Sim, é exatamente isso. Nas faculdades eles só ensinam GRC que serve só para gestores, não para profissionais de segurança. A verdade é que nenhuma faculdade é boa para aprender cybersec. Cybersec é simplesmente impossível de aprender por ensino tradicional. Não tem como.

E comprar esses cursos de internet é jogar dinheiro fora porque 99% é feito por gente que não sabe do que tá falando. Em Português, a única exceção que eu conheço são os cursos da Mente Binária, mas eles são gratuitos...

Em Inglês até existe curso bom, mas é caro pra caramba. E mesmo curso caro não é garantia de ser bom. Um amigo meu, por exemplo, reclamou de um curso de 5 mil dólares de engenharia reversa que não ensinava nada demais e não valia o preço. No caso, foi a empresa que pagou pra ele, então ele não perdeu nenhum centavo.

Enfim, é como eu dei a dica desde o começo: tem que ser autodidata. Quem não é autodidata não dá conta de aprender cybersec, não de verdade.

A pessoa que não é autodidata pode até aprender o basicão, o feijão com arroz, mas não vai passar disso. Ou então vai aprender GRC e vai ter o nível de conhecimento de um gestor (que beira à zero).