Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Enligt jobbannonsen är detta en senior IT-säkerhetsroll med tydligt mandat: rollen rapporterar direkt till vd och ska driva säkerhetsarbetet tvärs över bolaget, med avsiktlig separation från CTO-funktionen.
Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Arbetsupplägget anges som fyra dagar i veckan på kontoret och en dag hemifrån som grund. Anställningsformen är tillsvidare, heltid.
Ansvar och arbetsuppgifter
Wint beskriver ett uppdrag som spänner från operativt genomförande till styrning, risk och samverkan med utveckling och affär. Fokusområdena delas upp i vad som prioriteras initialt och vad som byggs ut över tid.
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on/offboarding-rutinen.
- Kodsäkerhet (applikationssäkerhet): läsa och förstå bolagets C#/.NET-kodbas tillräckligt för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i mönster för säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
När personen är mer etablerad i rollen ska fokus breddas till:
- Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
- Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk (NIST CSF/ISO 27001/SOC 2 – val ska göras utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar omsätts i policy och process.
- Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.
Wint lyfter även ett konkret förväntat leveransmål: inom 90 dagar ska Head of security presentera en riskprioriterad åtgärdslista för hur bolaget blir säkrare utan att tappa utvecklingsfart.
Kravprofil: kompetens och erfarenhet
Annonsen efterfrågar en senior profil som kombinerar teknisk bredd med strategiskt ansvar, och som kan växla mellan detaljer (kodgranskning) och helhet (säkerhetsstrategi).
Krav
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetssynpunkt (utvecklarbakgrund i .NET nämns som meriterande men inte krav om applikationssäkerhet behärskas i andra språk).
- Erfarenhet av molnmiljöer, särskilt Azure: IAM, nyckelhantering, nätverkssäkerhet med mera.
- Avancerad förståelse för identitet, åtkomst och nätverk (PIM/PAM, SSO, VPN, segmentering).
- Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
- Praktisk erfarenhet av pentest och riskanalys (beställa, leda eller själv utföra).
Meriterande
- Arbetat i eller nära en CISO-/Head of Security-roll tidigare.
- Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.
Personliga egenskaper (enligt annonsen)
- Vågar säga “stopp” och kan göra det med data, inte bara magkänsla.
- Självgående och håller sig nära både utveckling och affär.
Vilken typ av säkerhetsroll är det?
Utifrån annonsens innehåll är detta primärt en roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med tydlig tyngd på applikationssäkerhet (kodgranskning, säker kodning, automatiserade skanningar) samt identitet- och åtkomststyrning (Azure PIM, VPN, MDM, on/offboarding).
Rollen omfattar också styrning och efterlevnad genom arbete med säkerhetspolicyer och mappning mot etablerade ramverk (NIST CSF, ISO 27001, SOC 2) samt tredjeparts- och supply chain-risker kopplade till utvecklingskedjan (NuGet, npm, GitHub Actions). Incidenthantering nämns som ett eget ansvarsområde via post-mortem och åtgärdsdriv.
Annonsen beskriver hantering av finansiell data och nämner GDPR- och regulatoriska krav, vilket pekar på ett tydligt compliance-inslag i rollen. Däremot nämns inte säkerhetsskydd, fysiskt skydd, personalsäkerhet eller beredskap som separata ansvarsområden i annonsen.
Det här bör kandidater lyfta i ansökan
Annonsen signalerar att Wint söker en person som kan kombinera tekniknära arbete med struktur och prioritering. Det som framstår som särskilt relevant att konkretisera i ansökan och intervjuer är:
- IAM och åtkomststyrning i Azure: exempel på arbete med PIM/PAM, SSO, åtkomstgranskning, just-in-time samt processer för on/offboarding.
- Applikationssäkerhet i praktiken: hur du arbetat med kodgranskning, sårbarhetsarbete i PR-flöden och införande/utveckling av automatiserade säkerhetsskanningar i CI/CD.
- Riskprioritering: hur du tar fram en riskbaserad åtgärdsplan (hotbild, sannolikhet, konsekvens, “skydd per insats”) och förankrar den utan att bromsa leverans.
- Pentestprogram: erfarenhet av att beställa, leda eller genomföra tester samt omsätta resultat i förbättringar.
- Tredjepartsrisk och DPA: hur du bedömt leverantörer, hanterat DPA-portföljer och arbetat mot supply chain-risker i utvecklingens beroenden.
- Ramverk och styrning: praktisk erfarenhet av NIST CSF/ISO 27001/SOC 2 (eller motsvarande) och hur mappning och policyarbete kopplas till kundkrav och regulatorik.
- AI-säkerhet: exempel på policy, datakontroller och hantering av risker kopplade till AI-utvecklingsverktyg och leverantörer.
- Incidenthantering: hur du arbetat med post-mortem, rotorsaksanalys och att driva åtgärder som landar i process- och policyförändring.
Så söker du tjänsten
Enligt annonsen söker man tjänsten genom att ansöka direkt. För frågor inför ansökan hänvisar Wint till Linn Cedergårdh. Rekryteringsprocessen beskrivs som: ansökan, personlighets- och logiskt test via Alva Labs, inledande telefonsamtal med Talent Acquisition Manager, intervju med CTO och medgrundare Anders Josefsson samt Christian Genne (AI Exploration Lead), andra intervju med rekryterande chef (vd Daniel Johansson), caseintervju med presentation om hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.
Sista ansökningsdag framgår inte av annonsen.
Sammanfattningsvis är “Wint söker Head of security till Wint i Göteborg” en senior säkerhetschefsliknande IT-säkerhetsroll med fokus på IAM, applikationssäkerhet och riskbaserad styrning i en Azure- och .NET-miljö, med direkt rapportering till vd och tydligt mandat att forma säkerhetsfunktionen.
