Head of security – Göteborg – Wint

Senior säkerhetsroll på Wint i Göteborg: IAM, applikations- och molnsäkerhet i Azure. Mandat att leda risk, pentest, ramverk och AI-säkerhet.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen beskrivs som en senior säkerhetsroll med direkt rapportering till vd Daniel Johansson och ett uttalat mandat att driva säkerhet tvärs över hela bolaget, oberoende av CTO-funktionen. Enligt annonsen är upplägget medvetet: utveckling ska kunna driva tempo, medan säkerhet ska bidra med “sund tveksamhet” och kunna stoppa eller senarelägga förändringar när risknivån kräver det.

Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Arbetsformen anges som 4 dagar i veckan på kontoret och 1 dag hemifrån som grund. Anställningen är tillsvidare och på heltid.

Ansvar och arbetsuppgifter

Annonsen delar upp ansvaret i fokusområden som är prioriterade i början och områden som blir aktuella när personen kommit in i rollen. Head of security förväntas arbeta nära utvecklingsorganisationen, men samtidigt ha integritet och mandat att fatta säkerhetsbeslut.

Huvudfokus i början enligt annonsen:

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on/offboarding-rutin.
Kodsäkerhet (applikationssäkerhet): kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga förändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säkra kodmönster. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

Fokusområden när man är “varm i kläderna”:

Pentest och risk: äga pentest-program, driva riskanalyser samt hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj, samt minska exponering mot supply chain-attacker kopplat till exempelvis NuGet, npm och GitHub Actions.
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (enligt annonsen väljs inriktning tillsammans utifrån kund- och regulatoriska behov).
AI-säkerhet: äga policy för AI-användning (vad som är tillåtet/blocked och hur efterlevnad följs upp) samt säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flöde för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar tas in i policy och process.
Workshops och stöd: stödja interna team och kunder i säkerhetsfrågor, inklusive stöd till utvecklingsteam samt hjälp till sälj kring säkerhetsformulär och DPA-frågor från kunder.

Första leveransen (90 dagar): Inom 90 dagar vill Wint att personen presenterar en konkret, riskprioriterad åtgärdslista för hur bolaget kan bli “säkrare utan att tappa fart”, utifrån hotbild, sannolikhet och åtgärder med bäst skydd per insats.

Kravprofil: kompetens och erfarenhet

Wint beskriver att de söker en senior person som kombinerar djup teknisk kompetens med strategiskt ansvar, och som kan arbeta både operativt (exempelvis kodgranskning) och övergripande (säkerhetsstrategi).

Krav

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetssynpunkt (utvecklarbakgrund i .NET är meriterande men inte ett krav om applikationssäkerhet behärskas i andra språk).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet med mera).
Avancerad förståelse för identitet, åtkomst och nätverk, inklusive PIM/PAM, SSO, VPN och segmentering.
Erfarenhet av minst ett etablerat säkerhetsramverk, såsom NIST CSF, ISO 27001 eller SOC 2 (eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

Att ha arbetat i eller nära en CISO-/Head of security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner på växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).

Personliga egenskaper enligt annonsen: att våga säga “stopp” och kunna motivera det med data, samt att vara självgående och arbeta nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsen är detta i första hand en IT-säkerhets- och cybersäkerhetsroll med tydlig tyngd på identitets- och åtkomsthantering (IAM), applikationssäkerhet/kodsäkerhet samt molnsäkerhet i Azure. Rollen omfattar även styrning och efterlevnad genom policyarbete och mappning mot ramverk (NIST CSF/ISO 27001/SOC 2), tredjeparts- och supply chain-säkerhet, samt incidenthantering.

Eftersom Wint hanterar bokföring, lön och bankintegrationer för 5 000+ svenska företag lyfter annonsen även att bolaget arbetar med finansiell data och “tydliga GDPR- och regulatoriska krav”, vilket innebär att informationssäkerhet och regelefterlevnad blir centrala inslag i rollen.

Det här bör kandidater lyfta i ansökan

Konkreta exempel på IAM-arbete: Azure PIM, just-in-time-upplägg, åtkomstgranskningar, MDM och hur on/offboarding säkrats i praktiken.
Applikationssäkerhet i utvecklingsflöden: hur du arbetat med säker kodning, kodgranskning, PR-mallar, automatiserade skanningar och förbättring av CI/CD-guardrails (i annonsen nämns GitHub Actions och många repos).
Molnsäkerhet i Azure: erfarenhet av IAM, nyckelhantering och nätverkssäkerhet samt hur du prioriterat skyddsåtgärder i PaaS-miljöer.
Pentest och riskhantering: hur du planerat/ägt pentest-program, drivit riskanalyser och omsatt resultat i prioriterade åtgärder.
Tredjepartsrisk och DPA-arbete: hur du byggt struktur för leverantörsgranskning och hanterat personuppgiftsbiträdesavtal och krav från kunder.
Arbete mot ramverk: exempel på hur du mappat kontroller och arbetssätt mot NIST CSF, ISO 27001 eller SOC 2 och anpassat nivån till verksamhetens behov.
AI-säkerhet i utvecklingsmiljö: policy, datakontroller och hur du minimerat risken för att känslig data exponeras via AI-verktyg.
Förmåga att säga nej med underlag: visa hur du använder mätdata, riskargument och konsekvensbeskrivningar för att balansera tempo och skydd.

Så söker du tjänsten

Enligt annonsen söker man tjänsten genom att ansöka direkt. Det går också att kontakta Linn Cedergårdh för frågor innan ansökan skickas in. Wint beskriver en rekryteringsprocess som inkluderar personlighets- och logiskt test via Alva Labs, följt av samtal och intervjuer (inklusive intervjuer med CTO, AI Exploration Lead och vd), caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.

Sista ansökningsdag framgår inte i annonsen.

Sammanfattningsvis signalerar annonsen att Wint söker en Head of security i Göteborg med stark teknisk förankring i moln- och applikationssäkerhet, kombinerat med mandat att driva styrning, risk, tredjepartsarbete och incidenthantering i en AI-intensiv utvecklingsmiljö.