SEB söker Operational Threat Intelligence Analyst | CSIRT, Solna

SEB rekryterar operativ Threat Intelligence Analyst till CSIRT i Solna. Fokus: TI, threat hunting, incidenthantering. Krav, meriter och deadline 2026-08-30.

Ny tjänst: SEB söker Operational Threat Intelligence Analyst to CSIRT | SEB, Solna i Solna – det här söker arbetsgivaren

SEB söker nu en Operational Threat Intelligence Analyst till sin CSIRT- och Operational Threat Intelligence-funktion. Rollen är placerad i Solna (enligt annonsens titel) och ingår i bankens Operational Security Center (OSC), där flera defensiva säkerhetsfunktioner samlas.

Fokus ligger på operativ IT-säkerhet/cybersäkerhet med tyngdpunkt på hotunderrättelser (threat intelligence), hotjakt (threat hunting) och incidenthantering (incident response). Enligt annonsen ska rollen bidra med handlingsinriktade underrättelser som kan omsättas i konkreta åtgärder i den dagliga säkerhetsdriften.

Ansvar och arbetsuppgifter

SEB beskriver att OSC omfattar funktioner som Security Incident Response (CSIRT), Threat Intelligence, penetrationstest, sårbarhetshantering och security engineering. I rollen som Operational Threat Intelligence Analyst ingår bland annat att:

producera operativa och taktiska hotunderrättelser som är relevanta för SEB-koncernen och som är “actionable” i säkerhetsarbetet
stödja säkerhetsoperationer på kort sikt genom att identifiera och hantera framväxande cyberhot
samarbeta med den strategiska threat intelligence-funktionen
identifiera kritiska säkerhetsfrågor och ta fram rekommendationer baserade på underrättelseinsikter
upprätthålla operativ lägesbild (situational awareness) för att upptäcka hot och sårbarheter som kan påverka SEB
bevaka indikatorer på dataintrång eller attacker mot SEB och bankens tredje parter
arbeta nära CSIRT och ledning under incidenter för att säkerställa att åtgärder vidtas och verifieras
stötta Incident Response och Security Engineering med djupanalys av hur hotaktörer kan påverka SEB:s IT-infrastruktur
genomföra threat hunting
samverka med partners, leverantörer och andra kritiska sektorer kring threat intelligence
bidra till kontinuerlig utveckling och förbättring av incident response- och threat intelligence-tjänsterna

Kravprofil: kompetens och erfarenhet

Krav

kandidatexamen (BA/BS) inom datavetenskap eller närliggande område
förståelse för hotunderrättelseramverk, exempelvis MITRE ATT&CK och Cyber Kill Chain
kunskap om moderna cyberhotaktörers metodik och mindset samt cyber threat intelligence-livscykeln
flytande svenska och engelska

SEB söker enligt annonsen en person med stark säkerhetsbakgrund inom cybersäkerhet och erfarenhet av hotanalys och/eller underrättelseanalys. Samtidigt anges att alternativt kan en snabb lärande person med analytiskt mindset och intresse för att växa in i cybersäkerhetsområdet vara aktuell.

Meriterande

certifieringar som GCTI, CTIA, CISSP, CISA eller CISM
förståelse för regelverk, standarder och best practice, exempelvis FI FFFS, NIST, ISO 27001, DORA och PCI-DSS
praktisk erfarenhet av att utveckla underrättelsedrivna hot-/threat-scenarier
erfarenhet av automation och datavisualisering
security engineering
verktygskunnande samt scripting

Vilken typ av säkerhetsroll är det?

Det här är en roll inom cybersäkerhet/IT-säkerhet med tydlig operativ inriktning. Uppdraget kombinerar hotunderrättelser och hotjakt med praktiskt incidentstöd i en CSIRT-miljö. Annonsen signalerar också ett kompetensbehov där hotanalys ska kunna omsättas till konkreta åtgärder i säkerhetsdriften, inklusive samverkan med såväl interna intressenter som externa parter och leverantörer.

Att regelverk och standarder som DORA, ISO 27001 och PCI-DSS nämns som meriterande pekar samtidigt på att rollen förväntas kunna relatera operativa hotbilder till styrning, krav och etablerade arbetssätt inom informationssäkerhet.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens krav och ansvarsområden kan kandidater vinna på att konkret beskriva:

exempel på hotunderrättelser (operativa/taktiska) som lett till åtgärder i SOC/CSIRT- eller säkerhetsoperationsmiljö
hur man arbetat med MITRE ATT&CK, Cyber Kill Chain eller liknande modeller i analys, rapportering och prioritering
praktisk incidenthantering: samarbete med incidentledning/management, validering av åtgärder och kommunikation till olika målgrupper
upplägg och resultat från threat hunting-aktiviteter (hypotesdrivet arbete, datakällor, fynd och rekommenderade motåtgärder)
förmåga att skapa och upprätthålla lägesbild, inklusive bevakning av indikatorer på intrång och attacker mot tredje parter
eventuell erfarenhet av automation, datavisualisering, verktyg och scripting som stärker effektiviteten i underrättelse- och IR-arbetet
om relevant: hur man förhåller sig till standarder/regelverk (FI FFFS, NIST, ISO 27001, DORA, PCI-DSS) i det operativa säkerhetsarbetet

Så söker du tjänsten

SEB uppger att urval sker löpande och att ansökan ska skickas via länken i annonsen (ansökningar hanteras inte via e-post). Sista ansökningsdag anges till 2026-08-30. Frågor om tjänsten kan ställas till Hiring Manager Henrik Brevenius på den e-postadress som anges i annonsen.

Enligt annonsen genomgår slutkandidater bakgrundskontroller som kan omfatta identitetskontroll, verifiering av kvalifikationer, kreditupplysning, bolagsengagemang samt brottshistorik. I vissa fall tillämpas även slumpvisa drogtester, och återkommande bakgrundskontroller kan förekomma under anställningen.

Sammanfattningsvis söker SEB i Solna en operativ hotunderrättelseanalytiker till CSIRT-nära arbete där hotanalys, threat hunting och incidentstöd kopplas tätt till praktiska säkerhetsåtgärder i en reglerad verksamhetsmiljö.