como su correcto funcionamiento. En tu compañía, las APIs se deben considerar en el contexto de la legalidad. Después de todo, las APIs pueden exponer la información privada de los clientes. Por lo tanto, el modelo de governance debería garantizar que los permisos que otorgan a los clientes son seguros.

Paso 5: Establecer relaciones entre las empresas y las partes técnicas que están interesadas

La modernización de las APIs y la adaptación de soluciones API Management en una organización es, al menos, un asunto que concierne a todos. Tanto usuarios como proveedores de API proceden de distintas áreas de la organización de la empresa y deben tener representación en API Management y el proceso de gobernanza. Por ejemplo, el equipo de procesamiento de préstamos puede que no tenga mucha relación con el equipo de marketing o el equipo que está encargado de la emisión de tarjetas. Sin embargo, cuando se trata de las APIs, estos grupos pueden tener algunos temas de debate.

Así mismo, es necesario unir a las empresas y a las partes técnicas en API Management. La parte empresarial de la conversación consistirá en suplir las necesidades de nuevos productos y servicios. La parte técnica, se encargará de cumplir con esos objetivos. Ambos grupos pueden y deben colaborar y crear sinergias entre sus esfuerzos. El equipo de la empresa puede que no entienda del todo las cualidades de las APIs, en especial cuando las apps que son impulsadas por API se tienen en cuenta. Por su parte, el equipo técnico puede que no entienda con rapidez la profundidad de la parte empresarial. Gracias a la concordancia que se ha creado entre el lado empresarial e informático de la organización, una compañía puede establecer una estrategia API cohesiva, capaz de conseguir los objetivos que se ha marcado.

Figura 3. Establecer relaciones entre empresas y partes técnicas.

Paso 6: Transformar data y competencias ya existentes en API

El paso de «construir las APIs» puede parecer una obviedad, pero su uso estratégico precisa de nuevos enfoques para su desarrollo. Tradicionalmente, crear una API suponía exponer una fuente de información o «empaquetar» una función ya existente en una API. No hay nada de malo en esto, pero no es una buena forma de crear una API que pueda contribuir a resultados transformadores.

El nuevo enfoque debería seguir una línea de pensamiento sobre el objetivo de las APIs y el objetivo final que se desea por parte del usuario. Es crucial que esté orientado al usuario. ¿Quién es el usuario? ¿Cómo utilizará la aplicación para la que se crea la API? Una vez que se ha determinado la experiencia que pretende el usuario, se puede buscar de dónde proviene la funcionalidad que se requiere. Vale la pena considerar que el usuario puede ser una empresa asociada, y no un mero cliente. La experiencia de un socio es un factor importante para tener en cuenta a la hora de evaluar las capacidades e información que debe convertirse en API.

Figura 4. Capacidades existentes y datos para APIS

Esto es algo así como «pensar desde fuera». No solo estás cogiendo una app y presentándola. Imagina el factor del diseño. Por ejemplo, si una API genera un historial de transacciones con un cliente, ¿cuánta de esta información puedes almacenar en tu smartphone? Esta sería la interfaz de usuario más probable así que, tiene sentido limitar el número de registros que se «obtienen» para cualquier ciclo.

Paso 7: Presentar las APIs de forma externa para construir el ecosistema

Tan pronto como tu nueva API esté disponible, vas a querer presentarlas para su uso externo. Puede que quieras trabajar con tus API a través de diferentes modelos de consumición.

Puede que algunos sean gratis y públicos. Algunos podrían ser privados, restringidos e invisibles salvo para aquellos que los conozcan. Se deberían acordar estándares de comportamiento que vayan junto a cualquier uso externo de las APIs. Estos estándares se pueden cumplir a través de políticas tales como la limitación de capacidad. Un mercado de API puede ser el mejor enfoque para el uso externo de las APIs.

Presentar las APIs externamente es un paso que requiere una API Security hermética. Debes controlar quién tiene acceso, con la habilidad de certificar usuarios que no trabajan para tu compañía.

Esto puede implicar la federación de identidades. Las APIs externas necesitan de una limitación de capacidad estricta y un monitoreo de señales de ataques de Denial of Service (DoS, por sus siglas en inglés) y otras amenazas. La estructura de las APIs como tal, debería ser objeto de seguridad para revisiones y políticas de seguridad, por ejemplo, asegurarse de que un usuario externo no pueda acceder a información personal a través de la API.

Una práctica en relación con esto, y que se recomienda, es dejar a los usuarios que son destinatarios ver algunos de los elementos de la seguridad que les protege. Esto servirá para fomentar su confianza en que sus transacciones digitales son seguras. Las garantías de seguridad son parte de la experiencia del cliente que previene las deserciones.

Paso 8: Explorar las áreas de un negocio en el que el desarrollo de las APIs y mashups puede resultar beneficioso

Las APIs son productos, pero también pueden llegar a ser parte de otros productos y tener mayor funcionalidad. De hecho, una de las grandes ventajas de las APIs actuales, es su potencial de integrarse en apps y mashups nuevas y dinámicas que orquestan operaciones a lo largo de procesos empresariales.

Llegados a este punto, lo que sí se debe tener en cuenta es que, como ya sabrás, este tipo de ideas ya se han probado otras veces, muchas de ellas con resultados no tan exitosos. Debes tener las herramientas adecuadas, así como las políticas, para poseer productos y mashups API fructíferos.

Paso 9: Establecer cómo respaldar los distintos modelos de API Security

Debido a la amplitud de API Security, es imposible entrar en detalles en este apartado. Sin embargo, el mejor entrenamiento en uso de API Management en una compañía es estar preparado para respaldar los distintos modelos de API Security. Por ejemplo, si tu compañía utiliza DevSecOps que integra la seguridad en el proceso de desarrollo y lanzamiento (DevOps), es óptimo hacer que la API Security forme parte del flujo de trabajo.

En un nivel más detallado, tu solución API Management y tus políticas deberían alinearse con la forma en que tu compañía gestiona la ciberseguridad. Por ejemplo, si tu compañía tiene una solución de Security Incident and Event Management (SIEM, por sus siglas en inglés), la plataforma API Management se debería integrar con ella y así sucesivamente. Conseguir la API Security de manera correcta supone aliarse con los equipos de seguridad y cumplimiento.

Paso 10: Conseguir un funcionamiento efectivo y un monitoreo seguro

El monitoreo API es uno de los elementos fundamentales de cualquier programa API Management en una empresa. El monitoreo puede tener dos formas: desempeño y seguridad. En cuanto al desempeño, la solución API Management debe rastrear el rendimiento de las APIs en tiempo real.

Puede tratarse de una cuestión de la calidad de servicio, por ejemplo, tienes un SLA (Service Level Agreement) que especifica el tiempo de respuesta de la API o puede que solo quieras tener un buen rendimiento para asegurar una mejor experiencia de usuario. En todo momento, el monitoreo debe informar de los posibles problemas a los gestores de API.

Si una API está sobrecargada y lenta, debe arreglarse; o si una API falla por completo, los responsables del sistema deben saberlo inmediatamente para proceder acorde a la situación.

Las APIs son atractivas para personas maliciosas, ya que ofrecen la posibilidad de acceder a sistemas y data tras el firewall. Por lo tanto, hay que vigilar atentamente el comportamiento de las APIs para detectar anomalías que pueden indicar que se está produciendo un ataque. Las señales del ataque pueden ser sutiles. Por ejemplo, si un usuario autorizado utiliza la API mil veces en una hora durante la madrugada, esto podría indicar que alguien se ha apoderado de su cuenta. La plataforma API Management debería conectarse con sistemas de operaciones de seguridad (SecOps) y un flujo de respuesta a los incidentes para asegurar una respuesta adecuada a las amenazas como esta que se detecten. Un paso más para saber todos los pasos para lograr API Management exitosa.

Figura 5. Funcionamiento efectivo y un monitoreo seguro

Paso 11: Crear un Center of Excellence (COE) y/o Program Office

Es muy recomendable establecer un Center of Excellence (COE, por sus siglas en inglés) o Program Office. La estructura y tamaño del COE evolucionará con el tiempo. Al principio, según se introdujeron las soluciones y nuevas políticas API Management, es probable que crezca. Con el tiempo, se reducirá a su tamaño permanente.

El objetivo del COE o Program Office es crear una localización central (ya sea física o digital) donde cualquier parte interesada que entre en contacto con las APIs pueda tener una respuesta sobre cómo hacer las cosas, políticas, seguridad, cumplimiento y otras prácticas relevantes para las APIs. El COE puede servir como entidad para validar los diseños de API y aprobar los cambios en las políticas de seguridad, por poner un par de ejemplos de los roles que desempeña.

El COE o Program Office también puede ayudar a todos los que están implicados a entender su Total Cost of Ownership (coste total de propiedad, TCO por sus siglas en inglés). El COE puede explicar a cualquiera que lo necesite saber cómo hacer implementaciones de API en el mundo real. Al trabajar de esta forma, el COE puede ayudar a las partes que están interesadas a entender cómo demostrar el valor de los proyectos e ideas que se proponen. Si tu compañía se ha enfrentado a problemáticas con las APIs en otras ocasiones, un COE o Program Office proporciona un buen mecanismo para corregir concepciones antiguas o erróneas sobre el funcionamiento de las APIs y lo que pueden hacer. Puede ayudar a la gente a ver todo el potencial de la compañía.

Figura 6. Center of excellence.

Esperamos que hayas disfrutado de los 11 pasos para lograr una estrategia de API Management exitosa en tu negocio. Si estás pensando en implementar una estrategia de API management en tu empresa, nosotros podemos ayudarte, contáctanos.