Isso não é a realidade, tá bem distante da realidade. Tu trabalha com segurança? Em qual área de segurança especificamente? Qual sua função?
Mesmo que trabalhe na área, toda área tem profissional ruim e segurança não é exceção. Tem muita empresa por aí que só roda ferramentas e chama isso de "pentest" (mas não é). Tem empresa que só faz uns testes automatizados e chama isso de SSDLC. Tem muita empresa que só quer cumprir compliance (ex.: para a LGPD) e chama isso de "segurança".
Da mesma forma que tem muitas empresas que escrevem códigos HORRÍVEIS e chamam isso de "programação", tem muitas que fazem um péssimo trabalho com ferramentas automatizadas e chamam isso de "segurança".
Se teu ponto de referência são os péssimos profissionais, isso diz muito sobre você.