Тебе наврали.
Нормальный ИБшник в хорошей компании занимается поиском и устранением уязвимостей(или эскалацией/деэскалацией на ответственные уровни), сопровождаемый интересными ресерчами. У них, как правило, есть своя борда в *name your favourite ticket system*, где ведётся учёт найденных/исправленных уязвимостей (или он может вестись в другом месте, да хоть в гуглтабе, зависит от процессов и удобства), туда же могут саггестить потенциальные уязвимости прочие сотрудники, который ИБшник проверит и отлупит/запустит процесс исправления. Да, конечно же присутствует paperwork, но не в таком количестве, чтобы возненавидеть жту работу или, того хуже, роскомнадзорнуться.
Примерно этим занимаются толковые ИБшники в нормальных конторах, а не тем, что тебе тут напердели.
Хотите стать специалистом по ИБ - становитесь. Это крутая и важная специфика, которая, как правило, хорошо оплачивается.