Jobb: Information Security Analyst hos Gelato, Stockholms kommun

Gelato söker junior Information Security Analyst i Stockholms kommun. Fokus på SOC, incidenthantering, SIEM/EDR, AWS och AI/LLM. Krav 1–3 år. Läs mer.

Ny tjänst: Gelato söker Information Security Analyst i Stockholms kommun – det här söker arbetsgivaren

Gelato söker Information Security Analyst i Stockholms kommun. Enligt annonsen gäller det en junior, hands-on och genomförandeinriktad roll i bolagets växande säkerhetsfunktion, med tyngdpunkt på att analysera säkerhetshändelser, triagera larm och driva incidenter till avslut.

Rollen rapporterar till Head of Information Security och beskrivs som en del av ett säkerhetsteam som ska möjliggöra verksamheten – “enablers, not blockers”. Annonsen lyfter även ett tydligt AI-fokus i säkerhetsarbetet, där LLM-verktyg förväntas användas i det dagliga operativa arbetet. Exakt placeringsort utöver “Stockholms kommun” samt anställningsform/omfattning framgår inte i annonsen.

Ansvar och arbetsuppgifter

Arbetsuppgifterna kretsar kring security operations, incidenthantering och detektion i en molnbaserad miljö. Gelato beskriver ett brett operativt ansvar, inklusive beredskap i form av jour.

Daglig triage och utredning av säkerhetslarm i SIEM, EDR och molnövervakningsverktyg.
Driva incident response vid allvarligare händelser: containment, bevisinhämtning, rotorsaksanalys och efterdokumentation.
Delta i on-call-rotation och hantera eskaleringar utanför kontorstid.
Eskalera komplexa/högprioriterade incidenter till seniora kollegor med komplett överlämningsdokumentation.
Förvalta och förbättra runbooks, playbooks och intern kunskapsbas för incidenthantering.
Övervaka säkerhetsverktyg (SIEM, WAF, EDR, IAM) för misstänkt aktivitet och avvikande beteende.
Bidra till tuning av detektionsregler och larmtrösklar för bättre signal/brus-förhållande.
Arbeta med threat intelligence och omsätta insikter till förbättringar i detektion.
Använda AI/LLM-verktyg för att snabbare triagera larm, sammanfatta incidenter och ta fram underlag till kommunikation med intressenter.
Bidra till automation som minskar manuellt arbete i detektions- och responsflöden.
Stötta compliance- och governancearbete genom evidensinsamling och kontrolltestning (ISO 27001, SOC 2, NIST CSF).
Stöd i sårbarhetshantering: följa upp åtgärder och kommunicera status.
Bidra till säkerhetsmedvetenhet genom dokumentation och “awareness”-insatser internt.

Kravprofil: kompetens och erfarenhet

Annonsen beskriver en junior profil med 1–3 års relevant erfarenhet, men betonar också nyfikenhet, struktur och snabb utvecklingsförmåga.

Krav

1–3 års erfarenhet från security operations, IT-säkerhet eller närliggande teknisk roll (inklusive praktik/lärlingsspår eller motsvarande hands-on-exponering).
Praktisk erfarenhet av SIEM- eller EDR-verktyg (professionellt eller via labb/CTF/home lab).
Förståelse för centrala säkerhetskoncept: exempelvis MITRE ATT&CK, incident response-livscykeln och vanliga sårbarhetsklasser.
Vana att arbeta i molnmiljö, särskilt AWS, med förståelse för IAM, loggning och grundläggande cloud-native hotvektorer.
AI-native arbetssätt: aktiv användning av LLM/AI-assistenter som produktivitetsverktyg och vilja att tillämpa dem i säkerhetskontext.
God kommunikativ förmåga på engelska i tal och skrift, inklusive att dokumentera incidenter tydligt för både tekniska och icke-tekniska mottagare.

Meriterande

Scripting/automation med Python, Bash eller PowerShell.
Bekantskap med ramverk som ISO 27001 eller SOC 2.
Erfarenhet av verktyg som Cloudflare, ELK stack eller sårbarhetsskannrar (exempel i annonsen: Semgrep, CodeCI, SonarQube, Coana).
Certifieringar som CompTIA Security+, CySA+, BTL1 eller motsvarande, alternativt pågående GIAC-spår.
Praktisk erfarenhet av att bygga enklare integrationer/automation mellan säkerhetsverktyg.
Examen inom datavetenskap, informationssäkerhet eller närliggande område (Gelato betonar att erfarenhet kan väga tyngre än formella meriter).

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta primärt en roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med fokus på operativt säkerhetsarbete (SOC-liknande arbetsuppgifter) i moln- och SaaS-miljö. Tyngdpunkten ligger på incidenthantering, övervakning, detektion och sårbarhetshantering, samt på att stödja styrning och efterlevnad genom arbete kopplat till ISO 27001, SOC 2 och NIST CSF.

Rollen har även en tydlig beredskapsdimension genom krav på on-call-rotation och förmåga att agera snabbt vid incidenter, inklusive dokumentation och eskalering.

Det här bör kandidater lyfta i ansökan

För den som söker ett säkerhetsjobb i Sverige inom Security Operations är annonsen tydlig med vad Gelato vill se i praktiken. Kandidater kan med fördel konkretisera följande i CV och ansökan (på engelska):

Exempel på incidenter eller larm du triagerat och utrett: hur du avgränsade, samlade evidens och dokumenterade.
Vilka SIEM/EDR-lösningar du arbetat i (även labb/CTF), och hur du reducerat brus eller förbättrat detektioner.
Erfarenhet av AWS-säkerhet i vardagen: IAM, loggar, grundläggande hotbilder och hur du skulle övervaka molnmiljön.
Hur du använder MITRE ATT&CK eller andra angreppsramverk i analys och kommunikation.
Din metodik för post-incident: rotorsaksanalys, “lessons learned” och förbättring av runbooks/playbooks.
Hur du använder AI/LLM-verktyg för att effektivisera triage, skriva incident-sammanfattningar och ta fram underlag till intressenter.
Eventuella inslag av compliance-stöd (t.ex. evidensinsamling/kontroller) och samverkan med andra delar av organisationen.

Så söker du tjänsten

Annonsen anger att CV ska laddas upp på engelska. Sista ansökningsdatum framgår inte i annonsen, och inte heller lönenivå eller om tjänsten är heltid/deltid.

Sammanfattningsvis signalerar Gelatos rekrytering ett fortsatt starkt behov av juniora, operativa profiler inom IT-säkerhet och incidenthantering – med ökande fokus på molnsäkerhet, automation och AI-stödda säkerhetsprocesser.