En esta serie de posts vamos a introducir al lector en el mundo de la investigación académica en seguridad de sistemas. La serie constará de varias entregas en las que se describirán pasos y consejos para iniciarse en la investigación académica de impacto en seguridad de sistemas.
En este primer post, comenzaremos con una serie de consejos acerca de cómo comenzar una tesis doctoral en este área de la mejor forma posible. Para todos aquéllos que ignoréis qué es y cómo se realiza una tesis doctoral, el proceso de tesis doctoral se comienza analizando la literatura científica acerca de algún problema del área, para establecer posibles soluciones propias de acuerdo a una metodología para comprobarlas. Finalmente se escribe un manuscrito que recoge los descubrimientos para, en última instancia, defenderla públicamente ante un tribunal experto. Sólo a partir de la obtención de la tesis doctoral, el recién doctorado es capaz de plantear sin ayuda cualquier investigación e incluso liderarla por sí mismo.
Ésta es la teoría y no está excesivamente alejada de la realidad. Para comenzar, aconsejamos que el doctorando (aquél que está realizando su tesis doctoral) decida por sí mismo en qué temas (sin demasiada especificidad aún) dentro de seguridad de sistemas le gustaría dedicar “sangre, sudor y lágrimas” durante un periodo nunca menor de 3 años. La mejor manera para encontrar las posible temáticas es revisar los artículos científicos o papers de los últimos años de las 4 conferencias top tier: Usenix Security, ACM Conference on Computer and Communications Security (CCS), ISOC Network and Distributed Systems Security (NDSS), IEEE Symposium on Security & Privacy (Oakland). Creo que todo el mundo que se dedique a investigación en seguridad de sistemas estará de acuerdo en que la investigación de mayor nivel se publica normalmente en estos 4 congresos. No obstante, también existen otros congresos de segundo nivel o tier 2 como RAID o ACSAC, así como conferencias más generalistas como WWW o OSDI, que tienen un muy buen track de seguridad (hablaremos de todas éstas en otra entrega de la serie).
Las revistas indexadas en JCR, pese a ser el estándar para la evaluación del personal académico en España, no están al nivel de las cuatro grandes conferencias en el campo de seguridad de sistemas. Dentro del área de seguridad (y en cierto modo también en computer science) en los grandes grupos siempre valorarán mucho más pocas contribuciones en conferencias top tier, que un gran número de contribuciones en revistas JCR. Así pues, para esta primera fase (y también en posteriores), en la que tratamos de obtener una visión general de la dirección que lleva la comunidad, simplemente revisaremos las 4 grandes.
Acerca de cómo priorizar los temas identificados, es sobre todo importante que valoremos nuestro conocimiento o cuánto tiempo estamos dispuestos a dedicar, y, por encima de todo, que nos apasione por completo.
En la siguiente entrega, veremos cómo podemos elegir a un buen director de tesis que nos ayude y guié en el camino.