Wint söker Head of Security i Göteborg – krav, ansvar & ansökan

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker en Head of Security med placering i Göteborg. Enligt annonsen är rollen direkt underställd vd Daniel Johansson och har mandat att driva säkerhetsarbetet tvärs över bolaget, med en uttalad organisatorisk separation från CTO-funktionen. Rollen innebär nära samarbete med utvecklingsorganisationen, men med uppdrag att kunna stoppa eller senarelägga förändringar när riskbilden kräver det.

Tjänsten är en tillsvidareanställning på heltid. Wint anger kontor i Jacyzhuset i Gårda, Göteborg, och en grundmodell för distansarbete på fyra dagar per vecka på kontoret och en dag hemifrån.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett ansvar inom IT-säkerhet och informationssäkerhet, med tydlig tyngdpunkt på identitet/åtkomst, applikationssäkerhet och styrning av risk- och leverantörsrelaterade frågor.

Initialt fokus enligt annonsen:

• Identitet, åtkomst och enhetssäkerhet: ägarskap för Azure PIM och vidareutveckling av just-in-time-modell, ansvar för VPN-arkitektur, löpande åtkomstgranskningar, ägarskap för MDM-program samt on-/offboarding-rutiner.
• Kodsäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning, samt vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

Fokus när kandidaten är “varm i kläderna”:

• Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
• Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj, samt minska exponering mot supply chain-attacker kopplade till exempelvis NuGet, npm och GitHub Actions.
• Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (vad som väljs ska enligt annonsen matcha kund- och regulatoriska behov).
• AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
• Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och driva åtgärder samt säkerställa att lärdomar omsätts i policy och process.
• Workshops och stöd: stödja interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.

Förväntad leverans inom 90 dagar: en riskprioriterad åtgärdslista för hur bolaget ska bli “säkrare utan att tappa fart”, där hot, sannolikhet och åtgärders effekt per insats tydliggörs.

Kravprofil: kompetens och erfarenhet

Wint söker en senior profil som kombinerar tekniskt djup med strategiskt ansvar, och som kan röra sig mellan operativ kodnära säkerhet och övergripande säkerhetsstyrning.

Krav (enligt annonsen):

• 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
• Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetsperspektiv (egen .NET-utvecklarbakgrund är meriterande men inte ett krav om applikationssäkerhet behärskas i andra språk).
• Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
• Avancerad förståelse för identitet, åtkomst och nätverk, exempelvis PIM/PAM, SSO, VPN och segmentering.
• Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
• Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande (enligt annonsen):

• Arbetat i eller nära en CISO-/Head of Security-roll tidigare.
• Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
• Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper som lyfts:

• Kunna säga “stopp” och göra det datadrivet, inte på känsla.
• Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Det här är i första hand en senior roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet i ett mjukvaru- och molnorienterat bolag. Annonsen betonar särskilt:

• IAM och åtkomststyrning (Azure PIM, just-in-time, åtkomstgranskningar, on/offboarding).
• Applikationssäkerhet och DevSecOps-nära arbetssätt (PR-granskning, automatiserade skanningar, GitHub Actions och många repositories).
• Risk- och leverantörsstyrning inklusive tredjepartsrisk, DPA och skydd mot supply chain-attacker.
• Styrning och efterlevnad genom policyarbete och mappning mot ramverk som NIST CSF/ISO 27001/SOC 2.
• Incidenthantering med post-mortem och kontinuerlig förbättring.
• AI-säkerhet kopplat till användning av AI-utvecklingsverktyg och datakontroller.

Annonsen nämner även hantering av finansiell data och “tydliga GDPR- och regulatoriska krav”, vilket placerar rollen nära compliance- och kundkravsarbete i säkerhetsarbetet. Däremot framgår inget om säkerhetsskydd, fysiskt skydd, personalsäkerhet eller beredskap utöver incidenthantering i IT-miljö.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens innehåll kan det vara relevant att konkretisera följande i ansökan och i en eventuell casepresentation:

• Exempel på hur du byggt eller vidareutvecklat IAM: PIM/PAM, SSO, rollmodeller, JIT/JEA, återkommande åtkomstrecensioner och säkra on/offboarding-flöden.
• Hur du arbetat kodnära med applikationssäkerhet: sårbarhetsgranskning i PR, secure coding practices, och hur du infört/utvecklat automatiserade skanningar i CI/CD.
• Erfarenhet av Azure-säkerhet, särskilt kopplat till nyckelhantering, nätverkssäkerhet och identitetskontroller i molnplattform.
• Hur du driver riskanalyser och prioriterar åtgärder – i linje med Wints 90-dagarsmål om en riskprioriterad åtgärdslista.
• Praktiska exempel på pentest-program: upphandling/beställning, scope, uppföljning av fynd och verifiering av åtgärder.
• Arbete med tredjepartsrisk, DPA-hantering och åtgärder mot supply chain-risker i utvecklingskedjan (beroenden, pipelines och actions).
• Hur du mappat säkerhetsarbete mot NIST CSF, ISO 27001 eller SOC 2 och omsatt krav i policy, process och tekniska kontroller.
• Exempel på incidenthantering och post-mortem: rotorsaksanalys, åtgärdsdriv och hur lärdomar institutionaliseras.
• Hur du har tagit fram eller förvaltat AI-användarpolicy och datakontroller vid användning av AI-verktyg i utvecklingsmiljö.

Så söker du tjänsten

Enligt annonsen söker man genom att skicka in ansökan direkt. Den som vill ställa frågor innan ansökan kan kontakta Linn Cedergårdh. Sista ansökningsdag framgår inte av annonsen.

Rekryteringsprocessen som beskrivs omfattar bland annat personlighets- och logiktest via Alva Labs, inledande samtal, intervjuer med CTO och andra nyckelpersoner, intervju med vd, en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen samt referenstagning.

Sammanfattningsvis signalerar annonsen att Wint söker en Head of Security med stark teknisk förankring i moln- och applikationssäkerhet, kombinerat med förmåga att driva styrning, riskprioritering och kund- och leverantörsrelaterade säkerhetskrav i en växande verksamhet i Göteborg.