Wint söker Head of Security i Göteborg | IT-säkerhet, Azure/.NET

Ny tjänst på Wint: Head of Security i Göteborg med fokus på IAM, app- och kodsäkerhet i Azure/.NET. Driv risk, pentest och ramverk: NIST, ISO 27001 och SOC 2.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen är placerad på kontoret i Jacyzhuset i Gårda och är en tillsvidareanställning på heltid. Enligt annonsen är upplägget som grund 4 dagar i veckan på kontoret och 1 dag hemifrån.

Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över bolaget, med en uttalad organisatorisk separation från CTO-funktionen. Rollen innebär nära samarbete med CTO Anders Josefsson och utvecklingsorganisationen, men med uppdraget att kunna stoppa eller senarelägga förändringar när risknivån kräver det.

Ansvar och arbetsuppgifter

Annonsen beskriver en bred IT-säkerhetsroll med både operativa och styrande inslag. Fokus ligger initialt på identitet/åtkomst och applikations- och kodsäkerhet, för att därefter omfatta bland annat risk, ramverk, leverantörsrisk och incidenthantering.

Huvudfokus i början:

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on/offboarding-rutinen.
Kodsäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

Fokus när du kommit in i rollen:

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portföljen samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (val enligt annonsen görs utifrån kund- och regulatoriska behov).
AI-säkerhet: äga policy för AI-användning (tillåtet/blockerat och uppföljning av efterlevnad) och säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar omsätts i policy och process.
Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.

Förväntad leverans första 90 dagar: En riskprioriterad åtgärdslista för hur Wint ska bli säkrare utan att tappa fart, med bedömning av största hot, sannolikhet och åtgärder som ger mest skydd per insats.

Kravprofil: kompetens och erfarenhet

Wint söker enligt annonsen en senior person som kombinerar djup teknisk förmåga med strategiskt ansvar och som kan växla mellan kodnära granskning och övergripande säkerhetsstrategi.

Krav (enligt annonsen):

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetsperspektiv (utvecklarbakgrund i .NET anges som meriterande men inte krav om applikationssäkerhet behärskas i andra språk).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
Avancerad förståelse för identitet, åtkomst och nätverk: PIM/PAM, SSO, VPN, segmentering.
Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande (enligt annonsen):

Att ha arbetat i eller nära en CISO-/Head of Security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper som lyfts:

Våga säga “stopp” och kunna motivera det med data.
Självgående och kunna arbeta nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta primärt en Head of Security-roll inom IT-säkerhet/cybersäkerhet och informationssäkerhet i en moln- och produktutvecklingsmiljö. Tyngdpunkten ligger på identitet och åtkomst (IAM), applikationssäkerhet och kodgranskning, leverantörs- och supply chain-säkerhet samt risk- och ramverksarbete (NIST CSF/ISO 27001/SOC 2).

Annonsen lyfter även efterlevnads- och integritetsfrågor indirekt genom hantering av finansiell data samt GDPR- och regulatoriska krav, liksom DPA-arbete (personuppgiftsbiträdesavtal) och kunddrivna säkerhetskrav i affärsdialoger.

Det här bör kandidater lyfta i ansökan

IAM i Azure: konkreta exempel på arbete med Azure PIM/PAM, just-in-time-åtkomst, SSO, VPN-design och återkommande åtkomstgranskningar.
Applikationssäkerhet i utvecklingsflöden: hur du arbetar med PR-granskningar, secure coding, automatiserade säkerhetsskanningar och förbättring av CI/CD-kontroller (annonsen nämner GitHub Actions och många repos).
Riskbaserad prioritering: erfarenhet av att ta fram riskanalyser och omsätta dem i en åtgärdsplan som balanserar skydd och utvecklingstempo, i linje med 90-dagarsleveransen.
Pentest-program: hur du beställer, leder eller genomför pentester och driver åtgärder från fynd till fix.
Leverantörs- och supply chain-säkerhet: arbetssätt för tredjepartsrisk, DPA-hantering och skydd mot attacker via beroenden och pipelines (NuGet, npm, GitHub Actions).
Ramverk och styrning: exempel på policyarbete och mappning mot NIST CSF/ISO 27001/SOC 2, inklusive hur du följer upp efterlevnad i praktiken.
Incidenthantering: hur du leder post-mortems, driver åtgärder och bygger lärande i processer och policy.
AI-säkerhet: erfarenhet av eller angreppssätt för AI-användarpolicy och datakontroller kopplade till AI-verktyg i utvecklingsmiljö.

Så söker du tjänsten

Enligt annonsen söker du genom att skicka in en ansökan. Den som har frågor kan höra av sig till Linn Cedergårdh.

Wint beskriver följande rekryteringsprocess: ansökan, personlighet- och logiskt test via Alva Labs, inledande telefonsamtal med Talent Acquisition Manager, intervju med CTO Anders Josefsson och Christian Genne (AI Exploration Lead), andra intervju med rekryterande chef/vd Daniel Johansson, caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.

Sista ansökningsdag framgår inte av annonsen. Sammanfattningsvis signalerar rollen ett tydligt behov av senior, kodnära och affärsnära IT-säkerhetskompetens – med mandat att driva styrning, riskprioritering och praktiska säkerhetsförbättringar i en Azure- och .NET-baserad miljö i Göteborg.