совет
Даниил Колесниченко - наиболее дельный. я бы только объединил последних 2 пункта в 1 (по сути - оба об упоре на безопасность разработки ПО и аудит уязвимостей) и добавил новый третий - менеджмент ИБ. Оно не так интересно, как "ловить хакеров" - по поверьте, построить грамотный процесс обеспечения ИБ и написать под это все нужные документы зачастую куда как сложнее, чем настроить IPS/найти XSS.
в результате - получается 3 направления:
техническая защит, безопасность разработки и аудит уязвимостей, менеджмент ИБ.
Выбирайте, дальше развивайтесь в одном из направлений.