Ternyata, penerapan suatu layanan dapat menjadi sangat komprehensif ketika strategi keamanan API menjadi tanggung jawab lintas organisasi, serta didukung oleh keseluruhan Tim Security dan CIO/CISO.
Yang mungkin lebih mengkhawatirkan adalah ketika SRE (Site Reliability Engineers), individu yang mengarahkan strategi keamanan, tidak memasukkan keamanan API ke dalam tahap pengujian dalam lifecycle API. Ketika keputusan untuk memilih strategi keamanan API dibuat, integrasi keamanan API umumnya baru dimulai pada tahap desain atau development. Begitu pun ketika tim jaringan diberi tanggung jawab akan strategi keamanan API, mereka mengatakan keamanan API harus masuk pada fase development.
Berita baiknya adalah sebagian besar perusahaan memberikan tanggung jawab untuk menentukan strategi keamanan API kepada salah satu dari ketiga pihak tersebut. Sebanyak 8% memberikan tanggung jawab tersebut kepada developer, sebanyak 3% berharap profesional jaringan untuk mengatasinya, dan hanya 1% yang memberikan tugas ini kepada SRE.
Hal ini sejalan dengan domain penugasan keamanan API. Karena keputusan tersebut sebagian besar dipengaruhi oleh pihak yang menjalankan strategi itu. Ketika strategi keamanan API dijalankan oleh CIO/CISO atau lintas organisasi, keamanan API didistribusikan ke empat domain: manajemen API, keamanan aplikasi, jaringan, dan keamanan tapi terpisah dari keamanan aplikasi. Karena layanan yang mempertahankan dan melindungi API bisa mencakup beberapa domain, hal ini menjadi masuk akal.
Jadi, jika perusahaan Anda menugaskan strategi keamanan API kepada CIO/CISO, tim Keamanan, atau menjadikannya sebagai tanggung jawab lintas organisasi, selamat! Pendekatan strategis Anda mengarah pada kontrol keamanan yang komprehensif melalui layanan keamanan yang mempertahankan dan melindungi API dari berbagai jenis serangan.
Baca juga: F5 Perkenalkan Solusi AI Gateway Kelola Trafik dan Keamanan Aplikasi
Baca juga: Ancaman API Makin Marak di Era AI, Akamai: Perhatikan 4 Area Ini