Una empresa innovadora en software de RR. HH. protege sus API

Desde 2015, la misión de HiBob es transformar la forma en que las organizaciones operan en el mundo laboral moderno. Esta innovadora empresa está haciendo posible esa transformación y el entorno laboral del futuro con su plataforma de RR. HH., Bob. Bob engloba todas las complejidades de los procesos de RR. HH. en una herramienta vanguardista y fácil de usar que beneficia a todos los empleados de la empresa. Las organizaciones que usan Bob logran acelerar la contratación, retener a los mejores talentos y mejorar el compromiso de los empleados. Al ofrecer estas capacidades tan transformadoras, la empresa consiguió superar los 100 millones de USD en ingresos recurrentes anuales (ARR) menos de tres años después de alcanzar la cifra de 10 millones de USD. Cuando la empresa advirtió la necesidad de reforzar la seguridad del desarrollo e implementación de API, encontró su solución en Akamai API Security.

Al igual que otras muchas empresas innovadoras del sector, HiBob apuesta por un proceso de desarrollo rápido basado en API. Gracias a esta ágil estrategia, puede ofrecer de forma continua funciones nuevas y actualizadas a sus más de 3500 clientes. No obstante, debido a los constantes cambios que se producen en el entorno de la empresa, la seguridad supone un reto cada vez mayor. Consciente de que debía abordar esta posible brecha de seguridad, HiBob hizo a sus equipos de desarrolladores y DevOps tan responsables de la seguridad como su equipo de seguridad.

Si bien ese fue un paso importante a la hora de mejorar su estrategia de seguridad, HiBob también debía ofrecer a su equipo de seguridad, desarrolladores y DevOps una visión más completa de la infraestructura de API de la empresa. Como explica Tamir Ronen, director global de Seguridad de la Información de HiBob, las empresas utilizan las API como tecnología principal para conectar servicios y transmitir datos, pero muchas organizaciones tienen dificultades para proteger sus API.

"Los ataques a las API no se basan en patrones. Como resultado, los firewalls de aplicaciones web (WAF) aportan poca información y una seguridad limitada en lo que respecta a la lógica empresarial que subyace a las API. Además, los WAF carecen de utilidad cuando aparece una nueva lógica empresarial en un proceso nuevo", afirma.

Dado que los datos confidenciales de los clientes se transferían a través de sus API, Ronen vio la necesidad de una solución de seguridad diseñada para comprender la lógica empresarial de las API y la transferencia de datos. "Una empresa dinámica como la nuestra necesita mejorar la visibilidad de las API y aprender a introducir e implementar cambios en la lógica empresarial de forma segura", prosigue.

Ronen encontró su solución en Akamai API Security. Para él, la característica más importante es el cifrado de datos. "Podemos cifrar los datos enviados a Akamai Connected Cloud sin que haya riesgo de que queden expuestos a terceros. Además, API Security obtiene información de forma segura sobre el uso y la lógica empresarial de las API a partir de los valores hash de los datos", afirma Ronen.

También destaca la función de detección de API, que detecta las API desprotegidas y muestra una lista actualizada periódicamente de las mismas. "La detección en un entorno que avanza a gran velocidad es fundamental, ya que un error en el proceso de desarrollo puede provocar una vulnerabilidad si una API devuelve una carga útil con datos que no deberían estar ahí. Lo mismo ocurre con los terminales en la sombra, que son posibles conductos de riesgo que pasan desapercibidos".

No menos importante es la capacidad de análisis de comportamiento que detecta amenazas y abusos de la lógica en toda la infraestructura de API de HiBob, y pone en marcha respuestas para mitigarlos. "El análisis de comportamiento es fundamental para hacer un seguimiento de los problemas con las API en nuestro entorno en constante cambio", explica Ronen.

También resulta muy útil disponer de API Security ShadowHunt, un servicio de búsqueda gestionada de amenazas desarrollado por los analistas expertos de Akamai especializados en la búsqueda de amenazas de API.

Tras la sencilla implementación de API Security, HiBob constató su valor desde el primer día. "La visibilidad que nos proporciona de nuestra cartera de API ya de por sí es asombrosa", afirma Ronen.

Además, el análisis de comportamiento demostró ser beneficioso rápidamente. HiBob necesita saber si ocurre algo sospechoso en los flujos de trabajo de la empresa. Con API Security, la empresa pudo crear un marco de referencia de acciones de usuario aceptables. "Cuando una acción se sale de este marco, recibimos una alerta automáticamente para que podamos investigarla. No solo sabemos cuándo tenemos que investigar un problema, sino que, desde que usamos API Security, hemos reducido en un 25 % el tiempo de análisis de los problemas y eventos relacionados con las API", prosigue.

Además, en estrecha colaboración con los expertos en búsqueda de amenazas de Akamai, Ronen y su equipo crearon una alerta para recibir una notificación si alguien elude el WAF de la empresa al realizar una llamada de API desde una API pública.

Y eso no es todo. Gracias a la solución de Akamai, los equipos de seguridad y DevOps convergen en torno a un lenguaje común para abordar la seguridad de las API en la red y en los terminales. Así, cuando el equipo de seguridad facilita datos y estadísticas procedentes de API Security sobre el comportamiento de una API determinada en relación con el uso de terminales y el flujo de datos, el equipo de desarrollo puede responder de inmediato. "Akamai API Security nos ha permitido proteger nuestra importante infraestructura de API y, al mismo tiempo, fomentar una mayor y mejor colaboración entre nuestros equipos de seguridad y desarrollo", concluye Ronen.

Con su plataforma de RR. HH. Bob, HiBob se propone transformar el modo en que las organizaciones operan en el mundo laboral moderno. Bob, que encabeza el avance hacia el entorno laboral del futuro, ofrece una tecnología resistente y ágil que engloba todas las complejidades de los procesos de RR. HH. en una herramienta innovadora y fácil de usar que beneficia a todos los empleados de la empresa.

Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a miles de millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios mientras mantiene las amenazas a raya. Para obtener más información acerca de las soluciones de cloud computing, seguridad y distribución de contenido de Akamai, visite akamai.com/es/es/ y akamai.com/blog, o siga a Akamai Technologies en X, antes conocido como Twitter, y LinkedIn.