CISO的職責，在于為企業制定核心增長計劃，同時降低運營風險。為此，CISO們必須不斷評估并權衡多種戰略計劃的安全后果，并思考這些路線給企業帶來的潛在影響：

• 產品上市速度。
• 競爭優勢。
• 品牌優勢。

只要觀察并考量安全基礎設施對這三大交付方向的積極或消極影響，CISO們就能摸索出推動企業走向成功的道路。而縱觀當前形勢，一種與這三大企業動態密不可分的新領域已然出現，這就是使用API推動創新。

API正在吞噬世界

API已經成為企業支持創新/創新數字化轉型中的關鍵一步。無論是開放式銀行服務、移動與在線服務、數字信息共享應用，還是DoorDash、Uber、PayPal、Spotify、Netflix乃至特斯拉等知名品牌，他們的運行全都離不開API的加持。

因此，企業如今需要比以往任何時候都更快、更規?；貥嫿úl布API。在API的幫助下，企業得以構建起高級服務并快速投放市場，同時開辟出新的業務與收入流通道。數字化進程加速了這一趨勢，而新冠疫情的爆發則迫使實施進度大大提前。于是乎，企業必須為員工和客戶快速部署遠程服務，并建立產品集成以支持無數設備——這一切，都離不開API的粘合。結合種種現實因素，難怪今年年初公共API中心Postman迎來了創紀錄的2000萬用戶。

但正是由于API需要與客戶、合作伙伴和員工分享高敏感度數據，所以它也成了惡意黑客眼中極具吸引力的攻擊目標。CISO們已經切身感受到了這種風險。

根據AimPoint Group、W2 Communications和CISOs Connect發布的《CISO報告、展望、挑戰，與2022年及之后計劃》最新研究報告，受訪CISO們列出了以下幾項亟需改進的主要IT要素：

• API: 42%
• 云應用程序 (SaaS): 41%
• 云基礎設施 (IaaS): 38%

API加快產品上市速度

企業向市場發布新服務的速度越快，相應的收益獲取時間也就越早。因此在疫情壓力之下，相當一部分公司的存亡絕續，可以說就維系在產品/服務的上市速度身上。而API，則成為企業組織與業務之間的開放通道。

企業必須根據能否達成既定上市速度，來評估自己的業務價值和運營成本，著力清除一切可能阻礙產品上市速度的障礙。但API所帶來的安全威脅也是一種巨大障礙，可能會拖慢部署速度，甚至在攻擊下令業務體系土崩瓦解。

只有防止API遭到濫用，企業才能穩步加快產品上市速度、積累業務機會、培養競爭優勢。

API提供競爭優勢

時至今日，企業已經意識到上市速度本身就是競爭優勢的一大集中體現。作為行業領導者，企業必須把握機會，抓住最豐厚的市場份額與利潤空間。

在金融服務領域，建立競爭優勢就是企業的核心業務目標，而技術轉型則是達成目標的核心戰略步驟。于是，金融科技企業率先激發了客戶的服務期望，而開放式銀行緊隨其后，輕松將移動應用與銀行賬戶關聯起來、為使用者提供以往無法想象的創新和便利性體驗。

所以，如今的銀行和金融機構必須走在服務的最前沿，才能維持競爭優勢、在市場上占據一席之地。而API則是服務功能的底層支撐，是機構參與競爭、贏得競爭的前提。

但安全威脅與不合規行為可能影響到API的成功實施，甚至帶來高額罰款。企業必須確保新型應用和客戶的寶貴財務數據之間始終由安全通道相連。在這里，API代表的是個人身份信息（PII）及其他重要數據資產的接入點，企業應該意識到惡意黑客一直將這些資產作為攻擊目標，打算借此謀取私利、破壞業務。

正確的安全方法，有助于保護品牌聲譽

一旦品牌聲譽受損，企業可能會失去競爭優勢。在整個商業風險領域，品牌聲譽受損都是影響最大、最難以擺脫的負面沖擊。與之相應，積極的品牌聲譽則承載著穩定、誠信，自然也對應著牢固的客戶忠誠度。

API有助于提升品牌在發展前瞻性和以客戶為導向的良好聲譽。而一旦這些API遭到破壞，所有收益都將立即消失，取而代之的就是不信任、恐懼乃至客戶流失。

道理雖不難理解，但如今API在數量和部署速度上都在狂飆猛進，再加上API那獨特的業務邏輯，導致保護方式變得異常復雜。傳統的安全解決方案（例如Web應用程序防火墻和API網關）雖然能夠抵御基礎攻擊，但卻搞不定持續增長的API攻擊數量和復雜性。最新研究表明，API攻擊流量的增長速度，已經達成API自身流量增速的兩倍以上。

將專門的API保護機制視為業務運營成本

API代表著可觀的業務價值與收益。但要發掘出這些價值和收益，CISO必須先解決API保護這道難題。畢竟API所承載的，其實就是企業皇冠上的明珠——數字商品與服務交付所必需的基礎/敏感數據。

時至今日，每一家軟件開發公司都已經成為API驅動型企業。對這類企業而言，對API的保護已經不再是額外舉措，而是在數字化環境下開展業務的一類日常成本。而如果不為這些核心互連工具設置專門的API安全方案，那么業務體系內的一切都將暴露在風險之下——包括產品上市速度、競爭優勢乃至整個品牌形象。

最后，CISO必須為API安全探索出一種協同方法。API涵蓋業務中的所有領域，CISO需要引導和教育技術團隊，讓他們理解API安全計劃、意識到這些工作對于降低運營風險的重要意義。CISO的職責，就在于根據安全目標為整個企業提供答案和見解。

當下的CISO們已經達成共識，必須將強大且跨職能部門的“安全意識”文化作為企業發展的第一要務。為了建立這種積極的安全心態，領導者必須優先考慮組織關系、掌握每位員工的安全貢獻，并不斷傳達安全對于實現整體業務目標的重要意義。畢竟，只有能夠持續穩定運轉的組織機器，才是能不斷產出豐富價值的好機器。