Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Rollen är placerad i Göteborg (Jacyzhuset i Gårda) och är en tillsvidareanställning på heltid. Enligt annonsen är grundupplägget för distansarbete fyra dagar i veckan på kontoret och en dag hemifrån.
Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över hela bolaget, med en uttalad organisatorisk separation från CTO-funktionen. Fokus ligger på att kombinera strategisk styrning med praktiskt tekniskt arbete nära utveckling och plattform, i en miljö som enligt annonsen hanterar finansiell data (bokföring, lön och bankintegrationer) med tydliga GDPR- och regulatoriska krav.
Ansvar och arbetsuppgifter
Annonsen beskriver att rollen initialt ska prioritera identitet/åtkomst och kodsäkerhet, och därefter bredda till risk, leverantörssäkerhet, ramverk, AI-säkerhet och incidenthantering. Exempel på ansvar:
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on-/offboarding-rutiner.
- Kodsäkerhet (applikationssäkerhet): kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i mönster för säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flöden.
- Pentest och risk: äga pentest-program, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portföljen samt minska exponering mot supply chain-attacker (annonsen nämner NuGet, npm och GitHub Actions).
- Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och SOC 2 (val ska göras utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga policy för AI-användning (vad som är tillåtet/blockas och hur efterlevnad följs upp) och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar system via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar införs i policy och process.
- Stöd och workshops: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.
Inom de första 90 dagarna vill Wint enligt annonsen att den som anställs presenterar en konkret, riskprioriterad åtgärdslista för hur bolaget ska bli säkrare utan att tappa utvecklingstakt.
Kravprofil: kompetens och erfarenhet
Krav
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetssynpunkt (egen utvecklarbakgrund i .NET anges som meriterande men inte ett krav om applikationssäkerhet behärskas i andra språk).
- Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
- Avancerad förståelse för identitet och åtkomst samt nätverk (PIM/PAM, SSO, VPN, segmentering).
- Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
- Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).
Meriterande (enligt annonsen)
- Erfarenhet av att arbeta i eller nära en CISO-/Head of Security-roll.
- Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.
Personliga egenskaper som efterfrågas
- Att våga säga “stopp” och kunna motivera beslut med data, inte bara magkänsla.
- Att vara självgående och arbeta nära både utveckling och affär.
Vilken typ av säkerhetsroll är det?
Utifrån annonsens innehåll är detta främst en senior roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med tydlig tyngdpunkt på identitet och åtkomst (IAM), molnsäkerhet i Azure samt applikationssäkerhet i en C#/.NET-miljö. Rollen omfattar också riskhantering, incidenthantering, leverantörs- och supply chain-säkerhet samt arbete med policy och mappning mot etablerade ramverk (NIST CSF, ISO 27001 och SOC 2).
Annonsen pekar även ut AI-säkerhet som ett eget ansvarsområde, inklusive policy för användning av AI-verktyg och datakontroller mot AI-leverantörer. Däremot nämns inte fysisk säkerhet, personalsäkerhet eller säkerhetsskydd specifikt i annonsen.
Det här bör kandidater lyfta i ansökan
För den som söker tjänsten som Head of Security/säkerhetschef i en tekniktung organisation beskriver annonsen flera områden som är centrala att konkretisera i ansökan och intervjuer:
- Exempel på hur du byggt eller vidareutvecklat IAM: PIM/PAM, SSO, VPN, segmentering, åtkomstgranskningar samt on-/offboarding.
- Din metodik för kod- och applikationssäkerhet: hur du granskar pull requests, prioriterar sårbarheter och inför automatiserade skanningar i CI/CD (annonsen nämner GitHub Actions).
- Hur du driver riskanalys och pentest-program: beställning, genomförande/ledning, prioritering och uppföljning av åtgärder.
- Hur du hanterar tredjepartsrisk och DPA-frågor, inklusive arbete för att minska supply chain-risker i beroenden och byggkedjor.
- Erfarenhet av att arbeta mot ramverk (NIST CSF/ISO 27001/SOC 2): hur du mappar kontroller, tar fram policys och får efterlevnad att fungera i praktiken.
- Konkreta exempel på incidenthantering och post-mortem: hur du leder analys, driver åtgärdsplaner och omsätter lärdomar i process och policy.
- Hur du balanserar utvecklingstakt och säkerhetskrav, i linje med annonsens betoning på att kunna säga “nej, eller åtminstone inte än” när riskbilden kräver det.
- Om du har arbetat med AI-säkerhet: policyarbete, styrning av verktygsanvändning och kontroller för att skydda kund- och affärsdata.
Så söker du tjänsten
Enligt annonsen söker man genom att skicka in ansökan och därefter följer en process som inkluderar personlighets- och logiskt test via Alva Labs, inledande telefonsamtal, intervjuer med CTO och andra nyckelpersoner, intervju med vd, caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.
Wint uppger även att den som har frågor kan höra av sig till Linn Cedergårdh. Sista ansökningsdag framgår inte av annonsen.
Sammanfattningsvis signalerar annonsen ett tydligt behov av en senior Head of Security med stark praktisk förmåga inom Azure, IAM och applikationssäkerhet, som samtidigt kan driva styrning, riskarbete och incidenthantering i en snabbväxande, AI-tung utvecklingsmiljö i Göteborg.
