Security Hub Lead – Göteborg – Coretura

Bygg och led ett Security Hub för cybersäkerhet över moln, produkt och enterprise. Ägarskap för ISMS/CSMS, DevSecOps, incidenthantering och regelefterlevnad (ISO 27001, ISO/SAE 21434, UN R155/R156).

Ny tjänst: Coretura söker Security Hub Lead i Göteborg – det här söker arbetsgivaren

Coretura söker Security Hub Lead i Göteborg. Enligt annonsen handlar det om en senior säkerhetsledarroll som rapporterar till CDO och spänner över moln-, produkt- och enterprisesäkerhet. Rollen ska bygga och leda ett “Security Hub” – ett tvärfunktionellt center of excellence som ska förankra cybersäkerhet i de domäner Coretura verkar inom, och samtidigt samordna tätt med organisationen för fordonsnära (onboard) cybersäkerhet.

I beskrivningen lyfter Coretura att plattformen körs i kommersiella fordon på publika vägar och omfattar bland annat hårdvara, middleware, uppkoppling och OTA-uppdateringar, vilket ställer krav på långsiktig, spårbar och praktiskt fungerande säkerhet. Arbetsform (t.ex. hybrid/remote) och sista ansökningsdag framgår inte av annonsen.

Ansvar och arbetsuppgifter

Security Hub Lead får ett brett mandat med direkt ägarskap för flera säkerhetsområden samt ett koordinerande ansvar gentemot fordonscybersäkerhet.

Cloud & Product Security: säker arkitektur, DevSecOps, sårbarhetshantering samt härdning av CI/CD för tjänster som kopplar fordon till omvärlden.
Enterprise IT Security: IAM, endpointskydd, nätverkssäkerhet och incidenthantering.
Physical Security: åtkomstkontroll till labb, besökshantering och hantering av fysiska incidenter.

Rollen ska enligt annonsen även koordinera med organisationen för onboard vehicle cybersecurity inom:

Fordonssäkerhet inklusive TARA enligt ISO/SAE 21434.
Efterlevnad av UN R155/R156.
Zonbaserad säkerhetsarkitektur som spänner från säkerhetskritiska ASIL-partitioner till gränsen för extern uppkoppling.

Därutöver ingår att etablera och leda en Security Community of Practice för att sprida säkerhetstänk över fordon, moln och enterprise.

Annonsen beskriver också att rollen ska äga företagets ISMS och CSMS, styra en modell för Asset → Threat → Control → Implementation → Evidence, samt se till att säkerhetsverktyg integreras i ingenjörernas arbetssätt och dokumentationsflöden (med Sphinx-needs-verktygskedjan).

Kravprofil: kompetens och erfarenhet

Krav

Senior säkerhetsledarskap med bred förmåga över flera domäner (moln/produkt/enterprise), och djup i minst två av de områden som listas i annonsen.
Erfarenhet av ISO/SAE 21434, UN R155/R156 och ISO 27001 i en produktbolagskontext (anges som väsentligt).
Förväntad trygghet i AWS/Azure, DevSecOps och mjukvaruförsörjningskedjesäkerhet (software supply chain security).
Förmåga att kombinera ingenjörsnära säkerhetsarbete med compliance så att arbetet blir “lean, auditable, and real”, enligt annonsen.

Meriterande

Bakgrund från fordonsindustrin (anges som en stark fördel).

Vilken typ av säkerhetsroll är det?

Rollen är i första hand en cybersäkerhets- och informationssäkerhetsnära ledarbefattning, med tydliga inslag av IT-säkerhet (IAM, endpoint, nätverk, incident response) och produkt-/plattformsäkerhet (secure architecture, CI/CD, sårbarheter och DevSecOps). Samtidigt omfattar uppdraget även fysiskt skydd kopplat till labbmiljöer och besöksflöden.

Utifrån annonsens fokus på regelverk och standarder (bland annat ISO/SAE 21434, UN R155/R156, ISO 27001 och GDPR samt hänvisning till ISO 26262) är detta också en tydlig governance- och compliance-roll, där spårbarhet och evidens är centrala. Annonsen beskriver att incidentförmågan behöver möta tidskrav enligt UN R155 och OEM-kontrakt, vilket pekar på ett moget krav på operativ incidenthantering och beredskap inom cybersäkerhet.

Det här bör kandidater lyfta i ansökan

Annonsen efterfrågar en generalist med dokumenterad bredd och förmåga att knyta ihop domäner. Följande är exempel på sådant som ligger nära beskrivningen och kan vara relevant att konkretisera:

Exempel på hur du byggt eller lett en säkerhetsfunktion/“center of excellence” som får genomslag i produktutveckling (security by design) utan att skapa onödig process.
Erfarenhet av ISMS/CSMS-arbete och hur du skapat spårbarhet från tillgångar och hot till kontroller, implementation och evidens.
Praktiska resultat inom DevSecOps: hur du integrerat säkerhetskontroller i CI/CD, arbetat med härdning och sårbarhetshantering samt gjort det utvecklarvänligt.
Software supply chain security: exempel på arbete med paketpolicyer, CVE-hantering och bevakning av beroenden (inklusive “aged dependencies” som nämns i annonsen).
Incidenthantering: hur du byggt incidentprocesser och förmåga som möter externa krav och avtal (t.ex. OEM-krav och tidslinjer).
Samverkan mellan cloud/enterprise och fordonssäkerhet: erfarenhet av att läsa och använda både cloud-arkitektur och TARA-underlag i beslutsfattande.
Om du har fordonsbakgrund: erfarenhet av ISO/SAE 21434, UN R155/R156 och relaterade gränssnitt med OEM, inklusive förhandling/hantering av Cybersecurity Interface Agreements (som nämns i annonsen).

Så söker du tjänsten

Coretura beskriver i annonsen att det går att söka anonymt genom att skapa och skicka in ett anonymiserat CV och en dold e-postadress, så att initial dialog kan ske via en icke-spårbar mailadress. Exakt länk eller ansökningsväg utöver detta framgår inte av underlaget här. Sista ansökningsdag framgår inte i annonsen.

Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov i gränslandet mellan produkt-/plattformssäkerhet, IT- och informationssäkerhet samt regelstyrd fordonscybersäkerhet, med ansvar som även omfattar incidentförmåga och fysiskt skydd i labbmiljö.