поскольку безопасность не живет отдельно по себе, а привязана к какой-то области ИТ, то безопасник должен знат ту ИТ область в которой он работает: если он говорит про безопасность сетей, то он должен _глубоко_ знать как работают сети, если он говорит про безопасность веб приложений, то надо знать как они работаю. То же самое с виртуализацией и новомодным cloud computing. Очень часто руководители этого не понимают, в итоге безопасников не посылают на те же курсы что и айтишников, в итоге айтишники понимают в своей области больше чем безопасники и просто перестают слушать безопасников, поскольку понимают, что те не шарят в этом. И очень печально видеть в организациях безопасников, которые вынуждены выпускать руководящие документы для своего ИТ подразделения по статьям из журнала Хакер и securitylab.ru. Не то чтобы там статьи плохие, просто они должны брать идеи из головы, а не из статей.
Так что хороший безопасник должен получаться из хорошего айтишника. И тогда его будут слушать и делать как он сказал, например, наконец влючат аутентификацию OSPF на маршрутизаторах.