Head of Security – Göteborg – Wint

Wint söker Head of Security i Göteborg. Led tekniskt och strategiskt säkerhetsarbete med fokus på Azure IAM, kodsäkerhet, pentest och risk. Heltid, tillsvidare.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen innebär att driva säkerhetsarbetet tvärs över bolaget med direkt rapportering till vd Daniel Johansson och ett uttalat mandat att agera oberoende av CTO-funktionen. Enligt annonsen ska säkerhetsfunktionen kunna utmana utvecklingstempot när riskbilden kräver det, samtidigt som arbetet sker nära CTO Anders Josefsson och utvecklingsorganisationen.

Tjänsten är placerad på kontoret i Jacyzhuset i Gårda, Göteborg. Grundupplägget för distansarbete är 4 dagar i veckan på kontoret och 1 dag hemifrån. Anställningsform uppges vara tillsvidare och heltid.

Ansvar och arbetsuppgifter

Wint beskriver rollen som både operativ och strategisk, med fokus på att bygga vidare på en befintlig säkerhetsgrund. De initiala fokusområdena ligger tydligt inom identitet/åtkomst och applikations- och kodsäkerhet.

Huvudfokus i början:

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on/offboarding-rutiner.
Kodsäkerhet: läsa och förstå bolagets C#/.NET-kodbas för att kunna granska känsliga förändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

Fokus när du kommit in i rollen:

Pentest och risk: äga pentest-program, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portföljen samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val görs utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och driva åtgärder samt säkerställa att lärdomar förs in i policy och processer.
Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.

Förväntad leverans inom 90 dagar: en konkret, riskprioriterad åtgärdslista för hur bolaget ska bli säkrare utan att tappa fart, inklusive bedömning av största hot, sannolikhet och åtgärder med högst skydd per insats.

Kravprofil: kompetens och erfarenhet

Annonsen efterfrågar en senior säkerhetsprofil som kan växla mellan teknisk granskning och övergripande säkerhetsstrategi.

Krav (enligt annonsen):

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetssynpunkt (utvecklarbakgrund i .NET anges som meriterande men inte krav om applikationssäkerhet behärskas i andra språk).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
Avancerad förståelse för identitet och åtkomst samt nätverk (PIM/PAM, SSO, VPN, segmentering).
Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
Praktisk erfarenhet av pentest och riskanalys (beställa, leda eller själv utföra).

Meriterande (”extra plus” i annonsen):

Arbetat i eller nära en CISO-/Head of Security-roll tidigare.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.

Personliga egenskaper som lyfts:

Våga säga ”stopp” och kunna göra det med data, inte bara känsla.
Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta främst en ledande roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet i en molnbaserad produkt- och utvecklingsmiljö. Tyngdpunkten ligger på identitets- och åtkomststyrning (IAM/PIM/PAM), applikationssäkerhet och DevSecOps-liknande arbetssätt i CI/CD (GitHub Actions), samt riskhantering, tredjeparts- och supply chain-säkerhet.

Rollen berör även styrning och regelefterlevnad genom policyarbete och mappning mot ramverk som ISO 27001, NIST CSF och SOC 2, samt hantering av DPA-frågor. Däremot nämns inte säkerhetsskydd, beredskap/krisledning, fysiskt skydd eller personalsäkerhet som egna ansvarsområden i annonsen.

Det här bör kandidater lyfta i ansökan

Wint efterfrågar en kombination av teknisk bredd och förmåga att prioritera risk. Kandidater kan därför vinna på att konkretisera erfarenheter som matchar de första fokusområdena och den utlovade 90-dagarsleveransen.

IAM i Azure: konkreta exempel på arbete med Azure PIM, just-in-time-åtkomst, åtkomstrecensioner, SSO/VPN och segmentering, samt hur du byggt kontroll och spårbarhet i åtkomstflöden.
Applikations- och kodsäkerhet: hur du granskat kod (gärna C#/.NET om relevant), drivit secure coding, samt byggt in automatiserade kontroller i PR- och CI/CD-flöden.
Risk- och prioriteringsförmåga: exempel på hur du gjort riskanalyser och omvandlat dem till genomförbara åtgärdslistor med tydlig effekt/insats—i linje med annonsens 90-dagarsmål.
Penetrationstestprogram: erfarenhet av att beställa, leda eller genomföra pentester och omsätta resultat i åtgärder och uppföljning.
Tredjepartsrisk och supply chain: hur du arbetat med leverantörsbedömningar, DPA-frågor och risker i utvecklingskedjan (t.ex. beroenden och byggpipelines).
Policy och ramverk: vilka ramverk du arbetat mot (ISO 27001, NIST CSF, SOC 2 eller motsvarande) och hur du mappat krav till praktiska kontroller.
AI-säkerhet: om du har erfarenhet av AI-policy, datakontroller och styrning av AI-verktyg i utvecklingsmiljö—lyft konkreta guardrails och uppföljning.
Samverkan med affär och teknik: rollen ska kunna stötta sälj och kunddialoger kring säkerhetskrav; beskriv hur du arbetat med säkerhetsformulär, kundkrav och avtal kopplat till säkerhet.

Så söker du tjänsten

Enligt annonsen söker man genom att skicka in ansökan till Wint. Det går även att höra av sig till Linn Cedergårdh med frågor innan ansökan skickas in.

Rekryteringsprocessen beskrivs som: ansökan → personlighets- och logiskt test via Alva Labs → inledande telefonsamtal med Talent Acquisition Manager → intervju med CTO och medgrundare Anders Josefsson samt Christian Genne (AI Exploration Lead) → andra intervju med rekryterande chef Daniel Johansson (vd) → caseintervju med presentation av hur säkerhetsfunktionen skulle byggas → referenser → erbjudande → avtalsskrivning.

Sista ansökningsdag framgår inte av annonsen. Sammanfattningsvis är detta ett säkerhetschef-/Head of Security-uppdrag med starkt mandat och tydlig teknisk tyngd inom Azure, identitet och applikationssäkerhet, i en verksamhet som hanterar finansiell data och AI-drivna utvecklingsverktyg.