Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker en Head of security i Göteborg med uppdrag att driva säkerhet tvärs över hela bolaget. Enligt jobbannonsen rapporterar rollen direkt till vd och har mandat att fatta säkerhetsbeslut oberoende av CTO, med en uttalad ambition att kunna bromsa när risknivån kräver det.
Tjänsten är placerad på Wints kontor i Jacyzhuset i Gårda, Göteborg. Upplägget för distansarbete anges som fyra dagar i veckan på kontoret och en dag hemifrån som grund. Anställningsformen är tillsvidare och heltid. Sista ansökningsdag framgår inte i annonsen.
Ansvar och arbetsuppgifter
Rollen kombinerar operativt och strategiskt ansvar inom IT-säkerhet, cybersäkerhet och informationssäkerhet, med tydlig tyngdpunkt på identitet/åtkomst, moln (Azure) och applikationssäkerhet i utvecklingsflödet.
Annonsen beskriver ett initialt fokus på:
- Identitet, åtkomst och enhetssäkerhet: ägarskap för Azure PIM och vidareutveckling av just-in-time-modell, VPN-arkitektur, löpande åtkomstgranskning, MDM-program samt on/offboarding-rutin.
- Kodsäkerhet: förstå och granska Wints C#/.NET-kodbas, identifiera sårbarheter i pull requests, vägleda utvecklare i säker kodning, samt vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
När personen är mer etablerad i rollen lyfts även följande områden:
- Pentest och risk: äga pentest-program, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
- Policy och ramverk: vidareutveckla säkerhetspolicys och mappa mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 utifrån kund- och regulatoriska behov.
- AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flöde för säkerhetsincidenter, leda analys, driva åtgärder och återföra lärdomar i policy och process.
- Workshops och stöd: stötta interna team och kunder, vägleda utvecklingsteam samt hjälpa sälj med säkerhetsformulär och DPA-frågor.
En konkret leverans i uppstarten är att inom 90 dagar presentera en riskprioriterad åtgärdslista: största hoten, sannolikhet och åtgärder som ger mest skydd per insats – utan att “tappa fart”, enligt annonsen.
Kravprofil: kompetens och erfarenhet
Wint söker en senior profil som kan växla mellan teknisk detaljnivå (kodgranskning) och styrning/strategi.
Krav
- 7–10+ års erfarenhet inom IT-säkerhet (från mjukvarubolag eller som säkerhetskonsult).
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetssynpunkt (utvecklarbakgrund i .NET anges som meriterande men inte ett krav om man behärskar applikationssäkerhet i andra språk).
- Erfarenhet av molnmiljöer, särskilt Azure, inklusive IAM, nyckelhantering och nätverkssäkerhet.
- Avancerad förståelse för identitet/åtkomst och nätverk, exempelvis PIM/PAM, SSO, VPN och segmentering.
- Erfarenhet av minst ett etablerat säkerhetsramverk (NIST CSF, ISO 27001, SOC 2 eller motsvarande).
- Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).
Meriterande
- Tidigare arbete i eller nära en CISO-/Head of Security-roll.
- Erfarenhet av att forma säkerhetsfunktioner på växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).
Personliga egenskaper som lyfts är att våga säga “stopp” med stöd i data, vara självgående och kunna arbeta nära både utveckling och affär.
Vilken typ av säkerhetsroll är det?
Detta är en tydligt teknisk Head of Security-roll med fokus på informationssäkerhet/IT-säkerhet och cybersäkerhet i en produkt- och utvecklingsintensiv miljö. Annonsen pekar särskilt ut områden som identitet och åtkomst (IAM), molnsäkerhet i Azure, applikationssäkerhet i C#/.NET samt säkerhet i CI/CD-flöden (GitHub Actions) och leverantörs-/supply chain-risk.
Rollen inkluderar även styrning och efterlevnad genom policyarbete, ramverksmappning (NIST CSF/ISO 27001/SOC 2) och hantering av kundkrav. Wint lyfter att de hanterar finansiell data med “tydliga GDPR- och regulatoriska krav”, vilket signalerar en kombination av tekniknära säkerhetsarbete och compliance-orienterade uppgifter.
Annonsen beskriver inte säkerhetsskydd, fysiskt skydd, personalsäkerhet eller beredskap/krisledning som separata ansvarsområden.
Det här bör kandidater lyfta i ansökan
Utifrån annonsens fokusområden kan det vara relevant att konkretisera:
- Exempel på hur du byggt eller förbättrat IAM/PIM/PAM, åtkomstgranskning, onboarding/offboarding och MDM i en organisation.
- Erfarenhet av Azure-säkerhet: designval för nätverk, identitet, nycklar/secrets och skydd av PaaS-tjänster.
- Hur du arbetat med kod- och applikationssäkerhet i praktiken, inklusive granskning i PR-flöden och automatiserad skanning i CI/CD.
- Genomförda riskanalyser och hur du prioriterat åtgärder för “mest skydd per insats”, gärna kopplat till mätbar effekt och tempo i utveckling.
- Hur du lett eller beställt pentester och omsatt resultat till åtgärdsplaner.
- Arbete med tredjepartsrisk och DPA: process, uppföljning och hur du hanterat leverantörskedjan (inklusive open source- och pipeline-risker).
- Incidenthantering och post-mortem: hur du drivit analys, förbättringar och återföring till policy och process.
- Hur du hanterar AI-säkerhet i utvecklingsmiljöer: policy, datakontroller och efterlevnadsuppföljning.
Så söker du tjänsten
Enligt annonsen söker man genom att skicka in ansökan direkt. Vid frågor uppges att man kan kontakta Linn Cedergårdh. Rekryteringsprocessen beskrivs innehålla tester via Alva Labs, flera intervjusteg (bland annat med CTO, AI Exploration Lead och vd), en caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen samt referenstagning innan erbjudande och avtal.
Sista ansökningsdag framgår inte i annonsen. Sammantaget signalerar annonsen att Wint prioriterar en senior, tekniknära säkerhetschef/Head of Security som kan kombinera styrning, risk och compliance med hands-on arbete i kod, moln och utvecklingsprocess.
