Wint söker Head of Security i Göteborg – IT-säkerhetsroll

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen beskrivs som en senior säkerhetsfunktion med direkt rapportering till vd Daniel Johansson och ett uttalat mandat att driva säkerhetsarbetet tvärs över bolaget – organisatoriskt separerat från CTO-funktionen. Enligt annonsen ska Head of Security arbeta nära CTO Anders Josefsson och utvecklingsorganisationen, men också kunna stoppa eller senarelägga förändringar när riskbilden kräver det.

Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Arbetsupplägget anges som fyra dagar per vecka på kontoret och en dag hemifrån som grund. Anställningsformen är tillsvidare, heltid.

Ansvar och arbetsuppgifter

Wint beskriver att rollen initialt har två huvudspår: identitet/åtkomst/enhetssäkerhet samt kodsäkerhet. Därefter breddas uppdraget till bland annat pentest, risk, leverantörssäkerhet, policy/ramverk, AI-säkerhet och incidenthantering.

• Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskningar, äga MDM-program samt äga rutiner för on/offboarding.
• Kodsäkerhet (applikationssäkerhet): läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning; vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
• Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
• Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt arbeta för att minska exponering mot supply chain-attacker (exempel i annonsen: NuGet, npm, GitHub Actions).
• Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (val enligt annonsen gemensamt utifrån kund- och regulatoriska behov).
• AI-säkerhet: äga AI-användarpolicy (tillåtet/blockerat och uppföljning av efterlevnad) samt säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
• Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och driva åtgärder samt säkerställa att lärdomar omsätts i policy och processer.
• Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär samt DPA-frågor.

En tydlig leverans i annonsen är att kandidaten inom 90 dagar ska presentera en riskprioriterad åtgärdslista för hur bolaget kan bli säkrare utan att tappa utvecklingstakt, med fokus på hot, sannolikhet och åtgärdseffekt per insats.

Kravprofil: kompetens och erfarenhet

Wint efterfrågar en senior profil som kombinerar djup teknisk kompetens med strategiskt ansvar, och som kan röra sig mellan kodgranskning och övergripande säkerhetsstyrning.

Krav

• 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
• Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetsperspektiv (utvecklarbakgrund i .NET anges som meriterande, men inte ett krav om man behärskar applikationssäkerhet i andra språk).
• Erfarenhet av molnmiljöer, särskilt Azure, inklusive IAM, nyckelhantering och nätverkssäkerhet.
• Avancerad förståelse för identitet, åtkomst och nätverk, med exempel som PIM/PAM, SSO, VPN och segmentering.
• Erfarenhet av minst ett etablerat säkerhetsramverk, såsom NIST CSF, ISO 27001, SOC 2 eller motsvarande.
• Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

• Erfarenhet av att arbeta i eller nära en CISO-/Head of Security-roll.
• Erfarenhet av att forma säkerhetsfunktioner på växande bolag.
• Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper (enligt annonsen)

• Våga säga ”stopp” och kunna motivera beslut med data.
• Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Annonsen positionerar rollen tydligt inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med stark tyngdpunkt på identitets- och åtkomsthantering (IAM), molnsäkerhet i Azure samt applikationssäkerhet i en C#/.NET-miljö. Uppdraget omfattar även säkerhetsstyrning och compliance-liknande arbete genom policys och mappning mot ramverk (NIST CSF, ISO 27001, SOC 2), samt leverantörs- och supply chain-säkerhet kopplat till tredjepartsrisk och DPA.

Rollen inkluderar även incidenthantering och en uttalad del kring AI-säkerhet, där policy och datakontroller mot AI-leverantörer lyfts fram som ett eget ansvarsområde. Annonsen innehåller däremot inget om säkerhetsskydd, fysiskt skydd, personalsäkerhet eller beredskap i traditionell mening.

Det här bör kandidater lyfta i ansökan

• Konkreta exempel på hur du har byggt eller förbättrat IAM/IAP-lösningar, exempelvis PIM/PAM, åtkomstgranskning, on/offboarding, SSO och VPN-arkitektur.
• Erfarenhet av applikationssäkerhet i praktiken: kodgranskning, sårbarhetsidentifiering i PR-flöden samt hur du arbetar med automatiserade säkerhetsskanningar i CI/CD (annonsen nämner GitHub Actions).
• Hur du genomför riskanalyser och prioriterar åtgärder utifrån hotbild, sannolikhet och effekt – i linje med Wints 90-dagarsleverans.
• Genomförda eller ledda pentest-program: beställning, scope, uppföljning och åtgärdsdriv.
• Arbete med tredjepartsrisk och leverantörsstyrning, inklusive hantering av DPA och åtgärder mot supply chain-risker.
• Erfarenhet av att arbeta mot ett ramverk (NIST CSF/ISO 27001/SOC 2) och att omsätta krav till policy, process och praktiska kontroller.
• Incidenthantering och post-mortem: hur du leder analys, driver åtgärder och säkerställer lärande.
• AI-säkerhet ur policy- och datakontrollperspektiv, särskilt kopplat till utvecklingsverktyg och risk för dataexponering.
• Samverkan med utveckling och affär: exempel på när du behövt säga ”nej” eller ”inte än” och hur du förankrat det med fakta.

Så söker du tjänsten

Enligt annonsen ansöker man genom att söka direkt. Den som har frågor innan ansökan kan höra av sig till Linn Cedergårdh. Sista ansökningsdag framgår inte av annonsen.

Rekryteringsprocessen beskrivs som: ansökan, personlighetstest och logiskt test via Alva Labs, inledande telefonsamtal med Talent Acquisition Manager, intervju med CTO och medgrundare Anders Josefsson samt Christian Genne (AI Exploration Lead), en andra intervju med vd Daniel Johansson, caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.

Sammanfattningsvis är ”Wint söker Head of security till Wint i Göteborg” en senior IT-säkerhetsroll med starkt mandat, nära koppling till utveckling och tydligt fokus på IAM, applikationssäkerhet, risk/pentest, leverantörssäkerhet, ramverk samt AI-säkerhet i en Azure- och .NET-miljö.