я ни разу не специалист по информационной безопасности, но имхо можно делать упор на одно из трёх:
1. Системное администрирование с уклоном в безопасность. От этого я вообще далёк, так что ничего не могу сказать.
2. Поиск уязвимостей в ПО. Учить C/C++ для понимания, какие дыры можно оставить при написании ПО, а дальше язык ассемблера для реверс инжиниринга программ. Ну и там, не знаю, поищите в интернете исходники вирусов, поразбирайтесь.
3. Поиск уязвимостей в веб-сервисах. Учить какой-нибудь серверный язык (PHP, Python, Ruby и проч.) + JavaScript + SQL + на базовом уровне HTML. Гуглить XSS, SQL injection, DDoS. Если интересен этот вариант, могу пару ссылок подбросить по основам.
