УК почитать лишним не будет. Знать, что за что бывает. Кроме УК еще пригодится ГК, особенно в части коммерческой тайны и авторского права, законы о коммерческой тайне и все эти последние безумные законы - про мессенджеры, VPN, etc. Это если нацеливаться именно в ИБ.
Есть множество подветок - "белые шляпы", реверс-инженеры, криптологи... Впрочем, если контора дорастает до того, что нужен отдельный человек на ИБ - придется заниматься сразу всем - собственно так же как в админстве :) Настраивать файрволлы, выдавать сертификаты, рулить корпоративным прокси и точками доступа, мониторингом заниматься. Чего мониторингом? А всего - железа, софта, почты, сотрудников... Тема СМП сейчас поперла невероятно.
Еще нужно иметь чертовски крепкие нервы... Ситуация, когда ты читаешь переписку девочки-ромашки с ресепшн и внезапно обнаруживаешь, что вовсе она и не ромашка и вообще за поездку в машине готова сыграть с тобой "в ромашку" - для ИБ-шника не нечто выдающееся, а банальная рутина... И труднее всего даже не пережить такое вот "откровение", а потом смотреть на нее как ни в чем ни бывало.
Средний
Простой
