Gran parte del campo de seguridad está dedicado a la criptografía, que es un campo hermoso (del cual soy demasiado ignorante), pero a menudo la criptografía es mucho más fácil de usar mal que de usar correctamente. A menos que tengas un historial de matemáticas / estadísticas realmente sólido, aplazaría el buceo en criptografía hasta que te metieras un poco en la mentalidad del atacante.
Si ya te sientes cómodo como programador, probablemente puedas aprender mucho revisando el código, incluidos los exploits, el código vulnerable y el código diseñado para la seguridad.
"OWASP Code Review" puede ayudarlo a aprender con el ejemplo. Te presentará un montón de ataques prácticos y te hará pensar como un atacante.
La combinación de un libro sobre la revisión de códigos seguros y las herramientas para respaldar dicha actividad es muy poderosa, ya que brinda a la comunidad de desarrolladores un lugar para comenzar con respecto al desarrollo seguro de aplicaciones.
La misma organización OWASP tiene páginas de procedimientos que también pueden ser buenos puntos de partida.
Otros recursos accesibles incluyen blog de Scheier que a menudo analiza temas relacionados con la percepción de amenazas, la forma en que la dinámica social afecta la seguridad y lo que significa seguridad / Debería significar en varios escenarios.