Security Hub Lead – Göteborg – Coretura

Security Hub Lead i Göteborg – Coretura. Ledarroll inom cyber- och IT-säkerhet över cloud, produkt och enterprise; ISO/SAE 21434, UN R155/R156, ISO 27001.

Ny tjänst: Coretura söker Security Hub Lead i Göteborg – det här söker arbetsgivaren

Coretura söker Security Hub Lead i Göteborg. Enligt jobbannonsen är det en senior ledarroll inom cybersäkerhet som rapporterar till CDO och spänner över cloud-, produkt- och enterprise security. Rollen innebär att bygga och leda ett “Security Hub” – ett tvärfunktionellt center of excellence – och samtidigt säkerställa en sammanhållen säkerhetsnivå från fordonens uppkopplade tjänster till företagets interna IT- och fysiska miljöer.

Annonsen beskriver att Coretura bygger en produktionssatt plattform som körs i kommersiella fordon på allmän väg, med bland annat hårdvara, middleware, konnektivitet och OTA-uppdateringar. Säkerhet framhålls som en grundläggande egenskap i allt som byggs, inte en funktion som läggs på i efterhand. Arbetsform, anställningsform och sista ansökningsdag framgår inte i annonsen.

Ansvar och arbetsuppgifter

I rollen som Security Hub Lead ska du enligt annonsen både leda och äga centrala säkerhetsområden, samt samordna med organisationen för fordonens cybersäkerhet.

Bygga och leda Security Hub som tvärfunktionellt nav för cybersäkerhet inom Coreturas olika domäner.
Cloud & Product Security: säker arkitektur, DevSecOps, sårbarhetshantering samt härdning av CI/CD för tjänster som kopplar fordon till omvärlden.
Enterprise IT Security: IAM, endpoint-skydd, nätverkssäkerhet och incidenthantering.
Fysiskt skydd: tillträdeskontroll till labb, besökshantering och hantering av fysiska incidenter.
Samordning med onboard vehicle cybersecurity, inklusive TARA enligt ISO/SAE 21434, efterlevnad av UN R155/R156 och en zone-baserad säkerhetsarkitektur som spänner från säkerhetskritiska ASIL-partitioner till extern uppkopplingsgräns.
Bygga en Security Community of Practice för att sprida säkerhetstänkande över fordons-, cloud- och enterprise-domäner.
Äga och driva styrning genom ISMS och CSMS samt en spårbar modell för “Asset → Threat → Control → Implementation → Evidence”.
Integrera säkerhetsverktyg i utvecklingsarbetet, där annonsen särskilt nämner att arbetssätten ska passa ingenjörernas vardag och kopplas till samma Sphinx-needs-verktygskedja som produktdokumentationen.

Annonsen lyfter även utmaningar som rollen förväntas hantera, såsom konvergerande regelverk (bland annat GDPR och ISO 26262), tvärdomän-attackytor mellan cloud och fordon, leverantörs-/supply chain-risker samt kravdialog med OEM:er (bland annat Cybersecurity Interface Agreements och att omsätta säkerhetsarkitektur till krav i hårdvaruinköp).

Kravprofil: kompetens och erfarenhet

Krav

Senior säkerhetsledarskapsförmåga med bred spännvidd över cloud-, produkt- och enterprise security (enligt annonsens beskrivning av rollen).
Erfarenhet som “security generalist” med djup i minst två av de områden som rollen omfattar, samt förmåga att förstå både cloudarkitektur och TARA.
Erfarenhet av ISO/SAE 21434, UN R155/R156 och ISO 27001 i en produktbolagskontext (anges som essentiellt).
Förväntad trygghet i AWS/Azure, DevSecOps och mjukvaruförsörjningskedje-/software supply chain security.
Förmåga att kombinera regelefterlevnad med praktiskt ingenjörsarbete, där annonsen betonar att compliance behöver vara “lean, auditable, and real”.

Meriterande

Bakgrund inom fordons-/automotive (anges som en stark fördel).

Vilken typ av säkerhetsroll är det?

Utifrån annonsen är detta främst en ledande roll inom cybersäkerhet och informationssäkerhet/IT-säkerhet, med tydlig koppling till produkt- och molnsäkerhet (cloud & product security), samt enterprise IT security (IAM, endpoint, nätverk och incidenthantering). Samtidigt ingår även fysiskt skydd (tillträde, besök, fysiska incidenter), vilket gör rollen ovanligt bred jämfört med många renodlade CISO-/IT-säkerhetsroller.

Rollen ligger också nära lag & rätt och regulatorisk efterlevnad genom kraven på UN R155/R156 och ISO/SAE 21434, och annonsen betonar behovet av spårbarhet och evidens (Asset–Threat–Control–Implementation–Evidence) samt krav från OEM:er och tidslinjer kopplade till incidenthantering.

Det här bör kandidater lyfta i ansökan

Annonsen pekar på en kombination av styrning, teknik och samverkan. Följande delar framstår som särskilt viktiga att konkretisera i ansökan och i intervjuer:

Exempel på hur du byggt eller lett ett tvärfunktionellt säkerhetsarbete (center of excellence, security community of practice eller liknande) och skapat gemensamma arbetssätt över team.
Hur du arbetat praktiskt med ISMS och/eller CSMS, inklusive spårbarhet, kontroller och evidens som håller vid revision utan att skapa onödig processbelastning.
Erfarenheter av ISO/SAE 21434 och TARA-arbete, samt hur du kopplat riskanalys till arkitektur, krav och implementation.
Hur du drivit DevSecOps, CI/CD-härdning och sårbarhetshantering i miljöer som levererar uppkopplade tjänster.
Konkreta arbetssätt för software supply chain security (t.ex. hantering av CVE:er, policy för paket/beroenden, och uppföljning av åldrande dependencies), i linje med annonsens fokus på supply chain-risk.
Incidenthantering: hur du etablerat eller förbättrat incident response, inklusive förberedelser för kravstyrda tidslinjer och samverkan med externa parter.
Samverkan med kravställare: erfarenhet av att förhandla och dokumentera säkerhetskrav med kunder/partners (annonsen nämner OEM:er och Cybersecurity Interface Agreements) och att översätta säkerhetsarkitektur till inköps-/upphandlingskrav.

Så söker du tjänsten

Enligt annonsen går det att ansöka anonymt genom att generera och skicka in ett anonymiserat CV samt använda en dold e-postadress för initial dialog. Coretura uppger att de då kan granska profilen utan att känna till kandidatens identitet och hålla den första kontakten via en “untraceable mail address”.

Sista ansökningsdag framgår inte i annonsen, och det framgår inte heller några uppgifter om lön eller anställningsvillkor.

Sammanfattningsvis signalerar annonsen att Coretura söker en senior säkerhetsledare som kan knyta ihop fordonscybersäkerhet, cloud- och produktsäkerhet, enterprise IT-säkerhet och fysiskt skydd – med tydligt fokus på efterlevnad (ISO/SAE 21434, UN R155/R156, ISO 27001) och ett ingenjörsnära, spårbart säkerhetsarbete i en produktorganisation.