Head of security – Göteborg – Wint

Senior roll med mandat att leda Wints säkerhetsarbete i Göteborg. Fokus på IAM/Azure, applikationssäkerhet, pentest och risk, policy/ramverk samt AI-säkerhet.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen är en senior IT-säkerhetsroll med tydligt mandat: som Head of Security rapporterar du direkt till vd och ska driva säkerhetsarbetet tvärs över hela bolaget, med en avsiktlig separation från CTO-funktionen. Enligt annonsen är uppdraget att kunna bromsa när det behövs – “nej, eller åtminstone inte än” – samtidigt som utvecklingstakten bibehålls.

Tjänsten är placerad på kontoret i Jacyzhuset i Gårda, Göteborg. Wint anger som grund 4 dagar i veckan på kontoret och 1 dag hemifrån. Anställningen är tillsvidare på heltid.

Ansvar och arbetsuppgifter

Wint beskriver ett brett ansvar som spänner från identitet och åtkomst till applikations- och leverantörssäkerhet, inklusive incidenthantering och stöd till affären. I början lyfts två huvudfokus:

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga rutiner för on/offboarding.
Kodsäkerhet: kunna läsa och förstå bolagets C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

När du har kommit in i rollen ska du enligt annonsen även driva:

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker kopplat till exempelvis NuGet, npm och GitHub Actions.
Policy och ramverk: vidareutveckla säkerhetspolicys och mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val görs tillsammans utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flöde för säkerhetsincidenter, leda analys och driva åtgärder samt säkerställa att lärdomar blir del av policy och process.
Workshops och stöd: stötta interna team och kunder, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.

En konkret leverans som efterfrågas är att inom 90 dagar presentera en riskprioriterad åtgärdslista: största hoten, sannolikhet och vilka åtgärder som ger mest skydd per insats – utan att tappa fart.

Kravprofil: kompetens och erfarenhet

Annonsen beskriver en senior profil som kombinerar djup teknisk kompetens med strategiskt ansvar och förmåga att växla mellan kodnära granskning och övergripande säkerhetsstyrning.

Krav

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetsperspektiv (utvecklarbakgrund i .NET anges som meriterande men inte ett krav om applikationssäkerhet i andra språk behärskas).
Erfarenhet av molnmiljöer, särskilt Azure, inklusive IAM, nyckelhantering och nätverkssäkerhet.
Avancerad förståelse för identitet, åtkomst och nätverk (PIM/PAM, SSO, VPN, segmentering).
Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

Arbetat i eller nära en CISO-/Head of Security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).

Personliga egenskaper (enligt annonsen)

Vågar säga “stopp” och kan göra det med data.
Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta främst en roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med tydlig tyngd på identitet- och åtkomsthantering (IAM), molnsäkerhet i Azure samt applikationssäkerhet i en C#/.NET-miljö. Rollen omfattar även styrning och efterlevnad genom policyarbete och mappning mot ramverk som NIST CSF, ISO 27001 och SOC 2, samt leverantörs- och supply chain-säkerhet kopplat till utvecklingskedjan.

Annonsen lyfter också incidenthantering och riskarbete, samt AI-säkerhet (policy och datakontroller i relation till AI-verktyg/leverantörer). Däremot nämns inte fysisk säkerhet, personalsäkerhet eller säkerhetsskydd i annonsen.

Det här bör kandidater lyfta i ansökan

För den som söker tjänsten som Head of security hos Wint pekar annonsen ut flera områden som sannolikt är viktiga att konkretisera med exempel:

IAM och åtkomststyrning: erfarenhet av PIM/PAM, just-in-time-upplägg, SSO, återkommande access reviews och hur on/offboarding säkras i praktiken.
Molnsäkerhet i Azure: hur du arbetat med IAM, nycklar/hemligheter, nätverkskontroller och grundläggande “guardrails” i molnplattformar.
Applikations- och kodsäkerhet: hur du genomfört kodgranskning och byggt in säkerhetskontroller i CI/CD, samt hur du arbetat med automatiserade skanningar och PR-flöden.
Pentest och risk: hur du planerat/ägt pentestprogram, omsatt fynd till prioriterade åtgärder och arbetat med riskanalyser.
Leverantörs- och tredjepartsrisk: hantering av DPA:er och praktiska kontroller för att minska supply chain-risker i utvecklingsmiljön (beroenden och pipeline-komponenter).
Styrning, policy och ramverk: erfarenhet av att mappa kontroller mot exempelvis ISO 27001, NIST CSF eller SOC 2 och omsätta krav till genomförbara arbetssätt.
Incidenthantering: hur du drivit post-mortems, rotorsaksanalyser och uppföljning som leder till varaktiga förbättringar.
AI-säkerhet: hur du resonerar kring policy, datakontroller och efterlevnad när AI-verktyg används i utveckling och vardagsarbete.
Förmåga att prioritera utan att bromsa i onödan: exempel på hur du använt data för att säga nej, eller föreslå “inte än”, och samtidigt gett en väg framåt.

Så söker du tjänsten

Enligt annonsen ansöker man genom att söka direkt. Den som har frågor innan ansökan kan höra av sig till Linn Cedergårdh. Rekryteringsprocessen omfattar personlighets- och logiskt test via Alva Labs, följt av inledande samtal och intervjuer (inklusive CTO och vd), caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, samt referenser innan erbjudande.

Sista ansökningsdag framgår inte i annonsen.

Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom modern IT-säkerhet för mjukvarubolag: stark IAM- och molnkompetens, kodnära applikationssäkerhet, risk- och ramverksarbete samt förmåga att styra säkerhet tvärfunktionellt med mandat nära ledningen.