Wint söker Head of Security i Göteborg – krav & ansökan

Läs vår genomgång av Wints tjänst Head of Security i Göteborg: ansvar inom IAM, AppSec, Azure, risk, pentest och compliance. Se kravprofil och hur du söker.

Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren

Wint söker Head of security till Wint i Göteborg. Rollen är placerad i Göteborg (kontor i Jacyzhuset i Gårda) och är en tillsvidareanställning på heltid. Enligt annonsen är upplägget som grund fyra dagar i veckan på kontoret och en dag hemifrån.

Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över bolaget, med en medveten separation från CTO-funktionen. Rollen innebär nära samarbete med CTO Anders Josefsson och utvecklingsorganisationen, men med tydligt ansvar att kunna stoppa eller senarelägga förändringar när riskbilden kräver det. Fokus ligger på att skydda en verksamhet som hanterar ekonomi, lön och bankintegrationer för 5 000+ svenska företag, med tydliga GDPR- och regulatoriska krav.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett ansvar som spänner från identitets- och åtkomststyrning till applikations- och leverantörssäkerhet, samt incidenthantering och stöd till affären.

Inledande huvudfokus

Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och vidareutveckla en just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on-/offboarding-rutinen.
Kodsäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.

Fokus när man är mer “varm i kläderna”

Pentest och risk: äga pentest-programmet, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialogen.
Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portföljen samt minska exponering mot supply chain-attacker (NuGet, npm, GitHub Actions).
Policy och ramverk: vidareutveckla säkerhetspolicys och driva mappning mot ramverk som NIST CSF, ISO 27001 eller SOC 2 (enligt annonsen väljs inriktning tillsammans utifrån kund- och regulatoriska behov).
AI-säkerhet: äga AI-användarpolicy och säkra datakontroller mot AI-leverantörer för att minska risken att kunddata lämnar systemen via utvecklingsverktyg.
Incidenthantering: äga post-mortem-flödet för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar blir del av policy och process.
Workshops och stöd: stödja interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.

Förväntad leverans första 90 dagarna

Inom 90 dagar vill Wint att den som anställs presenterar en riskprioriterad åtgärdslista: största hoten mot bolaget, sannolikhet, samt vilka åtgärder som ger mest skydd per insats – med målet att öka säkerheten utan att tappa utvecklingsfart.

Kravprofil: kompetens och erfarenhet

Wint söker enligt annonsen en senior person som kombinerar djup teknisk kompetens med strategiskt ansvar, och som kan växla mellan detaljer (kodgranskning) och helhet (säkerhetsstrategi).

Krav (enligt annonsen)

7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetssynpunkt (egen utvecklarbakgrund i .NET anges som meriterande men inte krav om man behärskar applikationssäkerhet i andra språk).
Erfarenhet av molnmiljöer, särskilt Azure (IAM, nyckelhantering, nätverkssäkerhet m.m.).
Avancerad förståelse för identitet, åtkomst och nätverk: PIM/PAM, SSO, VPN, segmentering.
Erfarenhet av minst ett etablerat säkerhetsramverk: NIST CSF, ISO 27001, SOC 2 eller motsvarande.
Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).

Meriterande (enligt annonsen)

Tidigare arbete i eller nära en CISO-/Head of Security-roll.
Erfarenhet av att forma säkerhetsfunktioner på växande bolag.
Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).

Personliga egenskaper

Våga säga “stopp” och kunna göra det med data, inte enbart magkänsla.
Självgående och nära både utveckling och affär.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta i första hand en senior roll inom IT-säkerhet/cybersäkerhet och informationssäkerhet med tydlig tyngd på:

Identitets- och åtkomsthantering (IAM/PIM/PAM) i Azure-miljö.
Applikationssäkerhet (AppSec) för C#/.NET samt säkerhet i CI/CD (GitHub Actions).
Riskhantering, leverantörsstyrning och efterlevnad genom pentest-program, tredjepartsrisk/DPA och mappning mot ramverk som NIST CSF/ISO 27001/SOC 2.
Incidenthantering med fokus på post-mortem och förbättringsarbete.
AI-säkerhet kopplat till policystyrning och datakontroller för utvecklingsverktyg och leverantörer.

Annonsen nämner inte säkerhetsskydd, fysiskt skydd, personalsäkerhet eller beredskap/krisledning som huvudområden för tjänsten.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens krav och prioriteringar kan kandidater vinna på att konkret beskriva:

Exempel på IAM-arbete i Azure: hur man har arbetat med PIM/PAM, just-in-time-åtkomst, åtkomstgranskningar, VPN-arkitektur och MDM.
AppSec i praktiken: hur man granskar PR:er, etablerar “secure coding”-mönster och inför/utvecklar automatiserade säkerhetsskanningar i CI/CD.
Riskprioritering och beslutsstöd: hur man tar fram åtgärdslistor baserat på hot, sannolikhet och effekt (särskilt relevant med tanke på 90-dagarsleveransen).
Pentest-program: erfarenhet av att beställa, leda eller genomföra tester samt omsätta resultat i åtgärder.
Leverantörs- och supply chain-säkerhet: tredjepartsrisk, DPA-hantering och kontroll av beroenden/byggkedja (t.ex. paket och pipelines).
Efterlevnad och ramverk: hur man arbetat med NIST CSF, ISO 27001, SOC 2 eller motsvarande och översatt krav till praktiska kontroller och policy.
AI-säkerhet: hur man har etablerat policy för AI-verktyg och minimerat dataläckagerisker via utvecklingsmiljöer och leverantörer.
Samverkan med utveckling och affär: exempel på situationer där man behövt säga “nej” eller “inte än”, och hur det förankrats med mätbar risk och tydliga alternativ.

Så söker du tjänsten

Enligt annonsen söker man genom att skicka in ansökan och går därefter igenom tester via Alva Labs, följt av telefonsamtal, intervjuer (inklusive med CTO, AI Exploration Lead och vd), caseintervju, referenser och erbjudande.

Kontaktperson för frågor innan ansökan är Linn Cedergårdh, enligt annonsen. Sista ansökningsdag framgår inte i annonsen.

Sammanfattningsvis signalerar annonsen ett tydligt behov av en senior säkerhetschef/Head of Security med stark teknisk förankring i Azure, identitet och applikationssäkerhet, och med förmåga att omsätta risk och compliance-krav till praktiskt genomförbara förbättringar i ett snabbt utvecklingsdrivet bolag.