#02 - Café con Javier Calvache - Protección de APIs 4h4w3c

Las apis llevan años cambiando en los negocios y cada vez lo hacen a mayor velocidad antes un api definía como utilizar las funcionalidades de una librería actualmente las apis definen como utilizarlo servicios de una compañía el termina no ha cambiado y se manteca sigue siendo la misma en su escala ha crecido enormemente ahora vemos una empresa al completo como un conjunto de servicios que podemos utilizar de manera automática a través de sus apps cada vez más negocios proporciona gratis para consumir sus servicios de manera no sólo telemáticas sino automática cuantas más negocios participar en esta economía de las apis mayores el valor de hacer uso de ellas pero el valor no crece de manera lineal sino como en muchos sistemas en red el valor global crece exponencialmente con el número de nosotros todo este valor atrae y atraerá muchísimos riesgos tanto antes fallos como abusos como usos malintencionados como ataques directos si las apis son la puerta de entrada a los servicios de una empresa proteger esta puerta es una tarea imprescindible para hablar sobre la protección de datos hoy ha venido a hablar con nosotros javier calvache javier tiene diez años de experiencia en ciberseguridad de este tiempo ha pasado la mitad creando sistemas y apis y la otra mitad protegiendo a las esto le da un punto de vista excelente para explicar como se deben preparar las organiza acciones para la publicación y security nación de sus artes actualmente desempeña un puesto de gerente en una gran consultora anteriormente ha sido consultor senior de un fabricante de soluciones de protección de apis y ha liderado proyectos de ese coordinación de ati en las principales empresas de banca y telecomunicaciones soy borja robots y esto es café set de box donde charla sobre seguridad desarrollo de software y operación este y con sus protagonistas empezamos muy buenas javier muchísimas gracias por venir a casarse que debamos por hacer un hueco en tu agenda por estar un ratito con nosotros estar la muchas gracias por tu amor un placer estar contigo has trabajado mucho en temas de protección de y me gustaría que nos explicara es un poco entonces propias palabras que es proteger un api y porque alguien se quiere de embarcar en un proyecto de protección de aves a ver las apps hoy en día muy orientadas a poner el core de funcionamiento de una entidad de tipo bancario de este tipo de entidad que sea el problema es que tenemos una puerta abierta a que puedan entrar a atravesó hacer mucha poco hay muchos años entonces se imprescindible tener en cuenta las medidas necesarias y suficientes para poder garantizar que me entra a quien no entra de qué manera y todos los procesos necesarios de autenticación o tres hacen etcétera que que sea que apliqué me acuerdo y estos estos temas de seguridad de suficientes innecesarios como como tu dices no sería más sencillo implementar los dentro de las propias ápice es decir cuando el equipo de desarrollo de estas funcionalidades cort de la compañía están escribiendo el código y están implementando estas apis no sería el mejor sitio para implementar también todos los mecanismos de seguridad que sean que sean necesarios o crees que se necesita algún componente externo esos desarrollos haber vamos a hacer con la frase de suficiente necesario porque es necesario pero no suficiente quiero decir evidentemente en la lógica de desarrollo de la pie hay una serie de medidas de seguridad que es imprescindible llevar a cabo pero creo que solo lugar en que muy interesante traer a colación el concepto de defensa por capas no quedarnos solamente en de qué manera puedo limitar o hacer el foro venderá seguridad solamente en el propio desarrollo de las apis sino también de qué manera puedo poner por delante y por detrás capas que me ayuden a mejorar esta salvedad entonces por ejemplo si nos vamos a tampoco quiero bajar mucho en el nivel técnico pero poder