Olha, trabalho nessa área e posso te dar umas dicas de acordo com a minha visão pessoal.
Primeiro de tudo, se aprofundaria um pouco em redes, pois é um tema bem importante dentro da área.
Depois, começaria a ler sobre assuntos bem recorrentes dentro da área como ISO 27001 e 27701, NIST, OWASP, LGPD e GDPR e Cloud, Linux. Não precisa ser expert, mas precisa ter uma certa noção.
Conhecer algumas soluções.
Exemplos:
- DLP
- CASB
- FIREWALL
- CROWDSTRIKE
- WAF
- SIEM
Aí, você precisa saber pra qual área vai querer seguir.
Exemplos:
- Red Team (Segurança Ofensiva)
- Blue Team (Segurança Defensiva)
- GRC (Governança, Risco e Compliance)
- Perícia
- Threat Intelligence
Depois de conhecimentos básicos adquiridos, acho que pode partir pra sites de CTF (Capture the Flag) como hackthebox.com.
Claro que isso não é um guia definitivo, e eu não sou o dono da razão.
Eu costumo ver as vagas que me interessam, copio o que é exigido pelas empresas e faço um rank do que é mais pedido, e vou indo nesse caminho.
Espero que tenha ajudado de certa maneira.
Qualquer coisa, deixa a pergunta logo abaixo que eu tento ajudar melhor.