Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Rollen är en senior säkerhetsroll med fokus på att driva IT-säkerhet och informationssäkerhet tvärs över bolaget, med direkt rapportering till vd Daniel Johansson. Enligt annonsen är rollen avsiktligt separerad från CTO-funktionen för att skapa en tydlig balans mellan utvecklingstempo och säkerhetskrav, samtidigt som samarbetet med utvecklingsorganisationen är nära.
Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Arbetsupplägget anges som fyra dagar i veckan på kontoret och en dag hemifrån som grund. Anställningsformen är tillsvidare och heltid.
Ansvar och arbetsuppgifter
Head of security får mandat att driva säkerhetsarbetet i hela verksamheten. Annonsen beskriver både initiala fokusområden och uppgifter som blir aktuella när man kommit in i rollen.
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla just-in-time-modell, äga VPN-arkitektur, genomföra löpande åtkomstgranskningar, äga MDM-program samt äga on/offboarding-rutin.
- Kodsäkerhet/applikationssäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
- Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt arbeta för att minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
- Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (val enligt annonsen görs utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga policy för AI-användning (tillåtet/blockerat och uppföljning av efterlevnad) samt säkra datakontroller gentemot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar omsätts i policy och processer.
- Interna workshops och stöd: stötta interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam samt stötta sälj i säkerhetsformulär och DPA-frågor.
En konkret leverans de första 90 dagarna är att presentera en riskprioriterad åtgärdslista: största hoten mot bolaget, sannolikhet och åtgärder som ger mest skydd per insats.
Kravprofil: kompetens och erfarenhet
Krav
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska dem ur säkerhetsperspektiv (utvecklarbakgrund i .NET är meriterande men inte ett krav enligt annonsen).
- Erfarenhet av molnmiljöer, särskilt Azure, inklusive IAM, nyckelhantering och nätverkssäkerhet.
- Avancerad förståelse för identitet, åtkomst och nätverk: PIM/PAM, SSO, VPN och segmentering.
- Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
- Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).
Meriterande
- Erfarenhet av att ha arbetat i eller nära en CISO-/Head of Security-roll.
- Erfarenhet av att forma säkerhetsfunktioner i växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).
Vilken typ av säkerhetsroll är det?
Annonsen beskriver en Head of security med tydlig tyngdpunkt på cybersäkerhet, IT-säkerhet och informationssäkerhet i en moln- och mjukvarunära miljö. Fokus ligger på identitets- och åtkomsthantering, applikationssäkerhet i C#/.NET, leverantörsrisk/supply chain-säkerhet, incidenthantering och styrning via policy och ramverk (NIST CSF/ISO 27001/SOC 2).
Rollen omfattar även hantering av kundkrav och DPA-frågor, vilket knyter an till regelefterlevnad och kravbild kopplad till den typ av data Wint hanterar. Annonsen nämner inte säkerhetsskydd, fysiskt skydd eller personalsäkerhet som primära ansvarsområden.
Det här bör kandidater lyfta i ansökan
Utifrån annonsens inriktning kan det vara särskilt relevant att konkretisera erfarenheter som visar både teknisk höjd och förmåga att driva styrning och prioritering.
- Exempel på hur du byggt eller vidareutvecklat IAM/PIM/PAM, SSO, VPN och åtkomstgranskningar, gärna i Azure.
- Praktiska exempel på kodgranskning och Secure SDLC: hur du hittat sårbarheter i PR-flöden, infört skanningar och skapat utvecklarvänliga säkerhetsmönster.
- Hur du lett eller beställt pentester och omsatt resultat i riskreducerande åtgärder och backlogg.
- Erfarenhet av tredjepartsrisk, leverantörsbedömningar och arbete med DPA, samt åtgärder mot supply chain-attacker i utvecklingskedjan (t.ex. paketberoenden och CI/CD).
- Arbete med ramverk (NIST CSF, ISO 27001, SOC 2): vad du mappat, vilka kontroller du implementerat och hur du följt upp efterlevnad.
- Incidenthantering med fokus på post-mortem, rotorsaksanalys och att bygga in lärdomar i process och policy.
- Förmåga att prioritera: hur du tar fram riskbaserade åtgärdslistor som höjer säkerheten utan att bromsa utveckling.
- AI-säkerhet i praktiken: policy för utvecklingsverktyg och datakontroller gentemot AI-leverantörer.
Så söker du tjänsten
Enligt annonsen söker man genom att ansöka direkt eller kontakta Linn Cedergårdh vid frågor. Rekryteringsprocessen innehåller personlighetstest och logiskt test via Alva Labs, följt av telefonsamtal, intervjuer (bland annat med CTO Anders Josefsson, AI Exploration Lead Christian Genne och vd Daniel Johansson), caseintervju med presentation om hur säkerhetsfunktionen skulle byggas, referenser och därefter erbjudande och avtal.
Sista ansökningsdag framgår inte i annonsen.
Sammanfattningsvis signalerar annonsen ett tydligt behov av en senior säkerhetschef/Head of security som kan kombinera hands-on applikations- och molnsäkerhet med riskstyrning, incidentarbete och ramverksdriven utveckling av säkerhetsfunktionen i en AI- och utvecklingstät miljö i Göteborg.
