Head of Security – Göteborg – Wint

Senior roll med ansvar för IAM, appsec, Azure, pentest/risk, leverantörs- och AI-säkerhet. Heltid i Göteborg, hybrid. Rapporterar till vd.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen beskrivs som ett seniora säkerhetsuppdrag med direkt rapportering till vd Daniel Johansson och ett tydligt mandat att driva säkerhet tvärs över hela bolaget, fristående från CTO-funktionen. Enligt annonsen är upplägget medvetet: utveckling ska driva tempo, medan säkerhet ska kunna bromsa vid behov.

Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Distansarbete anges som grund 4 dagar i veckan på kontoret och 1 dag hemifrån. Anställningsformen är tillsvidare, heltid. Sista ansökningsdag framgår inte i annonsen.

Ansvar och arbetsuppgifter

Wint lyfter både initiala fokusområden och ansvarsområden som blir mer aktuella när kandidaten är “varm i kläderna”. Sammantaget omfattar rollen styrning och praktiskt genomförande inom IT-säkerhet, applikationssäkerhet och säkerhetsarbete kopplat till moln och leverantörer.

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt on-/offboarding-rutiner.
Kodsäkerhet (applikationssäkerhet): kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt arbeta för att minska exponering mot supply chain-attacker (annonsen nämner NuGet, npm och GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val av ramverk ska enligt annonsen göras tillsammans utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och driva åtgärder samt säkerställa att lärdomar blir policy och process.
Workshops och stöd: stötta interna team och kunder, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.

En konkret leverans som lyfts i annonsen är att inom 90 dagar presentera en riskprioriterad åtgärdslista för hur Wint ska bli “säkrare utan att tappa fart”, med fokus på hotbild, sannolikhet och åtgärd per insats.

Kravprofil: kompetens och erfarenhet

Wint efterfrågar en senior profil som kombinerar djup teknisk kompetens med strategiskt ansvar och som kan växla mellan kodnära granskning och övergripande säkerhetsstrategi.

Krav

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetssynpunkt (egen utvecklarbakgrund i .NET är meriterande men inte ett krav enligt annonsen).
Erfarenhet av molnmiljöer, särskilt Azure, inklusive IAM, nyckelhantering och nätverkssäkerhet.
Avancerad förståelse för identitet, åtkomst och nätverk (PIM/PAM, SSO, VPN, segmentering).
Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

Tidigare arbete i eller nära en CISO-/Head of Security-roll.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper

Vågar säga “stopp” och kan motivera beslut med data.
Självgående och arbetar nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Annonsen positionerar rollen tydligt inom informationssäkerhet/IT-säkerhet och cybersäkerhet i ett mjukvaru- och molnorienterat bolag. Tyngdpunkten ligger på identitet och åtkomst (IAM/PIM), enhetssäkerhet (MDM), applikations- och kodsäkerhet, molnsäkerhet i Azure, incidenthantering samt risk- och regelefterlevnadsarbete genom ramverk som NIST CSF, ISO 27001 eller SOC 2.

Rollen omfattar även leverantörs- och supply chain-säkerhet (tredjepartsrisk, DPA och beroenden i utvecklingskedjan), samt AI-säkerhet kopplad till utvecklingsverktyg och datakontroller. Annonsen ger däremot inget stöd för att detta skulle vara en roll inriktad på fysisk säkerhet, personalsäkerhet eller säkerhetsskydd i säkerhetsskyddslagens mening.

Det här bör kandidater lyfta i ansökan

Exempel på hur du byggt eller förbättrat IAM/PIM/PAM, inklusive just-in-time-åtkomst, åtkomstrecensioner, VPN- och segmenteringsprinciper samt on-/offboarding.
Konkreta erfarenheter av applikationssäkerhet: kodgranskning, sårbarhetsarbete i CI/CD, säkerhetskrav i pull request-flöden och automatiserade skanningar.
Molnsäkerhet i Azure: hur du arbetat med IAM, nyckelhantering, nätverkssäkerhet och skydd av PaaS-tjänster.
Hur du genomfört eller lett pentest-program, prioriterat fynd och omsatt dem till åtgärdsplaner kopplade till risk.
Arbete med tredjepartsrisk, DPA:er och supply chain-säkerhet i utvecklingsmiljöer (beroendehantering, CI/CD-komponenter och repo-säkerhet).
Styrning och compliance: hur du använt ramverk som NIST CSF, ISO 27001 eller SOC 2 för att strukturera arbetet och möta kund- eller regulatoriska krav.
Incidenthantering och post-mortem: hur du lett utredningar, drivit åtgärder och säkerställt att lärdomar blir bestående process/policy.
AI-säkerhet: hur du satt policy och kontroller för AI-verktyg och leverantörer för att minska risken för oavsiktlig dataexponering.
Förmågan att balansera verksamhetens tempo med riskreduktion – i linje med annonsens krav på att kunna säga “nej, eller åtminstone inte än”.

Så söker du tjänsten

Enligt annonsen söker man genom att skicka in ansökan direkt. Den som har frågor före ansökan kan höra av sig till Linn Cedergårdh. Rekryteringsprocessen omfattar personlighets- och logiktest via Alva Labs, inledande telefonsamtal, intervjuer med CTO och andra nyckelpersoner, intervju med vd, en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.

Sista ansökningsdag framgår inte i annonsen. Sammanfattningsvis är detta en senior Head of Security-roll i Göteborg med starkt mandat och tydligt fokus på praktisk IT-säkerhet i Azure, kodnära applikationssäkerhet, risk/pentest, leverantörsstyrning och AI-säkerhet.

BESTÄLL VÅRT KOSTNADSFRIA NYHETSBREV