Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Rollen är placerad på bolagets kontor i Jacyzhuset i Gårda och är en tillsvidareanställning på heltid. Enligt annonsen är upplägget för distansarbete i normalfallet fyra dagar i veckan på kontoret och en dag hemifrån.
Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över bolaget, med en uttalad separation från CTO-funktionen. Rollen innebär ett nära samarbete med CTO Anders Josefsson och utvecklingsorganisationen, samtidigt som uppdraget är att kunna stoppa eller bromsa när risknivån kräver det.
Ansvar och arbetsuppgifter
Annonsen beskriver en bred IT-säkerhetsroll med ansvar som spänner från identitet och åtkomst till applikationssäkerhet, leverantörsrisk och incidenthantering. Fokusområdena delas upp i vad som prioriteras initialt och vad som förväntas komma när kandidaten är inne i rollen.
Inledande huvudfokus enligt annonsen:
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga rutiner för on/offboarding.
- Kodsäkerhet (applikationssäkerhet): kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
Fokus när rollen är etablerad:
- Pentest och risk: äga pentest-program, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj, samt minska exponering mot supply chain-attacker kopplat till exempelvis NuGet, npm och GitHub Actions.
- Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val görs enligt annonsen utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga AI-användarpolicy (tillåtet/blockerat och uppföljning av efterlevnad) samt säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar förs in i policy och process.
- Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär samt DPA-frågor.
Första leverans (90 dagar): Inom 90 dagar vill Wint, enligt annonsen, att Head of Security presenterar en konkret och riskprioriterad åtgärdslista för hur bolaget kan bli säkrare utan att tappa utvecklingstempo.
Kravprofil: kompetens och erfarenhet
Wint beskriver att de söker en senior person som kombinerar djup teknisk kompetens med strategiskt ansvar och som kan växla mellan kodnära granskning och övergripande säkerhetsstyrning.
Krav (enligt annonsen):
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetsperspektiv (utvecklarbakgrund i .NET är meriterande men inte ett krav om applikationssäkerhet behärskas i andra språk).
- Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet med mera).
- Avancerad förståelse för identitet och åtkomst samt nätverk (PIM/PAM, SSO, VPN, segmentering).
- Erfarenhet av minst ett etablerat säkerhetsramverk, exempelvis NIST CSF, ISO 27001 eller SOC 2.
- Praktisk erfarenhet av pentest och riskanalys (beställa, leda eller själv utföra).
Meriterande (enligt annonsen):
- Arbete i eller nära en CISO-/Head of Security-roll tidigare.
- Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet, både risk och möjlighet.
Personliga egenskaper som lyfts:
- Våga säga “stopp” och kunna göra det med data och analys.
- Självgående och nära både utveckling och affär.
Vilken typ av säkerhetsroll är det?
Utifrån annonsens innehåll är detta främst en roll inom IT-säkerhet/informationssäkerhet och cybersäkerhet, med tydlig tyngdpunkt på identitets- och åtkomsthantering (IAM), applikationssäkerhet (kodsäkerhet) samt leverantörs- och supply chain-säkerhet. Rollen inkluderar även styrning och efterlevnad genom policyarbete och mappning mot ramverk som NIST CSF, ISO 27001 och SOC 2.
Annonsen beskriver också ett uttalat ansvar för incidenthantering (post-mortem och åtgärdsdriv) samt hantering av kundkrav kopplat till säkerhet och DPA, vilket pekar mot ett praktiskt och affärsnära säkerhetsledarskap snarare än en renodlad kontrollfunktion.
Det här bör kandidater lyfta i ansökan
- IAM i Azure: konkret erfarenhet av Azure PIM, just-in-time/priviligierad åtkomst, åtkomstgranskningar samt hur man bygger hållbara on/offboarding-flöden.
- Applikationssäkerhet i CI/CD: exempel på hur du arbetat med säker kodgranskning, säkerhetsmönster för utvecklare och automatiserade scanningar i PR-flöden (annonsen nämner GitHub Actions och många repos).
- Riskprioritering: hur du tar fram riskanalyser och omsätter dem i en åtgärdslista som förbättrar säkerheten utan att bromsa leveransförmågan, i linje med 90-dagarsleveransen.
- Pentest-program: erfarenhet av att beställa, leda och följa upp pentester, inklusive hur fynd omvandlas till prioriterade åtgärder.
- Tredjepartsrisk och DPA: hur du arbetar strukturerat med leverantörsbedömningar, avtals- och DPA-frågor samt risker i mjukvaruförsörjningskedjan (t.ex. paketberoenden och CI/CD).
- Policy/ramverk: praktiska exempel på hur du mappat arbetssätt och kontroller mot NIST CSF, ISO 27001 eller SOC 2.
- AI-säkerhet: hur du satt styrning för AI-verktyg (policy, kontroll av dataläckage, efterlevnadsuppföljning) i utvecklingsmiljöer.
- Samverkan och mandat: hur du samarbetar med CTO/utveckling och samtidigt kan sätta gränser, motivera “nej” med data och driva förändring tvärfunktionellt.
Så söker du tjänsten
Enligt annonsen ansöker man genom att söka direkt. Det går också att kontakta Linn Cedergårdh med frågor innan ansökan skickas in. Wint beskriver att de använder personlighets- och logiskt test via Alva Labs som del av processen, följt av intervjuer (bland annat med CTO och vd), en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser och därefter erbjudande och avtal.
Sista ansökningsdag framgår inte i annonsen.
Sammanfattningsvis signalerar annonsen att Wint söker en senior Head of Security som kan kombinera strategiskt säkerhetsansvar med operativt, tekniskt arbete i Azure och en C#/.NET-miljö, med tydligt fokus på IAM, kodnära säkerhet, riskprioritering, leverantörsrisk och AI-säkerhet.
