Давайте разберемся.
Во-первых, прежде чем начинать карьеру в сфере информационной безопасности в России, было бы не плохо получить высшее образование в этой сфере. Это даст больше шансов на успешное трудоустройство здесь. (Про международное направление, если будет интересно, расскажу отдельно.) К сожалению, хотя и не удивительно, большое количество российских компаний (государственные органы, банки и т.д, где ИБ - это принципиальное направление) требуют от соискателя образование по определенным кодам специальностей (с 090101 по 090108) или переквалификацию в объеме 500 и более часов.
В качестве доказательного примера, выдержка из требований ФСТЭК: "Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации"....
Во-вторых, я бы посоветовала определиться с направлением деятельности, понять, что вам, в IT, в целом, нравится больше. Вообще, сферу ИБ можно разделить на два направления: "земля", ну и назовем это, например, "небо". Так как информационная безопасность, однозначно, прикладная, но не самомстоятельная, то как и в IT есть куча напрвлений (сетевое администрирование, серверное администрирование, программирование, управление проектам, внедрение и т.д.), так и ИБ можно, как подорожник, приложить к любому "больному" месту. Все это можно назвать "земля": безопаность информационных сетей, архитектура сети (firewalls, DMZ, VPN, протоколы передачи данных), разработка безопасного кода (чистое программирование, но желательно знать что такое OWASP top 10), внедрение систем ИБ и проектный менеджмент (вообще, шире поля не придумаешь, начиная от внедрения централизованно-администрируемого антивирусного ПО, и так далее, включая DLP системы и SIEM системы), безопасность серверов, мониторинг логов, управление инцидентами... Список можно продолжать долго.
Немного в стороне стоит или лежит то самое "небо" или GRC - Governance, Risk and Compliance. Здесь уже нет ничего конкретного, это управление ИБ на более высоком уровне. Но! не обольщайтесь фразой "высокий уровень". Мое мнение: выше в своих практических знаниях здесь специалист ИБ не станет. Стандарты, политики, регламенты, best practices, оценка рисков, контроли, то есть все, что, по-факту, является бумажной волокитой, но столь необходимой для прохождения всевозможных аудитов, проверок и лицензирований. Если "земля" - это конкретное, практическое исполнение требований, то "небо" - это чистой воды "вода" о том, как надо (т.е. постановка требований основанных на теории или стандарте). Здесь, кстати, отдельно можно выделить аудиторскую деятельность. Внутренний или внешний аудит систем или процессов, на мой взгляд, довольно перспективное направление.
Подводя итог:
Для начала карьеры в сфере ИБ хорошо иметь образование в этой сфере. Это может послужить основным аргументом для принятия вас на работу в гос. органы, где профильное образование - это требование.
Хорошим началом может стать работа в организации, где для ИБ есть собственный отдел или выделенная команда. Не стоит идти, на пример, в администраторы баз данных, в надежде что в процессе работы вы изучите все "подводные камни" безопасностного администрирования баз данных. Если вопрос ИБ в организации не стоит, то и нужного опыта вы там не получите.
Будте готовы в начале карьеры делать все, начиная от функций Help Desk ("У меня чертовски тормозит компьютер от вашего дурацкого антивируса!") и ролью "человек - шредер" ("Утилизируй, пожалуйста, эту маленькую бумажную фабрику."), до законодательного органа в сфере IT в компании ("Двух-факторная аутентификация должна быть! Не знаю зачем, но в NIST так написано!"). И это будет очень хорошо для вас! Попробовав все, вы, в итоге, поймете с какой стороны "безопасность" интересна лично вам.
Удачи вам, карьерных взлетов и никаких падений!