Head of Security på Wint i Göteborg – ansvar, krav och ansökan

Läs vår genomgång av Wints rekrytering av Head of Security i Göteborg: mandat, ansvar (IAM, AppSec, Azure), kravprofil, process och tips för din ansökan.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen beskrivs som ett seniort säkerhetsansvar med direkt rapportering till vd Daniel Johansson och ett uttalat mandat att driva säkerhet tvärs över bolaget, oberoende av CTO-funktionen. Enligt annonsen är upplägget avsiktligt: utveckling ska driva tempo, medan säkerhet ska kunna bromsa när risknivån kräver det.

Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Arbetsformen anges som huvudsakligen på kontoret (4 dagar/vecka) med 1 dag hemifrån som grund. Anställningen är tillsvidare och heltid.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett ansvar som spänner från identitet och åtkomst till applikations- och leverantörssäkerhet, inklusive incidenthantering och stöd till affären. Inledningsvis är fokus särskilt på identitet/åtkomst och kodsäkerhet.

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, ansvara för VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt ansvara för on/offboarding-rutin.
Kodsäkerhet (AppSec): läsa och förstå Wints C#/.NET-kodbas för att kunna granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

När man ”blir varm i kläderna” listas ytterligare ansvarsområden:

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (val av ramverk görs enligt annonsen tillsammans, utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy (vad som är tillåtet/blockeras och hur efterlevnad följs upp) samt säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet vid säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar omsätts i policy och processer.
Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.

Som ett tidigt leveranskrav anger annonsen att den som anställs inom 90 dagar ska presentera en konkret, riskprioriterad åtgärdslista för hur bolaget kan bli säkrare utan att tappa fart.

Kravprofil: kompetens och erfarenhet

Krav

Senior profil med kombination av djup teknisk kompetens och strategiskt ansvar.
7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetsperspektiv (egen utvecklarbakgrund i .NET anges som meriterande men inte krav om applikationssäkerhet behärskas i andra språk).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
Avancerad förståelse för identitet, åtkomst och nätverk, inklusive PIM/PAM, SSO, VPN och segmentering.
Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

Att ha arbetat i eller nära en CISO-/Head of Security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper (enligt annonsen)

Våga säga ”stopp” och kunna göra det med data, inte bara känsla.
Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsen är detta primärt en IT-säkerhets-/informationssäkerhetsroll med tydlig tyngdpunkt på cybersäkerhet i produkt- och utvecklingsmiljö: identitet och åtkomst (IAM), enhetssäkerhet, applikationssäkerhet i C#/.NET, molnsäkerhet i Azure, CI/CD-säkerhet samt leverantörs- och supply chain-säkerhet.

Rollen omfattar även styrning och efterlevnad genom policyarbete och mappning mot ramverk (NIST CSF/ISO 27001/SOC 2) samt moment kopplade till lag & rätt i form av hantering av DPA-frågor och kunders säkerhetskrav. Annonsen nämner också incidenthantering (post-mortem och åtgärdsdrivning) samt AI-säkerhet kopplat till utvecklingsverktyg och datakontroller.

Det här bör kandidater lyfta i ansökan

Annonsen signalerar ett behov av en person som både kan gå ner på detaljnivå i teknik och samtidigt driva prioriteringar och styrning. Exempel på konkreta saker att tydliggöra:

Erfarenhet av att äga och förbättra IAM-upplägg: Azure PIM/PAM, just-in-time, åtkomstrecensioner, SSO och kontolivscykel (on/offboarding).
Praktiskt AppSec-arbete: kodgranskning, hotmodellering eller liknande angreppssätt, samt hur du byggt in säkerhetsskanningar och ”guardrails” i PR- och CI/CD-flöden (t.ex. GitHub Actions).
Molnsäkerhet i Azure: hur du arbetat med nätverkssegmentering, nyckelhantering och skydd av PaaS/managed-tjänster.
Riskstyrning: hur du gör riskanalyser som blir beslutsunderlag, samt hur du prioriterar åtgärder efter sannolikhet/konsekvens och ”mest skydd per insats”, i linje med 90-dagarsleveransen.
Pentest-program: beställning, scope, uppföljning, åtgärdshantering och hur du får utvecklingsteam att omsätta fynd till förbättringar.
Tredjeparts- och supply chain-säkerhet: hur du hanterat beroenden och pipeline-risker (paketregister, actions/byggkedja) och arbetat med DPA-/leverantörsbedömningar.
Incidenthantering: erfarenhet av post-mortem, rotorsaksanalys och att driva åtgärder som faktiskt landar i process och policy.
AI-säkerhet: hur du satt policy och kontroller för AI-verktyg i utveckling så att data inte exponeras oavsiktligt, samt hur du följer upp efterlevnad.

Så söker du tjänsten

Enligt annonsen söker man tjänsten genom att ansöka direkt, alternativt kontakta Linn Cedergårdh vid frågor innan ansökan skickas in. Rekryteringsprocessen omfattar personlighetstest och logiskt test via Alva Labs, följt av telefonsamtal och intervjuer (bland annat med CTO Anders Josefsson och vd Daniel Johansson) samt en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen. Referenstagning och erbjudande/avtalsskrivning ingår också.

Sista ansökningsdag framgår inte av annonsen.

Sammanfattningsvis är “Wint söker Head of security till Wint i Göteborg” en senior Head of Security-roll med tydligt mandat, stark teknisk profil och fokus på IAM, applikations- och molnsäkerhet, risk/pentest, supply chain samt policy- och ramverksarbete i en utvecklingsintensiv miljö.