Ny tjänst: Coretura söker Security Hub Lead i Göteborg – det här söker arbetsgivaren
Coretura söker Security Hub Lead i Göteborg. Enligt annonsen är det en senior säkerhetsledarroll som rapporterar till CDO och som ska bygga och leda ett “Security Hub” – ett tvärfunktionellt center of excellence som samlar och driver cybersäkerhet över flera domäner: moln- och produktsäkerhet, enterprise/IT-säkerhet samt fysisk säkerhet. Rollen ska även samordna nära med organisationen för onboard/fordonscybersäkerhet för att skapa en sammanhållen end-to-end-säkerhetsförmåga.
Annonsen beskriver att Coretura utvecklar en produktionssatt plattform för kommersiella fordon på publika vägar, med hårdvara, middleware, uppkoppling, OTA-uppdateringar och en AI-först utvecklingsmiljö. Säkerhet beskrivs som en grundläggande egenskap i allt som byggs – inte en separat funktion.
Arbetsform, anställningsform, omfattning och sista ansökningsdag framgår inte i annonsen.
Ansvar och arbetsuppgifter
Security Hub Lead ska enligt annonsen ha brett ansvar över cloud, produkt och enterprise security samt leda ett Security Hub som förankrar cybersäkerhet i Coreturas verksamhet. Rollen har direkt ägarskap för flera områden och samordnar andra.
- Bygga och leda Security Hub som en tvärfunktionell säkerhetsfunktion (centre of excellence).
- Leda “off-board” och enterprise security samt samordna med onboard/fordonscybersäkerhet.
- Cloud & Product Security: säker arkitektur, DevSecOps, sårbarhetshantering och härdning av CI/CD för tjänster som kopplar fordon till omvärlden.
- Enterprise IT Security: IAM, endpointskydd, nätverkssäkerhet och incidenthantering.
- Physical Security: tillträdeskontroll till labb, besökarhantering och hantering av fysiska incidenter.
- Samordning med fordonscybersäkerhet kring TARA enligt ISO/SAE 21434, efterlevnad av UN R155/R156 samt zonbaserad säkerhetsarkitektur över gränssnitt mellan säkerhetskritiska ASIL-partitioner och extern uppkoppling.
- Starta och leda en Security Community of Practice för att sprida säkerhetstänkande mellan fordon, moln och enterprise-domäner.
- Äga och driva ISMS och CSMS samt styra en spårbar modell från tillgång → hot → kontroll → implementation → evidens.
- Säkerställa att säkerhetsverktyg integreras i ingenjörernas arbetssätt och dokumentationsflöden (annonsen nämner Sphinx-needs som verktygskedja).
Annonsen pekar också ut utmaningar som rollen förväntas hantera, exempelvis sammanfallande regelverk (bland annat GDPR och ISO 26262), stor korsdomän-attackyta, leverantörs- och supply chain-risk samt krav från OEM:er, inklusive Cybersecurity Interface Agreements och incidentrespons som möter UN R155-tidslinjer och kontraktskrav.
Kravprofil: kompetens och erfarenhet
Krav
- Senior säkerhetsledarkompetens med bredd över cloud, produkt och enterprise security (rollen beskrivs som senior och med genuin bredd).
- Profil som “security generalist” med djup i minst två av de aktuella domänerna, och förmåga att förstå både molnarkitektur och TARA.
- Erfarenhet av ISO/SAE 21434, UN R155/R156 och ISO 27001 i en produktbolagskontext (anges som “essential”).
- Komfort med AWS/Azure, DevSecOps och software supply chain security.
- Förmåga att kombinera efterlevnad och ingenjörsperspektiv – annonsen betonar att compliance måste vara spårbar utan att bli tung process.
Meriterande
- Bakgrund inom automotive (anges som en stark fördel).
Vilken typ av säkerhetsroll är det?
Utifrån annonsen är detta i första hand en cybersäkerhets- och IT-/informationssäkerhetsroll med ledningsansvar, men med tydlig konvergens mot produkt- och fordonscybersäkerhet. Rollen spänner över flera klassiska områden som ofta ligger på olika funktioner:
- Cybersäkerhet/IT-säkerhet: IAM, endpoint, nätverkssäkerhet, incident response samt DevSecOps, sårbarhetshantering och CI/CD-härdning.
- Produkt- och systemsäkerhet i uppkopplade miljöer: kopplingen mellan fordon (onboard) och moln/off-board, inklusive TARA och regulatorisk efterlevnad (ISO/SAE 21434, UN R155/R156).
- Styrning och ledningssystem: ISMS och CSMS, spårbarhet och evidens för kontroller (compliance som är “lean, auditable, and real”).
- Fysiskt skydd: tillträdeskontroll till labb, besökarhantering och fysisk incidenthantering.
Annonsen indikerar även ett starkt inslag av lag & rätt/regelverk genom kravbilden kring GDPR, ISO-standarder samt UN-reglering och OEM-kontrakt.
Det här bör kandidater lyfta i ansökan
För att matcha annonsens inriktning kan kandidater vinna på att vara konkreta och visa hur de arbetat i gränslandet mellan teknik, styrning och operativ säkerhet:
- Exempel på hur du byggt eller lett en säkerhetsfunktion/CoE (Security Hub) och fått tvärfunktionellt genomslag i utvecklingsorganisationer.
- Erfarenhet av att driva ISMS/CSMS och skapa spårbarhet från tillgångar och hot till kontroller, implementation och evidens.
- Konkreta resultat inom DevSecOps: hur säkerhetskontroller byggts in i CI/CD, hur sårbarheter hanteras och hur “secure architecture” operationaliserats.
- Incidenthantering: hur du byggt processer, teamberedskap och uppföljning, särskilt där tidskrav och externa krav (kund/OEM/regulatoriskt) styr.
- Software supply chain security: policys för paket/beroenden, hantering av CVE:er och arbete mot åldrande beroenden.
- Samverkan med fordonscybersäkerhet: tolkning av TARA, arbete mot ISO/SAE 21434 och UN R155/R156 samt gränssnitt mellan onboard och off-board.
- Hur du hanterat samspelet mellan flera regelverk samtidigt (annonsen nämner bland annat GDPR och ISO 26262).
- Erfarenhet av kravdialog med externa parter, exempelvis Cybersecurity Interface Agreements och att omsätta säkerhetsarkitektur till inköps-/upphandlingskrav för hårdvara.
Så söker du tjänsten
Annonsen beskriver att det går att ansöka anonymt. Kandidater kan enligt Coretura generera och ansöka med anonymiserat CV och dold e-postadress, vilket innebär att profilen granskas utan att identiteten framgår och att den initiala dialogen sker via en “ospårbar” e-postadress.
Sista ansökningsdag framgår inte i annonsen, och inte heller lön eller anställningsvillkor.
Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov i Sverige kring seniora, breda säkerhetsledare som kan knyta ihop produkt- och cloud security med styrning (ISMS/CSMS), regulatorisk efterlevnad och operativ incidentförmåga – samt samtidigt hantera fysisk säkerhet i utvecklings- och labbmiljöer.
