”`html
Ny tjänst: Wint söker Head of security till Wint i Göteborg – det här söker arbetsgivaren
Wint söker Head of security till Wint i Göteborg. Rollen är placerad på kontoret i Jacyzhuset i Gårda och är en tillsvidareanställning på heltid. Enligt annonsen är upplägget som grund 4 dagar i veckan på kontoret och 1 dag hemifrån.
Head of Security rapporterar direkt till vd Daniel Johansson och får mandat att driva säkerhetsarbetet tvärs över hela bolaget, med en uttalad separation från CTO-funktionen. Wint beskriver att rollen ska kunna bromsa vid behov och skapa “sund tveksamhet” i takt med utvecklingshastigheten. Arbetet sker nära CTO Anders Josefsson och utvecklingsorganisationen, i en miljö som hanterar ekonomi-, löne- och bankintegrationsdata för 5 000+ svenska företag, med GDPR- och regulatoriska krav.
Ansvar och arbetsuppgifter
Annonsen beskriver ett brett ansvar inom IT-säkerhet och informationssäkerhet, med initialt fokus på identitet/åtkomst samt applikations- och kodsäkerhet. Därefter byggs ansvaret ut mot bland annat riskhantering, leverantörsrisk och incidenthantering.
- Identitet, åtkomst och enhetssäkerhet: äga Azure PIM och driva vidare just-in-time-modell, äga VPN-arkitektur, driva löpande åtkomstgranskning, äga MDM-program samt äga on/offboarding-rutin.
- Kodsäkerhet: kunna läsa och förstå Wints C#/.NET-kodbas för att granska känsliga ändringar, identifiera sårbarheter i pull requests och vägleda utvecklare i säker kodning. Vidareutveckla automatiserade säkerhetsskanningar och granskningsmallar i PR-flödet.
- Pentest och risk: äga pentestprogram, driva riskanalyser och hantera kunders säkerhetskrav i affärsdialog.
- Leverantörs- och supply chain-säkerhet: äga tredjepartsrisk och DPA-portfölj samt minska exponering mot supply chain-attacker kopplade till exempelvis NuGet, npm och GitHub Actions.
- Policy och ramverk: vidareutveckla säkerhetspolicys och mappa mot ramverk som NIST CSF, ISO 27001 och/eller SOC 2 (val enligt annonsen görs utifrån kund- och regulatoriska behov).
- AI-säkerhet: äga AI-användarpolicy (vad som är tillåtet/blockeras och hur efterlevnad följs upp) samt säkra datakontroller mot AI-leverantörer så att kunddata inte oavsiktligt lämnar systemen via utvecklingsverktyg.
- Incidenthantering: äga post-mortem-flöde för säkerhetsincidenter, leda analys, driva åtgärder och säkerställa att lärdomar omsätts i policy och process.
- Workshops och stöd: stödja interna team och kunder i säkerhetsfrågor, vägleda utvecklingsteam och hjälpa sälj med säkerhetsformulär och DPA-frågor.
Inom de första 90 dagarna vill Wint enligt annonsen att rollen presenterar en konkret, riskprioriterad åtgärdslista: största hoten mot bolaget, sannolikhet och åtgärder som ger mest skydd per insats.
Kravprofil: kompetens och erfarenhet
Krav
- 7–10+ års erfarenhet inom IT-säkerhet, från mjukvarubolag eller som säkerhetskonsult.
- Förmåga att läsa och förstå C#/.NET-kodbaser och granska ur säkerhetsperspektiv (utvecklarbakgrund i .NET är meriterande men inte ett krav enligt annonsen).
- Erfarenhet av molnmiljöer, särskilt Azure: IAM, nyckelhantering, nätverkssäkerhet med mera.
- Avancerad förståelse för identitet, åtkomst och nätverk, exempelvis PIM/PAM, SSO, VPN och segmentering.
- Erfarenhet av minst ett etablerat säkerhetsramverk, exempelvis NIST CSF, ISO 27001 eller SOC 2 (eller motsvarande).
- Praktisk erfarenhet av pentest och riskanalys (att beställa, leda eller själv utföra).
- Personliga egenskaper: våga säga “stopp” med stöd i data samt vara självgående och hålla sig nära både utveckling och affär.
Meriterande
- Erfarenhet från eller nära en CISO-/Head of Security-roll.
- Erfarenhet av att forma säkerhetsfunktioner på växande bolag.
- Aktivt intresse för AI och dess påverkan på säkerhet (risk och möjlighet).
Vilken typ av säkerhetsroll är det?
Rollen är tydligt inriktad mot IT-säkerhet/cybersäkerhet och informationssäkerhet i en mjukvaru- och molnmiljö. Tyngdpunkten ligger på identitet och åtkomst (IAM/PIM), enhetssäkerhet (MDM), applikationssäkerhet och kodgranskning i C#/.NET, samt styrning genom ramverk och policys.
Samtidigt innehåller uppdraget moment av riskhantering, leverantörs- och supply chain-säkerhet, incidenthantering och kunddrivna compliancekrav (bland annat kopplat till GDPR och DPA-frågor). Annonsen beskriver inte fysisk säkerhet, beredskap/krisledning eller säkerhetsskydd som huvudspår.
Det här bör kandidater lyfta i ansökan
För den som söker rollen som säkerhetschef/Head of Security hos Wint pekar annonsen ut flera områden som är viktiga att konkretisera:
- Exempel på hur du har byggt eller vidareutvecklat IAM/PIM/PAM, åtkomststyrning och återkommande åtkomstgranskning, gärna i Azure-miljö.
- Erfarenhet av att kombinera utvecklingstakt med säkerhetskrav: hur du har arbetat med “guardrails” i CI/CD, automatiserade skanningar och effektiva PR-granskningar.
- Beskrivning av din metod för riskanalys och prioritering (relevant då Wint efterfrågar en riskprioriterad åtgärdslista inom 90 dagar).
- Konkreta resultat från pentestprogram: hur du beställt/lett tester, triagerat fynd och drivit åtgärder i utvecklingsorganisation.
- Arbete med tredjepartsrisk och DPA/biträdesavtal, samt åtgärder mot supply chain-risker i beroenden och byggpipelines.
- Hur du använt eller mappat mot ramverk som ISO 27001, NIST CSF eller SOC 2 – och hur du gjort det praktiskt användbart i vardagen.
- Incidenthantering i praktiken: post-mortem, åtgärdsplaner och hur lärdomar omsätts till process och policy.
- AI-säkerhet: exempel på policyarbete för AI-verktyg och datakontroller mot AI-leverantörer, särskilt i utvecklingsmiljö.
Så söker du tjänsten
Enligt annonsen söker man genom att skicka in ansökan och därefter ingår personlighetstest och logiskt test via Alva Labs, följt av telefonsamtal och flera intervjusteg, inklusive caseintervju med presentation av hur kandidaten skulle bygga säkerhetsfunktionen. Vid frågor kan man kontakta Linn Cedergårdh.
Sista ansökningsdag framgår inte av annonsen.
Sammanfattningsvis signalerar “Wint söker Head of security till Wint i Göteborg” ett tydligt kompetensbehov inom modern IT-säkerhet i moln- och utvecklingsnära miljö, där identitet/åtkomst, applikationssäkerhet, leverantörsrisk och AI-säkerhet kombineras med mandat och styrning direkt mot vd.
”`
