Head of Security till Wint i Göteborg – ansvar & krav

Wint rekryterar Head of Security i Göteborg. Senior IT-säkerhetsroll med fokus på IAM, applikationssäkerhet och Azure/.NET. Se ansvar, krav och hur du söker.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen är en senior IT-säkerhetsfunktion med tydligt mandat: Head of Security rapporterar direkt till vd Daniel Johansson och ska driva säkerhetsarbetet tvärs över bolaget, med en uttalad separation från utvecklingsansvaret hos CTO. Enligt annonsen är upplägget avsiktligt för att säkerhet ska kunna bromsa när riskbilden kräver det.

Tjänsten är placerad på kontoret i Jacyzhuset i Gårda, Göteborg. Grundupplägget för distansarbete är fyra dagar i veckan på kontoret och en dag hemifrån. Anställningsform anges som tillsvidare och heltid.

Ansvar och arbetsuppgifter

Wint beskriver rollen som både operativ och strategisk, med fokus på att bygga vidare på en befintlig säkerhetsgrund. Initialt ligger tyngdpunkten på identitet/åtkomst samt applikations- och kodsäkerhet i en Azure- och .NET-miljö.

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modellen, ansvara för VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-programmet samt äga on-/offboarding-rutinen.
Kodsäkerhet: kunna läsa och förstå bolagets C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

När man enligt annonsen “blir varm i kläderna” breddas uppdraget till fler delar av ett modernt cybersäkerhets- och informationssäkerhetsprogram:

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portföljen samt arbeta för att minska exponering mot supply chain-attacker (exempel som nämns: NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (val enligt annonsen i dialog utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata oavsiktligt lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys och driva åtgärder samt föra in lärdomar i policy och process.
Workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.

En konkret leverans som lyfts i annonsen är att kandidaten inom 90 dagar ska presentera en riskprioriterad åtgärdslista: största hoten mot bolaget, sannolikhet och åtgärder som ger mest skydd per insats – utan att tappa utvecklingstakt.

Kravprofil: kompetens och erfarenhet

Wint efterfrågar en senior profil som kan växla mellan teknisk detaljnivå (kodgranskning) och övergripande säkerhetsstyrning.

Krav

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetssynpunkt (utvecklarbakgrund i .NET är meriterande men inte ett krav enligt annonsen).
Erfarenhet av molnmiljöer, särskilt Azure, exempelvis IAM, nyckelhantering och nätverkssäkerhet.
Avancerad förståelse för identitet, åtkomst och nätverk, med exempel som PIM/PAM, SSO, VPN och segmentering.
Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande

Erfarenhet från eller nära en CISO-/Head of Security-roll.
Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).

Personliga egenskaper

Vågar säga “stopp” och kan motivera beslut med data.
Självgående och arbetar nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Annonsen beskriver framför allt en IT-säkerhets- och cybersäkerhetsroll med tydlig tyngdpunkt på identitets- och åtkomsthantering (IAM), applikationssäkerhet och säker mjukvaruutveckling i moln (Azure). Inslag av informationssäkerhet och regelefterlevnad framgår genom arbete med policy, ramverk (NIST CSF/ISO 27001/SOC 2) och hantering av DPA-frågor, samt genom att bolaget hanterar finansiell data med GDPR- och regulatoriska krav.

Rollen omfattar även incidenthantering (post-mortem och åtgärdsdriv) och leverantörs-/supply chain-säkerhet kopplat till utvecklingskedjan. Annonsen nämner inte fysisk säkerhet, personalsäkerhet eller säkerhetsskydd i form av skydd mot säkerhetshotande verksamhet, och det framstår därför inte som primärt fokus i denna tjänst.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens innehåll kan det vara särskilt relevant att konkretisera erfarenheter och resultat inom följande områden:

IAM i Azure: arbete med Azure PIM/PAM, JIT-åtkomst, SSO, VPN och strukturerade åtkomstgranskningar.
DevSecOps och applikationssäkerhet: hur du byggt in säkerhet i PR-flöden, kodgranskning, automatiserade skanningar och utvecklarstöd – gärna med exempel från .NET eller andra språk.
Riskprioritering: hur du tagit fram riskbilder och åtgärdsplaner som balanserar säkerhet och leveransförmåga (i linje med 90-dagarsleveransen som Wint efterfrågar).
Pentest-program: erfarenhet av att planera, beställa/leda eller genomföra tester och omsätta fynd till förbättringar.
Tredjepartsrisk och DPA: arbete med leverantörsbedömningar, avtal/dataskydd och praktiska kontroller för att minska supply chain-risk.
Ramverk och styrning: hur du använt NIST CSF, ISO 27001, SOC 2 eller motsvarande i policyarbete och uppföljning.
AI-säkerhet: policy, datakontroller och hantering av AI-verktyg i utvecklingsmiljöer, inklusive efterlevnadsuppföljning.
Incidenthantering: struktur för post-mortems, rotorsaksanalys och hur lärdomar förs in i processer.

Så söker du tjänsten

Enligt annonsen ska intresserade söka direkt. Det går också att kontakta Linn Cedergårdh för frågor innan ansökan skickas in. Sista ansökningsdag framgår inte av annonsen.

Wint beskriver en rekryteringsprocess som inkluderar personlighetstest och logiskt test via Alva Labs, inledande telefonsamtal, intervjuer med CTO och andra nyckelpersoner, intervju med vd, en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen, referenser samt erbjudande och avtalsskrivning.

Sammantaget signalerar annonsen ett växande behov av seniora säkerhetsledare som kan kombinera teknisk granskning i utvecklingsnära miljöer med styrning, riskhantering och leverantörs- och AI-relaterade säkerhetsfrågor.