Cara, o que pessoas falam ou fazem na internet não é uma boa métrica para definir como a área funciona. Não existe freelance na área de segurança, ponto final. Não importa o que te disseram ou o que você viu, essa é a realidade e você tem a opção de aceitá-la ou continuar com sua crença.

Na melhor das hipóteses, provavelmente você tá confundindo prestação de serviço com freelance. Que não é a mesma coisa. Na pior das hipóteses você simplesmente conheceu gente desesperada para entrar na área, que não faz a menor ideia como ela funciona e tentou atirar para todo lado.

Entenda, colega: na área de segurança não tem tarefinha ou bugzinho para ser resolvido de maneira pontual por um freelancer. Segurança exige análise, análise exige (muito) tempo e conhecimentos internos do projeto.

Primeiro que as empresas não querem esse conhecimento com qualquer freelancer aleatório na internet, por motivos óbvios. Segundo que obter esse conhecimento pode levar meses. Quem diabos esperaria 3 meses para um freelancer concluir sua única tarefa pontual?

Eu já disse, bro. Segurança não funciona como desenvolvimento. Não vai ter uma tarefa no JIRA que vão pagar um freelancer para fazer, não é assim que funciona.

Já que você não trabalha na área e não sabe como a área funciona, então no mínimo você deveria ter dúvida sobre a sua atual crença sobre o assunto.

E um detalhe importante: a pessoa ser formada não significa que ela sabe o que está falando/fazendo. Principalmente formação em segurança da informação onde você não aprende sobre segurança lá. Uma Ciência da Computação é muito mais útil para este fim do que a faculdade que supostamente é "focada" neste assunto.

Isso porque faculdade de segurança da informação é voltada para cargos de gestão, então você não vai aprender um conhecimento técnico sério. É tudo muito superficial.