Ny tjänst: Coretura söker Security Hub Lead i Göteborg – det här söker arbetsgivaren
Coretura söker Security Hub Lead i Göteborg. Enligt annonsen är det en senior ledarroll inom cybersäkerhet som rapporterar till CDO och spänner över cloud-, produkt- och enterprise security. Uppdraget är att bygga och leda ett “Security Hub” – ett tvärfunktionellt center of excellence – och samtidigt driva off-board/enterprise-säkerhet samt samordna med organisationen för fordonets (onboard) cybersäkerhet för att skapa en sammanhållen end-to-end-säkerhetsnivå.
Annonsen beskriver en produktmiljö där en plattform körs i kommersiella fordon på allmän väg och omfattar bland annat hårdvara, middleware, uppkoppling, OTA-uppdateringar och ett AI-first utvecklingssätt. Säkerhet lyfts som en grundläggande egenskap i allt som byggs – inte en funktion som läggs på i efterhand.
Ansvar och arbetsuppgifter
Rollen innebär både operativt ägarskap och strategisk styrning. Enligt annonsen ska Security Hub Lead direkt äga och leda:
- Cloud & Product Security: säker arkitektur, DevSecOps, sårbarhetshantering och härdning av CI/CD i tjänster som kopplar fordon till omvärlden.
- Enterprise IT Security: IAM, endpoint protection, nätverkssäkerhet och incident response.
- Physical Security: åtkomstkontroll till labb, besöksrutiner och hantering av fysiska incidenter.
Därtill ska rollen samordna med organisationen för onboard vehicle cybersecurity kring:
- Vehicle Cybersecurity: TARA enligt ISO/SAE 21434, efterlevnad av UN R155/R156 samt en zonbaserad säkerhetsarkitektur som spänner från säkerhetskritiska ASIL-partitioner till den externa uppkopplingsgränsen.
Annonsen anger också att Security Hub Lead ska etablera och leda en Security Community of Practice för att sprida säkerhetstänkande över fordons-, moln- och enterprise-domäner.
I värdeskapandet betonas bland annat att rollen ska säkerställa “security by design” från dag ett, samt att compliance ska vara spårbar utan att skapa onödig processbörda för ingenjörer. Rollen ska även äga företagets ISMS och CSMS samt styra en modell för Asset → Threat → Control → Implementation → Evidence. Verktygsstöd ska enligt annonsen integreras i ingenjörernas befintliga arbetssätt, inklusive samma Sphinx-needs-verktygskedja som används för produktdokumentation.
Bland utmaningarna som lyfts finns kravbilden från regelverk (bland annat GDPR och ISO 26262 nämns), en sammanlänkad attackyta mellan cloud och fordon, mjukvaruförsörjningskedjerisk (CVE:er, beroenden och paketpolicy) samt OEM-krav, inklusive att förhandla Cybersecurity Interface Agreements och omsätta säkerhetsarkitektur till krav vid hårdvaruinköp. Incidenthantering ska enligt annonsen möta UN R155-tidslinjer och OEM-kontrakt.
Kravprofil: kompetens och erfarenhet
Krav
- Senior säkerhetsledarskap med bredd över flera domäner (cloud, produkt och enterprise) samt djup i minst två av dem.
- Erfarenhet av ISO/SAE 21434, UN R155/R156 och ISO 27001 i en produktbolagskontext (anges som väsentligt/essential).
- Förmåga att förstå och arbeta med både cloud-arkitektur och TARA.
- Kompetens inom AWS/Azure, DevSecOps och mjukvaruförsörjningskedjesäkerhet.
- Förståelse för att omsätta compliance till praktisk ingenjörsnytta (och tvärtom), inklusive spårbarhet och evidens.
Meriterande
- Bakgrund inom fordonsindustrin (automotive) anges som en stark fördel.
Vilken typ av säkerhetsroll är det?
Utifrån annonsen är detta främst en ledande roll inom cybersäkerhet och informationssäkerhet/IT-säkerhet, med tydligt ansvar för både enterprise IT security och cloud-/produktsäkerhet (inklusive DevSecOps och sårbarhetshantering). Samtidigt har rollen en uttalad koppling till fordonscybersäkerhet och efterlevnad av branschstandarder och regelverk (ISO/SAE 21434, UN R155/R156).
Rollen omfattar även fysiskt skydd i form av labbåtkomst, besökshantering och fysiska incidenter. Annonsen beskriver dessutom en omfattande compliance- och styrningsdimension (ISMS/CSMS, evidens och spårbarhet), vilket gör rollen relevant för organisationer som arbetar i regulatoriskt styrda miljöer.
Det här bör kandidater lyfta i ansökan
Annonsen signalerar att Coretura söker en “generalist med djup” som kan driva både teknik och styrning. Kandidater kan enligt kravbilden vinna på att konkret beskriva:
- Exempel på hur du byggt eller lett ett säkerhetsprogram/center of excellence tvärfunktionellt (motsvarande Security Hub och community of practice).
- Hur du arbetat med ISO/SAE 21434 och UN R155/R156 i praktiken, inklusive TARA och spårbar compliance.
- Hur du förvaltat eller utvecklat ISMS (ISO 27001) och/eller CSMS, inklusive evidenshantering och revisioner.
- Hur du integrerat säkerhetskontroller i utvecklingsflöden (DevSecOps), inklusive CI/CD-härdning, sårbarhetshantering och policyer för beroenden/paket (supply chain).
- Incident response-upplägg: förmåga att möta tidskrav, avtal och förberedelse “ready before an incident”, som annonsen betonar.
- Samverkan med OEM:er och hur du omsatt säkerhetskrav till avtal, gränssnitt (Cybersecurity Interface Agreements) och upphandlings-/inköpskrav.
- Förståelse för kopplingen mellan cloud och fordon (end-to-end attackyta) och hur du drivit alignment mellan team och domäner.
- Erfarenhet av IAM, endpoint- och nätverkssäkerhet i enterprise-miljö samt hur detta knyts ihop med produkt- och molnkrav.
Eftersom annonsen också lyfter “everything as code” och att verktyg ska integreras i ingenjörernas arbetssätt, kan det vara relevant att beskriva hur du arbetat med automatisering, “security tooling” och dokumentations-/kravkedjor som stödjer spårbarhet utan att skapa onödig friktion.
Så söker du tjänsten
Annonsen anger att det går att ansöka anonymt genom att generera och skicka in ett anonymiserat CV och en dold e-postadress, vilket innebär att arbetsgivaren kan granska profilen utan att känna till identitet och hålla den initiala dialogen via en “ospårbar” e-postadress. Sista ansökningsdag framgår inte i annonsen.
Sammanfattningsvis är Coreturas Security Hub Lead i Göteborg en senior, tvärdomän roll som kombinerar cybersäkerhet, informationssäkerhet/IT-säkerhet och viss fysisk säkerhet, med tydligt fokus på produkt- och fordonsnära compliance (ISO/SAE 21434, UN R155/R156) och ett end-to-end-perspektiv från fordon till moln.
