Head of security – Göteborg – Wint

Wint söker Head of security i Göteborg. Senior roll med mandat att leda IAM, app- och molnsäkerhet (Azure/.NET), risk/pentest, ramverk och incidenthantering.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Enligt jobbannonsen är det en senior säkerhetsroll med direkt rapportering till vd Daniel Johansson och ett uttalat mandat att driva säkerhet tvärs över bolaget, oberoende av CTO-funktionen. Rollen beskrivs som en medveten separation mellan utveckling och säkerhet, där säkerhetsfunktionen ska kunna bromsa när riskbilden kräver det.

Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg, med upplägg om fyra dagar i veckan på kontoret och en dag hemifrån. Anställningsformen anges som tillsvidare och heltid.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett ansvar inom IT-säkerhet och cybersäkerhet, med tyngd på identitet/åtkomst, applikationssäkerhet och praktisk säkerhetsstyrning i en Azure- och .NET-miljö. Initialt ligger fokus på följande:

Identitet, åtkomst och enhetssäkerhet: ägarskap för Azure PIM, vidareutveckling av just-in-time-modell, ansvar för VPN-arkitektur, löpande åtkomstgranskning, ägarskap för MDM-program samt on/offboarding-rutin.
Kodsäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säkra kodningsmönster. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

När man är mer etablerad i rollen lyfts även följande ansvarsområden:

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (enligt annonsen väljs inriktning tillsammans).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att förhindra att kunddata oavsiktligt lämnar system via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flöde för säkerhetsincidenter, leda analys, driva åtgärder och föra tillbaka lärdomar in i policy och process.
Workshops och stöd: stödja interna team och kunder i säkerhetsfrågor, guida utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.

Wint anger även ett konkret leveranskrav: inom 90 dagar ska Head of security presentera en riskprioriterad åtgärdslista för hur bolaget blir säkrare utan att tappa utvecklingstakt.

Kravprofil: kompetens och erfarenhet

Wint söker en senior kandidat som kombinerar djup teknisk kompetens med strategiskt ansvar. Kravbilden är tydligt kopplad till applikationssäkerhet, identitet/åtkomst och molnsäkerhet.

Krav

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetsperspektiv (utvecklarbakgrund i .NET anges som meriterande men inte ett krav).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
Avancerad förståelse för identitet, åtkomst och nätverk (PIM/PAM, SSO, VPN, segmentering).
Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (beställa, leda eller själv utföra).

Meriterande

Att ha arbetat i eller nära en CISO-/Head of Security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Annonsen betonar även personliga egenskaper, bland annat förmåga att säga “stopp” med stöd av data samt att vara självgående och arbeta nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta främst en roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med starkt fokus på:

Identitets- och åtkomsthantering (IAM) i Azure (bland annat Azure PIM och åtkomstgranskning).
Applikationssäkerhet i en C#/.NET-miljö, inklusive säker kodgranskning och automatiserade skanningar i CI/CD.
Molnsäkerhet och säkerhetskrav kopplade till plattform och drift i Azure.
Riskhantering och tredjepartsrisk, inklusive leverantörsstyrning och DPA-frågor.
Incidenthantering med post-mortem och förbättringsarbete.

Annonsen tar också upp efterlevnad och ramverk (NIST CSF/ISO 27001/SOC 2) samt GDPR- och regulatoriska krav kopplat till att Wint hanterar finansiell data (bokföring, lön och bankintegrationer). Däremot nämns inte områden som fysisk säkerhet, personalsäkerhet eller säkerhetsskydd i annonsen.

Det här bör kandidater lyfta i ansökan

För den som söker tjänsten pekar annonsen ut flera konkreta områden att visa upp med exempel, gärna mätbart och kopplat till riskprioritering:

Exempel på hur du byggt eller vidareutvecklat IAM: PIM/PAM, SSO, VPN, segmentering, åtkomstrecensioner samt on/offboarding.
Praktisk erfarenhet av applikationssäkerhet: kodgranskning, sårbarhetsidentifiering i PR-flöden, säker kodning och automatiserade säkerhetsskanningar i CI/CD (t.ex. GitHub Actions).
Hur du arbetat med riskanalyser och tagit fram prioriterade åtgärdslistor som balanserar säkerhet och leveranstakt.
Genomförande och styrning av pentest-program (beställning, uppföljning, åtgärdsplaner).
Erfarenhet av tredjepartsrisk och leverantörsstyrning, inklusive hantering av DPA och supply chain-risker i utvecklingskedjan.
Arbete med säkerhetsramverk (NIST CSF, ISO 27001, SOC 2) och hur du omsatt krav till praktiska kontroller.
Konkreta erfarenheter av incidenthantering: post-mortems, rotorsaksanalys, och hur lärdomar byggts in i policy och process.
Hur du hanterat AI-relaterade säkerhetsfrågor: policy för användning, uppföljning av efterlevnad och datakontroller mot AI-verktyg/leverantörer.

Så söker du tjänsten

Enligt annonsen söker man genom att skicka in ansökan till Wint. Den som har frågor innan ansökan uppmanas att höra av sig till Linn Cedergårdh. Rekryteringsprocessen innehåller även personlighets- och logiskt test via Alva Labs, följt av intervjuer och ett case med presentation av hur kandidaten skulle bygga säkerhetsfunktionen.

Sista ansökningsdatum framgår inte av annonsen.

Sammanfattningsvis signalerar annonsen att Wint prioriterar en senior Head of security med stark teknisk förankring i Azure och applikationssäkerhet, och med mandat att driva riskbaserad styrning, policy och praktiska kontroller i en snabb utvecklingsmiljö.