Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Rollen är placerad på kontoret i Jacyzhuset i Gårda och är en tillsvidareanställning på heltid. Enligt annonsen är upplägget som grund fyra dagar i veckan på kontoret och en dag hemifrån.
Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över bolaget, oberoende av CTO. Samtidigt ska rollen arbeta nära CTO Anders Josefsson och utvecklingsorganisationen, med ett uttalat uppdrag att kunna stoppa eller pausa initiativ när riskbilden kräver det.
Ansvar och arbetsuppgifter
Annonsen beskriver ett brett ansvar som spänner från operativt tekniskt säkerhetsarbete till styrning, risk och efterlevnad. Inledningsvis ligger tyngdpunkten på identitet/åtkomst och applikationssäkerhet.
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga rutiner för on-/offboarding.
- Kodsäkerhet: förstå Wints C#/.NET-kodbas för att kunna granska känsliga ändringar, identifiera sårbarheter i pull requests, vägleda utvecklare i säker kodning samt vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
När personen blir ”varm i kläderna” breddas ansvaret enligt annonsen till fler områden:
- Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker (exempel som nämns: NuGet, npm, GitHub Actions).
- Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val av ramverk uppges göras utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga AI-användarpolicy (tillåtet/blockerat och uppföljning av efterlevnad) samt säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och åtgärdsarbete samt säkerställa att lärdomar omsätts i policy och process.
- Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.
Inom de första 90 dagarna vill Wint enligt annonsen att Head of Security presenterar en konkret, riskprioriterad åtgärdslista för hur bolaget kan bli säkrare utan att tappa utvecklingstakt.
Kravprofil: kompetens och erfarenhet
Krav
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetssynpunkt (egen utvecklarbakgrund i .NET är meriterande men enligt annonsen inte ett krav om applikationssäkerhet behärskas i andra språk).
- Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
- Avancerad förståelse för identitet, åtkomst och nätverk, inklusive PIM/PAM, SSO, VPN och segmentering.
- Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
- Praktisk erfarenhet av pentest och riskanalys (beställa, leda eller själv utföra).
- Personliga egenskaper enligt annonsen: våga säga ”stopp” med stöd i data samt vara självgående och nära både utveckling och affär.
Meriterande
- Arbete i eller nära en CISO-/Head of Security-roll tidigare.
- Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
- Aktivt intresse för AI och hur det påverkar säkerhet (risk och möjlighet).
Vilken typ av säkerhetsroll är det?
Utifrån annonsen är detta en senior säkerhetschefsroll med tydlig tyngdpunkt på informationssäkerhet/IT-säkerhet och cybersäkerhet i en moln- och mjukvarumiljö. Fokus ligger på IAM/identitet och åtkomst, applikationssäkerhet i C#/.NET, molnsäkerhet i Azure, leverantörs- och supply chain-säkerhet samt incidenthantering.
Rollen berör även styrning och efterlevnad genom arbete med säkerhetspolicy, mappning mot ramverk (NIST CSF/ISO 27001/SOC 2) och hantering av kundkrav samt DPA-frågor. Annonsen nämner att verksamheten hanterar finansiell data med tydliga GDPR- och regulatoriska krav, vilket indikerar ett compliance-nära säkerhetsarbete, men utan att specificera någon särskild branschstandard som är beslutad.
Det här bör kandidater lyfta i ansökan
För att matcha annonsens inriktning kan det vara relevant att konkretisera följande i ansökan och intervjuer:
- Exempel på hur du byggt eller drivit IAM-program: Azure PIM/PAM, JIT-åtkomst, SSO, åtkomstrecensioner, MDM samt robust on-/offboarding.
- Praktiskt arbete med applikationssäkerhet: kodgranskning, sårbarheter i PR-flöden, säker kodning och införande/utveckling av automatiserade skanningar i CI/CD (här nämns GitHub Actions i annonsen).
- Hur du genomför riskanalyser och prioriterar åtgärder (kopplat till Wints 90-dagarsleverans: riskprioriterad åtgärdslista med sannolikhet/konsekvens och ”skydd per insats”).
- Erfarenhet av pentest-program: beställning, scope, uppföljning och hur fynd omsätts till åtgärder.
- Leverantörs- och tredjepartsrisk, inklusive hantering av DPA och praktiska åtgärder mot supply chain-risker i paket- och byggkedjor (NuGet/npm och GitHub Actions nämns i annonsen).
- Incidenthantering i praktiken: post-mortems, rotorsaksanalys, åtgärdsdriv och hur lärdomar byggs in i process/policy.
- Hur du arbetar med policy och ramverk (NIST CSF/ISO 27001/SOC 2) på ett sätt som stödjer affär och utvecklingstakt.
- AI-säkerhet: policy för AI-verktyg, efterlevnad och datakontroller för att minimera risken att kunddata exponeras via utvecklingsverktyg och AI-leverantörer.
Så söker du tjänsten
Enligt annonsen ska intresserade söka direkt. Den som har frågor kan även höra av sig till Linn Cedergårdh innan ansökan skickas in. Sista ansökningsdag framgår inte av annonsen.
Wint beskriver en rekryteringsprocess som inkluderar tester via Alva Labs, inledande telefonsamtal, intervjuer med bland andra CTO och AI Exploration Lead, intervju med vd, en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser samt erbjudande och avtalsskrivning.
Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom praktisk moln- och applikationssäkerhet, IAM-styrning och riskdriven prioritering – med ett uttalat mandat att driva säkerhet tvärs över verksamheten från en position direkt underställd vd.
