CISO的職責，在于為企業(yè)制定核心增長計劃，同時降低運營風險。為此，CISO們必須不斷評估并權衡多種戰(zhàn)略計劃的安全后果，并思考這些路線給企業(yè)帶來的潛在影響：

• 產(chǎn)品上市速度。
• 競爭優(yōu)勢。
• 品牌優(yōu)勢。

只要觀察并考量安全基礎設施對這三大交付方向的積極或消極影響，CISO們就能摸索出推動企業(yè)走向成功的道路。而縱觀當前形勢，一種與這三大企業(yè)動態(tài)密不可分的新領域已然出現(xiàn)，這就是使用API推動創(chuàng)新。

API正在吞噬世界

API已經(jīng)成為企業(yè)支持創(chuàng)新/創(chuàng)新數(shù)字化轉型中的關鍵一步。無論是開放式銀行服務、移動與在線服務、數(shù)字信息共享應用，還是DoorDash、Uber、PayPal、Spotify、Netflix乃至特斯拉等知名品牌，他們的運行全都離不開API的加持。

因此，企業(yè)如今需要比以往任何時候都更快、更規(guī)?；貥嫿úl(fā)布API。在API的幫助下，企業(yè)得以構建起高級服務并快速投放市場，同時開辟出新的業(yè)務與收入流通道。數(shù)字化進程加速了這一趨勢，而新冠疫情的爆發(fā)則迫使實施進度大大提前。于是乎，企業(yè)必須為員工和客戶快速部署遠程服務，并建立產(chǎn)品集成以支持無數(shù)設備——這一切，都離不開API的粘合。結合種種現(xiàn)實因素，難怪今年年初公共API中心Postman迎來了創(chuàng)紀錄的2000萬用戶。

但正是由于API需要與客戶、合作伙伴和員工分享高敏感度數(shù)據(jù)，所以它也成了惡意黑客眼中極具吸引力的攻擊目標。CISO們已經(jīng)切身感受到了這種風險。

根據(jù)AimPoint Group、W2 Communications和CISOs Connect發(fā)布的《CISO報告、展望、挑戰(zhàn)，與2022年及之后計劃》最新研究報告，受訪CISO們列出了以下幾項亟需改進的主要IT要素：

• API: 42%
• 云應用程序 (SaaS): 41%
• 云基礎設施 (IaaS): 38%

API加快產(chǎn)品上市速度

企業(yè)向市場發(fā)布新服務的速度越快，相應的收益獲取時間也就越早。因此在疫情壓力之下，相當一部分公司的存亡絕續(xù)，可以說就維系在產(chǎn)品/服務的上市速度身上。而API，則成為企業(yè)組織與業(yè)務之間的開放通道。

企業(yè)必須根據(jù)能否達成既定上市速度，來評估自己的業(yè)務價值和運營成本，著力清除一切可能阻礙產(chǎn)品上市速度的障礙。但API所帶來的安全威脅也是一種巨大障礙，可能會拖慢部署速度，甚至在攻擊下令業(yè)務體系土崩瓦解。

只有防止API遭到濫用，企業(yè)才能穩(wěn)步加快產(chǎn)品上市速度、積累業(yè)務機會、培養(yǎng)競爭優(yōu)勢。

API提供競爭優(yōu)勢

時至今日，企業(yè)已經(jīng)意識到上市速度本身就是競爭優(yōu)勢的一大集中體現(xiàn)。作為行業(yè)領導者，企業(yè)必須把握機會，抓住最豐厚的市場份額與利潤空間。

在金融服務領域，建立競爭優(yōu)勢就是企業(yè)的核心業(yè)務目標，而技術轉型則是達成目標的核心戰(zhàn)略步驟。于是，金融科技企業(yè)率先激發(fā)了客戶的服務期望，而開放式銀行緊隨其后，輕松將移動應用與銀行賬戶關聯(lián)起來、為使用者提供以往無法想象的創(chuàng)新和便利性體驗。

所以，如今的銀行和金融機構必須走在服務的最前沿，才能維持競爭優(yōu)勢、在市場上占據(jù)一席之地。而API則是服務功能的底層支撐，是機構參與競爭、贏得競爭的前提。

但安全威脅與不合規(guī)行為可能影響到API的成功實施，甚至帶來高額罰款。企業(yè)必須確保新型應用和客戶的寶貴財務數(shù)據(jù)之間始終由安全通道相連。在這里，API代表的是個人身份信息（PII）及其他重要數(shù)據(jù)資產(chǎn)的接入點，企業(yè)應該意識到惡意黑客一直將這些資產(chǎn)作為攻擊目標，打算借此謀取私利、破壞業(yè)務。

正確的安全方法，有助于保護品牌聲譽

一旦品牌聲譽受損，企業(yè)可能會失去競爭優(yōu)勢。在整個商業(yè)風險領域，品牌聲譽受損都是影響最大、最難以擺脫的負面沖擊。與之相應，積極的品牌聲譽則承載著穩(wěn)定、誠信，自然也對應著牢固的客戶忠誠度。

API有助于提升品牌在發(fā)展前瞻性和以客戶為導向的良好聲譽。而一旦這些API遭到破壞，所有收益都將立即消失，取而代之的就是不信任、恐懼乃至客戶流失。

道理雖不難理解，但如今API在數(shù)量和部署速度上都在狂飆猛進，再加上API那獨特的業(yè)務邏輯，導致保護方式變得異常復雜。傳統(tǒng)的安全解決方案（例如Web應用程序防火墻和API網(wǎng)關）雖然能夠抵御基礎攻擊，但卻搞不定持續(xù)增長的API攻擊數(shù)量和復雜性。最新研究表明，API攻擊流量的增長速度，已經(jīng)達成API自身流量增速的兩倍以上。

將專門的API保護機制視為業(yè)務運營成本

API代表著可觀的業(yè)務價值與收益。但要發(fā)掘出這些價值和收益，CISO必須先解決API保護這道難題。畢竟API所承載的，其實就是企業(yè)皇冠上的明珠——數(shù)字商品與服務交付所必需的基礎/敏感數(shù)據(jù)。

時至今日，每一家軟件開發(fā)公司都已經(jīng)成為API驅動型企業(yè)。對這類企業(yè)而言，對API的保護已經(jīng)不再是額外舉措，而是在數(shù)字化環(huán)境下開展業(yè)務的一類日常成本。而如果不為這些核心互連工具設置專門的API安全方案，那么業(yè)務體系內的一切都將暴露在風險之下——包括產(chǎn)品上市速度、競爭優(yōu)勢乃至整個品牌形象。

最后，CISO必須為API安全探索出一種協(xié)同方法。API涵蓋業(yè)務中的所有領域，CISO需要引導和教育技術團隊，讓他們理解API安全計劃、意識到這些工作對于降低運營風險的重要意義。CISO的職責，就在于根據(jù)安全目標為整個企業(yè)提供答案和見解。

當下的CISO們已經(jīng)達成共識，必須將強大且跨職能部門的“安全意識”文化作為企業(yè)發(fā)展的第一要務。為了建立這種積極的安全心態(tài)，領導者必須優(yōu)先考慮組織關系、掌握每位員工的安全貢獻，并不斷傳達安全對于實現(xiàn)整體業(yè)務目標的重要意義。畢竟，只有能夠持續(xù)穩(wěn)定運轉的組織機器，才是能不斷產(chǎn)出豐富價值的好機器。