Заходить нужно туда куда вам интересно.
ИБ это настолько широкий в различных интерпретациях термин, что сначала его вам нужно узко переопределить.
Формально ИБ это работа в первую очередь документарного характера, например описание процедур приведения системы в соответствие с законом о защите персональных данных, или в соответствие с требованиями к гостайне, банковской тайне и т.д.
В этой плоскости, ИБ вообще не техническая специальность, требующая некоторых специальных технических знаний. Это документы.
Есть другая интерпретация данного термина, это тестирование на проникновение, защита приложений, защита сетей, т.е. практическая безопасность сервисов, приложений, хранилищ данных, сетей, каналов передачи и т.д.
Эта интерпретация как правило не имеет прозрачной системы обучения, не стандартизирована и очень очень широкая.
Например защита каналов передачи данных, это и физическая защита, и инженерная с точки зрения строительства, и сетевые администраторы с VNP тоннелями, и системные администраторы с https, и математики с шифрованием, и физики с квантовыми эффектами. А еще это куча административных мер, по защите проекта прокладки канала, поскольку в проект могут быть внесены не санкционированные изменения, и проверка реальных работ по прокладке, проектным, а еще различное лицензирование на данные работы и оборудование и т.д. и т.п.
Если вы хотите изучать "практическую" ИБ, вам нужно сначала глубоко изучить более узкую область с уклоном на потенциальные уязвимости, например системной и сетевое администрирование, разработку приложений и веб сервисов, особенности функционирования процессоров и шифрования, работы генераторов псевдослучайных чисел и математику.