Странная штука получается: если надо взломать сайт - для этого дела всегда найдётся хакер, которому заплатят деньги и скорее всего, немалые. А если проверить свой же сайт на безопасность - никто даже пальцем не пошевелит, чтобы нанять на это специального эксперта в области ИТ! Ну или хотя бы того же хакера... чем он не специалист в каком-то смысле?!
С другой стороны, если образовывать именно фирму (то есть организацию, причём лигальную, имеющую лицензию и т.д.), здесь всё непредсказуемо. Я считаю, что для этого должна быть как минимум уже определенная клиентская база. Начинать с нуля - равносильно банкротству. Вот ты открыл фирму по безопасности, к тебе же не побегут сломя голову люди и не выстраются длинные очереди как в период перестройки! Проект должен быть как минимум раскручен!

Хочется привести пример: Positive technologies. Это ИТ эксперты, которые себя хорошо зарекомендовали. Секлаб - их, XSpider - тоже их. У них консультируются люди... берём выше, целые компании и организации.

На вопрос "Трудно ли будет найти и нанаять таких челов как вы, разбирающихся в ИТ безопасности." могу сказать точно - ТРУДНО! В основном, такие люди уже где-то работают в хорошооплачиваемом месте или же заняты чем-то прибыльным и перспективным.
Я считаю, бесусловно, анализ на безопасность - это прибыльно и выгадно.
По поводу законности - не в курсе.
Про финансовую сторону тоже промолчу, ибо не знаю.

Может я в чём-то не прав... но таково моё мнение.