Llegamos a ustedes gracias a:



Reportajes y análisis

Gestión de APIs: Lo que los CIO deben saber

[23/04/2021] Las interfaces de programación de aplicaciones (APIs) están demostrando ser herramientas importantes en la creación de valor comercial para los CIO que se embarcan en transformaciones digitales o buscan desarrollar nuevas fuentes de ingresos.

Las API pueden traducir texto, etiquetar imágenes, enviar mensajes de texto, buscar fraudes, recuperar datos bancarios abiertos, y manejar una variedad cada vez mayor de transacciones comerciales. Una API pronto puede ser la forma de buscar el estado de vacunación contra la COVID. A medida que las API se vuelven críticas para sus procesos de TI y desarrollo dentro de la organización, los CIO deben pensar en la gestión, el cumplimiento y el acceso: ¿quién tiene acceso a qué datos de la empresa, con qué APIs, a través de qué modelo de gobernanza?

También deben considerar lo que la organización está efectivamente designando al outsourcing -o asumiendo como dependencias- a través de las API. Los desarrolladores que eligen una API por razones puramente técnicas pueden estar tomando una decisión de compra corporativa o eligiendo una dirección estratégica que, en otras circunstancias, estaría muy por encima de su nivel de pago.

Las políticas deben mantener el uso de la API bajo control sin afectar la agilidad. Esto requiere una visión clara de las APIs internas y externas que se utilizan en la organización, para qué se utilizan, cuánto cuestan y cuán confiables son. Estratégicamente, los CIO deben tener en claro cómo contribuyen las API al negocio.

Integración y composición

"Muchos de nuestros clientes quieren ir a este futuro en el que realmente tienen una economía de APIs, así como un catálogo de APIs y donde exponen datos en todos los silos de su empresa, comenta Charles Lamanna, vicepresidente corporativo de la plataforma de aplicaciones de código bajo en Microsoft.

El uso de una puerta de enlace de APIs, u otras soluciones de gestión de APIs, con una plataforma de código bajo, "abre muchísimas oportunidades, porque los desarrolladores pueden crear esos microservicios y publicarlos para que otros desarrolladores los consuman, y los desarrolladores ciudadanos pueden consumirlos a través de la plataforma Power, afirma Lamanna, a modo de ejemplo.

Pero tener una "economía de APIs va mucho más allá de un código bajo y no tener ningún código. Como señala el CEO de Postman, Abhinav Asthana, las organizaciones deben pensar en las APIs tan pronto como comiencen a especificar y diseñar software, en lugar de esperar hasta que el proyecto esté terminado. "[El final es] donde se toman las decisiones que no son óptimas, lo que se traduce en un riesgo aún mayor de cumplimiento y gobernanza. No hay forma de que, si está creando una aplicación hoy, no vaya a hablar con el mundo exterior, así que planifíquelo desde el principio, afirma.

Las API no solo sirven para consumir servicios externos; las organizaciones a menudo crean sus propias APIs para ofrecer un autoservicio de acceso a los datos comunes de la empresa o para simplificar el intercambio de información con los proveedores. La incorporación de un nuevo proveedor o el manejo de una consulta de pago son más eficientes si la información transaccional sobre los pagos de facturas y el estado de envío está fácilmente disponible, pero a menudo está amarrado a múltiples sistemas ERP. Crear APIs y publicarlas en un catálogo puede evitar una gran cantidad de tickets de soporte.

"Piense en los datos o las capacidades que son exclusivas de su organización, que espera vender a otros o que simplemente no están disponibles en ningún otro lugar, sugiere Miles Ward, director de tecnología de la consultora SADA especializada en Google. "Las API son la forma de conectarse a la información, que realmente es valiosa solo cuando fluye. Si tiene datos que no están disponibles a través de una interfaz central, programable y extensible, que no fluyen hacia donde son útiles, es hora de priorizar ese esfuerzo.

Algunas aplicaciones se compilarán casi por completo con llamadas a las API. Lo que Gartner llama "comercio componible es un buen ejemplo de esta tendencia, afirma Kelly Goetsch, directora de productos de commercetools.

Las tecnologías componibles cambian el habitual enfoque de desarrollo en las empresas. "No se necesita un equipo de 200 desarrolladores offshore que produzcan volúmenes de código Java; se desea trabajadores muy capacitados que puedan hacer que estas diferentes aplicaciones funcionen juntas, generalmente con una arquitectura de eventos y llamadas a la API. Cuanta más gente asigne a algo como esto, más lento y difícil será hacerlo, según Goetsch.

Lo que los CIO necesitan, añade Goetsch, es tanto un catálogo de APIs aprobadas y en uso, como una estrategia de gobernanza integral que se pueda aplicar en la puerta de enlace para APIs, que los desarrolladores usan para acceder, con un marco de seguridad común. "Decida qué APIs desea crear y cuáles adquirir a los proveedores externos, y la puerta de enlace será la forma en que gobernará el acceso a esas APIs para sus desarrolladores, afirma.

Las puertas de enlace para APIs a menudo han sido dispositivos de hardware, pero eso está cambiando. Existen conocidas herramientas para la gestión de APIs y es un servicio común a todas las principales nubes que ofrecen opciones de composición de servicios, limitación de velocidad y control de acceso, que incluyen el filtrado de terminales y de instancias -en muchos casos llegando hasta las acciones individuales en una API- y que pueden proporcionar tasas de uso, de error y de otras métricas de observación. También existen servicios de terceros, como APImetrics, que pueden rastrear el rendimiento y la disponibilidad de las API públicas.

APIs en el mundo real

El primer paso al establecer una estrategia de APIs más formal es auditar qué APIs están disponibles y en uso. Luego hay que asegurarse de que estén documentadas y sean detectables.

"Existe mucha repetición en diferentes áreas de una organización, señala Asthana, y sugiere que los CIO involucren a los desarrolladores en las discusiones sobre la arquitectura para crear conciencia sobre la gestión de las API.

Además, las API que ya están en uso pueden pasarse por alto fácilmente. Una gran organización de atención médica, que creó un catálogo de APIs, comenzó con una lista de 450 APIs en uso: las cifras finales se acercaron a las cuatro mil. Las herramientas que examinan proxies y archivos de registro y otros análisis forenses pueden encontrar las APIs que ya existen en la empresa y generar descripciones de OpenAPI.

Una vez que se ha establecido un catálogo, debe usarse no solo para rastrear la publicación y el consumo de APIs, sino también para crear una política más estratégica de administración del ciclo de vida de las APIs -una que incluya lidiar con la desaprobación en caso de que un proveedor externo de APIs haga cambios drásticos o corte su servicio por completo.

Algunos CIO están empezando a contratar arquitectos de APIs y a crear centros de excelencia, o grupos de gobernanza, de APIs para supervisar las políticas de las API. Es especialmente importante realizar un seguimiento de cómo se distribuye el uso de las APIs en toda la organización, para garantizar que los sistemas que ofrecen las API internas cuenten con los recursos adecuados -especialmente porque la automatización robótica de procesos (RPA) puede crear una API a partir de una hoja de cálculo de Excel-, y protegerlos para evitar exponer los datos, como sucedió con los servicios de Bumble y Equifax.

"Las vulnerabilidades muestran cuánto dependen las aplicaciones modernas de las API y lo complicado que puede ser para una empresa mantener todas esas APIs privadas y bloquearlas, afirma Winston Bond, director técnico de EMEA en Digital.ai. "Una aplicación creada a partir de un enjambre de microservicios basados en la nube, como Bumble, expone una gran cantidad de conexiones que generalmente se mantienen seguras detrás de un firewall.

Costo, confianza y cumplimiento

Otra razón para establecer la transparencia en torno al uso de las API: el control de costos. Las API a menudo se tratan como cualquier otro servicio en la nube, pero estas suelen ser menos visibles y su uso suele ser más impredecible, lo que puede generar sobrecostos.

"Debido a que los modelos de precios son complejos, se basan en el consumo y los CIO no controlan cómo la empresa consumirá la aplicación, todo lo que puede hacer es pronosticar, afirma Eric Christopher, CEO de Zylo.

Los CIO necesitan saber cuánto costará una API en pérdida de negocio y otras interrupciones si no está disponible o no funciona a la velocidad normal, y quién es responsable de los problemas que ocasionan. Los acuerdos de nivel de servicio (SLAs, por sus siglas en inglés) son la norma, pero deben ser lo suficientemente detallados para cubrir las API que utiliza. Los objetivos de nivel de servicio, la experiencia y los acuerdos basados en resultados pueden ser más adecuados, porque lo que importa son los resultados y no la conexión.

El monitoreo de transacciones sintéticas mostrará problemas operativos y de rendimiento, pero muy pocos proveedores de APIs ofrecen cuentas de prueba de producción o verifican su propia documentación, advierte David O'Neil, CEO de APImetrics: "¿Cómo se verifica realmente que algo de esto funcione si no puede probar algo en producción? Todo su ambiente de producción podría colapsar y no se dará cuenta durante cinco horas.

OpenID Foundation está desarrollando lo que llama "marcos de confianza basados en el tiempo de actividad y la velocidad, en varias regiones para las API, en la infraestructura de la nube, los servicios financieros y la banca abierta, pero actualmente, "no se dispone de algo organizado para la puntuación y clasificación públicas, no existe algo en lo que todos en la industria puedan estar de acuerdo, señala O'Neil.

Estas cuestiones de descubrimiento, calidad y cumplimiento son cada vez más importantes para las API en industrias reguladas como la banca, los servicios médicos y los servicios gubernamentales.

O'Neil espera que surja un consenso sobre cómo medir y monitorear las API reguladas, desde medir la latencia hasta evaluar la documentación y validar la calidad y el cumplimiento del esquema de las API. "Debe haber algún tipo de métrica de cuadro de mando y un grupo de políticas que establezca esto a nivel de toda la industria. Algunas de las cosas que están sucediendo con las API se darán a nivel global y transnacional, por lo que deben tener un conjunto de estándares acordados detrás de ellas, agrega O'Neil.

Una prioridad para el 2021

La gestión del ciclo de vida de las API aun es incipiente en muchas organizaciones, según Dion Hinchcliffe, vicepresidente y analista principal de Constellation Research. "El movimiento nativo de la nube definitivamente está convirtiendo a los microservicios y contenedores en un ciudadano de primera clase en TI, y el año pasado fue un punto de inflexión para Kubernetes con TI, por lo que el 2021 se perfila como un año en el que todas estas preguntas comienzan a plantearse seriamente y más ampliamente a nivel de los CIO, señala Hinchcliffe.

Como era de esperar, las industrias reguladas como los servicios financieros y los servicios médicos son las más avanzadas en este camino, afirma Hinchcliffe. En una de las principales redes de atención médica de Estados Unidos una cuarta parte de los ingresos proviene de las API, y se espera que este porcentaje aumente a más de la mitad en los próximos años. Con un potencial de ingresos como ese, "el diseño, la selección, la gestión y la gobernanza de las API se han convertido, de repente, en un tema para la alta gerencia, añade Hinchcliffe.

Los CIO que dejan las áreas de negocio para administrar todo su software y tecnología son los que menos visibilidad tendrán del uso de las API, afirma Christopher de Zylo. "Donde los directores ejecutivos afirman: 'su trabajo es saber todo lo que está sucediendo en el negocio y entrar y hacer que esas áreas funcionen mejor a través de la tecnología'; ahí es donde se comienza a ver la comprensión y la visibilidad de las API.

"Como CIO, me gustaría saber, 'estas son todas mis dependencias externas, estas son todas mis dependencias internas, y así es como encajan', afirma Postman Asthana. "Tener eso me da mucha influencia: sé cómo dotar de personal a mis equipos de ingeniería, sé qué componentes básicos están disponibles y puedo establecer la hoja de ruta para esas cosas de manera mucho más efectiva.

Lo contrario también es cierto, advierte Asthana: "creo si uno aún no comprende que todas estas cosas están por llegar y la solución está en una estrategia de APIs, podría tener muchos problemas. Puede verlo como un problema de productividad del desarrollador, como un problema regulatorio o un problema de privacidad: todas estas cosas tienen soluciones en una estrategia de API.