Program Cyber Security Manager – Västerås – Alstom

Ledande roll för cybersäkerhet i produktutveckling hos Alstom i Västerås/Stockholm. Fokus på cybersecurity-by-design, threat modelling, sårbarhet och IEC 62443/ISO 2700x.

Ny tjänst: Alstom söker Program Cyber Security Manager i Västerås – det här söker arbetsgivaren

Alstom söker Program Cyber Security Manager i Västerås (alternativt Stockholm), enligt en ny jobbannons. Rollen beskrivs som ett ledande och koordinerande uppdrag för cybersäkerhetsarbetet inom produktutveckling, med fokus på att tillämpa cybersecurity-by-design genom hela livscykeln och säkerställa att Alstoms elektroniska produkter möter krav från regelverk, kunder och interna förväntningar.

I annonsen lyfter Alstom sin position i den svenska järnvägsmarknaden och kopplar rollen till arbete med säkerhet i tekniska system, där både styrning, riskhantering och verifiering av säkerhetsåtgärder ingår.

Ansvar och arbetsuppgifter

Som Program Cybersecurity Manager ska du enligt annonsen leda och samordna cybersäkerhetsaktiviteter över produktutvecklingen i nära samarbete med Cybersecurity Department och produktutvecklingsteam.

Leda och koordinera cybersäkerhetsarbetet i produktutvecklingsprojekt och säkerställa tillämpning av cybersecurity-by-design.
Analysera säkerhetsbehov, relevanta regelverk och projektkrav för att definiera säkerhetsmål och övergripande riskstrategi.
Planera och styra cybersäkerhetsaktiviteter, inklusive kostnad och tidplan kopplat till säkerhetsarbetet.
Stödja tekniska designgranskningar för att säkerställa att överenskomna säkerhetsåtgärder implementeras.
Hantering av sårbarheter och cybersäkerhetsärenden, inklusive uppföljning av incidentlösning och åtgärdsplaner.
Säkerställa tydlig och snabb kommunikation om cybersäkerhetsstatus.
Samordna arbete med interna och externa revisorer (auditors).
Ansvara för QCD-prestanda (Quality, Cost, Delivery) för cybersäkerhetsarbetspaketet.
Främja Alstoms Code of Ethics och cybersäkerhetsbästa praxis i organisationen.

Annonsen listar också centrala leverabler/”outputs” i rollen:

Threat modelling
Cybersecurity-arkitektur och kravnedbrytning/kravallokering
Tillämpning av secure development-principer och assurance levels
Sårbarhetshantering och tredjepartsriskhantering
Cybersäkerhetsoperativa rutiner (operating procedures)
Säkerhetstestning och utvärdering av uppnådd cybersäkerhetsnivå
Planering och governance-aktiviteter

Kravprofil: kompetens och erfarenhet

Krav

Ingenjörsexamen inom exempelvis inbyggda system (embedded), digitala teknologier, telekom, cybersäkerhet eller liknande.
Erfarenhet av arkitektur, design eller utveckling av embedded/digitala/industriella system.
Praktisk erfarenhet av cybersäkerhetsaktiviteter eller införande/användning av cybersäkerhetstekniker.
Kunskap om standarder och ramverk såsom ISO 2700x, IEC 62443, NIS/NIS2, NIST och CRA (Cyber Resilience Act).
Förmåga inom riskanalys och threat modelling.
Kunskap om system- och nätverksarkitektur.
Kunskap om operativsystem och programmeringskoncept.
Kunskap om metoder för säkerhetsutvärdering (security evaluation techniques).
Arbetssätt: självständig, analytisk och strukturerad.
Stark kommunikationsförmåga i internationella miljöer samt förmåga att förklara komplexa frågor och påverka tekniska beslut.
Förmåga att arbeta i komplexa och matrisorganiserade verksamheter.

Meriterande

Erfarenhet från embedded/industriella system inom exempelvis järnväg, flyg (aeronautics) eller fordon (automotive).
Certifieringar som GICSP, CISSP, CISM, GSEC eller motsvarande.
Kunskap om eller certifiering kopplad till IEC 62443 (anges som en stark fördel).

Alstom betonar i annonsen att de värderar kompetens, passion och attityd högt och att man inte behöver uppfylla varje punkt för att vara aktuell.

Vilken typ av säkerhetsroll är det?

Det här är i första hand en roll inom cybersäkerhet/IT-säkerhet och informationssäkerhet i tekniska produkter och industriella system, med tydlig koppling till secure development, riskanalys, sårbarhetshantering, test och styrning (governance) i produktutveckling. Annonsens fokus på standarder som IEC 62443 och ISO 2700x, samt på risk och regelefterlevnad (NIS/NIS2, NIST, CRA), placerar rollen nära det som ofta kallas produktsäkerhet och säkerhet i OT/industriella miljöer.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens kravbild framstår följande som centralt att konkretisera i ansökan och i intervjuer:

Exempel på hur du arbetat med cybersecurity-by-design genom hela utvecklingslivscykeln.
Hur du genomfört riskanalys och threat modelling, samt hur resultaten omsatts till krav, arkitektur och verifiering.
Erfarenhet av att leda eller samordna tvärfunktionellt säkerhetsarbete (produktutveckling, säkerhetsfunktion, test, kvalitet) i en matrisorganisation.
Praktiska upplägg för sårbarhetshantering och tredjepartsrisker, inklusive prioritering, åtgärdsplaner och uppföljning.
Erfarenhet av säkerhetstestning och metoder för att bedöma uppnådd säkerhetsnivå.
Din förståelse för relevanta standarder/regelverk som nämns i annonsen (ISO 2700x, IEC 62443, NIS/NIS2, NIST, CRA) och hur du arbetat med compliance i praktiken.
Förmåga att kommunicera cybersäkerhetsstatus tydligt till olika intressenter och att driva tekniska beslut.

Så söker du tjänsten

Annonsen anger Req ID: 504680 och att tjänsten är placerad i Stockholm eller Västerås. Hur ansökan ska skickas in (t.ex. via specifik länk eller e-post), sista ansökningsdag, anställningsform och lönenivå framgår inte av den annonsinformation som Säkerhetsvärlden.se tagit del av här.

Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom styrning och genomförande av cybersäkerhet i produktutveckling för industriella/embedded system, med stark betoning på standarder, riskhantering och verifiering.