Cybersäkerhetsanalytiker CV-exempel

Översikt

Linn Wahlbergs CV är ett välstrukturerat exempel på hur en cybersäkerhetsanalytiker med fem års erfarenhet inom finanssektorn kan presentera sin tekniska kompetens och sina operativa prestationer på ett sätt som är relevant för rekryterare inom IT-säkerhet i Sverige. Linn arbetar på SEB:s Security Operations Center (SOC) i Stockholm och ansvarar för hotövervakning, incidenthantering och hotintelligensarbete i en av Nordens mest reglerade IT-miljöer.

COPPER-mallen är rätt val för Linn. Mallen är utformad för ingenjörer och tekniker och dess analytiska, strukturerade uttryck matchar den precision och stringens som förväntas av en cybersäkerhetsprofessional. En COPPER-baserad layout signalerar teknisk kompetens utan att verka formell på ett sätt som vore mer passande för en jurist eller ekonom.

Det som gör Linns CV starkt är kombinationen av teknisk detaljrikedom, mätbara operativa resultat och tydlig certifieringsprofil. Cybersäkerhetsrekryterare vet att generella påståenden om "erfarenhet av säkerhetsarbete" är meningslösa. Det som räknas är vilka verktyg kandidaten behärskar, vilka incidenter de har hanterat och vilka certifieringar som styrker kompetensen.

---

Linn Wahlberg

Stockholm | [email protected] | +46 72 567 89 01 | linkedin.com/in/linnwahlberg

Professionell profil

Certifierad cybersäkerhetsanalytiker med fem års erfarenhet från SEB:s Security Operations Center i Stockholm. Hanterar i genomsnitt 340 säkerhetsalarmer per månad och eskalerar i genomsnitt 8 bekräftade incidenter per kvartal. Reducerade falsk-positivt-frekvensen i SIEM-systemet med 31 procent genom regeltuning under 2024. Specialiserad inom hotintelligens, nätverksforensik och incidentrespons för finansiella institutioner under NIS2-reglering.

---

Arbetslivserfarenhet

Cybersäkerhetsanalytiker Nivå 2, SEB Group Security Operations Center Stockholm | maj 2022 till nu

SEB är en av Nordens fyra systemviktiga banker och dess SOC är en av de mest sofistikerade i Sverige. Säkerhetsoperationerna är reglerade under DORA (Digital Operational Resilience Act), NIS2-direktivet och Finansinspektionens föreskrifter, vilket innebär att incidenthanteringen måste uppfylla strikta dokumentations- och rapporteringskrav. Analystema arbetar i treskiftsrotation och ansvarar för kontinuerlig övervakning av bankens globala IT-infrastruktur.

Linn är analytiker på nivå 2, vilket innebär att hon tar emot eskaleringar från nivå 1-analytiker och genomför djupare utredningar av misstänkta incidenter. Hon hanterar i genomsnitt 340 säkerhetsalarmer per månad via SEB:s Splunk Enterprise Security-plattform och Palo Alto Cortex XDR. Av dessa eskalerar hon i genomsnitt 8 bekräftade incidenter per kvartal till incidentresponsteamet för åtgärd.

Under 2024 genomförde Linn ett SIEM-tuningsprojekt med målet att reducera falsk-positivt-frekvensen, det vill säga antalet alarmer som triggas av legitim aktivitet snarare än faktiska hot. Projektet innebar systematisk analys av alarmregler, baslinjekartläggning av normaltrafikmönster och justering av tröskelparametrar för 47 av SOC:s mest alarmerande regler. Resultatet var en minskning av falsk-positiva alarmer med 31 procent, vilket frigjorde analyskapacitet motsvarande ungefär 60 analytikertimmar per månad.

Linn är också teamets primäransvariga för hotintelligensarbetet. Hon prenumererar på och processar hotintelligensflöden från MISP, FS-ISAC och Recorded Future, korrelerar inkommande indikatorer på kompromiss (IOC) med interna loggdata och producerar veckovisa hotbriefingar för SOC-ledningen. Under 2023 bidrog ett IOC från FS-ISAC som Linn identifierade och eskalerade till att blockera en phishingkampanj riktad mot SEB:s kundtjänstpersonal innan kampanjen nådde produktionssystem.

Linn har dessutom utformat SEB SOC:s Threat Hunting Playbook för tre scenariokategorier: lateral movement, credential dumping och data exfiltration. Playboken används nu som standarddokumentation för Tier 2-analytiker vid proaktiva jaktsessioner och har granskats och godkänts av Head of SOC Operations.

Verktyg och metoder: Splunk Enterprise Security, Palo Alto Cortex XDR, CrowdStrike Falcon, MITRE ATT&CK, MISP, Recorded Future, Wireshark, Velociraptor, TheHive, SIEM-regeloptimering, nätverksforensik.

---

Cybersäkerhetsanalytiker Nivå 1, Trygghansa Stockholm | september 2020 till april 2022

Linn inledde sin karriär hos Trygghansa, ett av Nordens ledande försäkringsbolag, som SOC-analytiker på nivå 1. Rollen innebar kontinuerlig alarmövervakning, initial triagering av säkerhetsincidenter och dokumentation i ärendehanteringssystemet ServiceNow. Trygghansas IT-miljö är komplex med ett stort antal slutpunktssystem, molntjänster på Azure och ett legacy-baserat kärnsystem för försäkringsadministration.

Under sina nästan två år på Trygghansa hanterade Linn 4 200 säkerhetsärenden och byggde en bred erfarenhet av alarmtyper, falskt positiva mönster och incidentklassificering. Hon deltog i två incidentresponsövningar och i ett phishingsimuleringsprogram för anställda som nådde 2 400 medarbetare. Simuleringen mätte klickfrekvensen på simulerade phishingmejl och bidrog till att minska denna med 28 procent över tre ronder under 12 månader.

Linn avslutade sin tid på Trygghansa med att erhålla CompTIA Security Plus-certifieringen, vilket var en förutsättning för att söka Nivå 2-analytikerrollen på SEB.

---

Kompetenser

SIEM och EDR: Splunk Enterprise Security, Palo Alto Cortex XDR, CrowdStrike Falcon, Microsoft Sentinel (grundläggande), QRadar (grundläggande)

Hotintelligens och analys: MITRE ATT&CK, MISP, Recorded Future, FS-ISAC, IOC-korrelation, Threat Hunting, TTP-analys

Forensik och incidentrespons: Wireshark, Volatility (minnesforensik), Velociraptor, TheHive, DFIR-processer, nätverkspaketanalys

Nätverkssäkerhet: Palo Alto NGFW, Cisco ASA, VPN-analys, nätverkssegmentering, DNS-logganalys

Compliance och reglering: NIS2, DORA, Finansinspektionens FFFS 2014:7, ISO 27001 grundläggande

Programmeringsspråk: Python (SIEM-automatisering och IOC-parsning), PowerShell (Windows-forensik)

Språk: Svenska (modersmål), engelska (flytande, primärt arbetsspråk)

---

Utbildning och certifieringar

Linköpings Universitet Civilingenjör Datateknik med inriktning informationssäkerhet, 300 högskolepoäng | 2015 till 2020

Certifieringar: CompTIA Security Plus 2022, CompTIA CySA Plus (Cybersecurity Analyst) 2023, GIAC GCIH (Certified Incident Handler) 2024, Splunk Core Certified Power User 2023

---

Sammanfattning: så skriver du rätt

Linns professionella profil är uppbyggd kring fyra konkreta mått: volym (340 alarmer per månad), eskaleringsfrekvens (8 incidenter per kvartal), en specifik teknisk prestation (31 procent reduktion av falsk-positiva) och en regulatorisk specialisering (NIS2 och DORA). Denna kombination av operativ statistik och regulatorisk kontextualisering är precis vad rekryterare inom finanssektorns cybersäkerhet söker.

Det är viktigt att notera att siffrorna i sammanfattningen är hämtade från verkliga mätpunkter i SOC-arbetet. I cybersäkerhet är trovärdighet allt och en intervjuare med teknisk bakgrund kommer omedelbart att ifrågasätta siffror som verkar onaturliga eller som inte kan förklaras metodologiskt. Ange alltid hur du mätte resultatet om du presenterar det i ett CV.

Referensen till NIS2 och DORA i sammanfattningen är strategiskt viktig. Dessa regelverk är relativt nya och inte alla analytiker är väl insatta i deras krav på operationell motståndskraft och incidentrapportering. Att positionera sig som specialist inom reglerad finansiell miljö snarare än som generalist är ett effektivt sätt att differentiera sig på en konkurrenskraftig arbetsmarknad.

---

Arbetslivserfarenhet: så presenterar du resultat

Beskrivningen av SIEM-tuningprojektet är ett utmärkt exempel på hur en intern förbättringsinitiativ kan presenteras med affärsmässig precision. Det specificerar problemet (hög falsk-positiv-frekvens), metoden (baslinjekartläggning och regeloptimering), skalan (47 regler justerade) och resultatet (31 procent reduktion och 60 frigjorda analytikertimmar per månad). Denna struktur, problem, metod, skala, resultat, är en universellt tillämplig mall för tekniska prestationsbeskrivningar.

Hotintelligensexemplet med phishingkampanjen som blockerades är en av de starkaste meningarna i CV:t. Det är ett konkret exempel på hur Linns dagliga arbete med IOC-processning ledde till ett verifierbart säkerhetsutfall. Cybersäkerhetsarbete är till sin natur reaktivt och förebyggande, vilket gör det svårt att kvantifiera. Ett konkret exempel där en identifierad IOC förhindrade ett angrepp är ovärderligt.

---

Kompetenser

Kompetensektionen är välstrukturerad och separerar SIEM-plattformar, hotintelligensverktyg, forensiska verktyg och nätverkssäkerhet. Det är viktigt att inkludera specifika verktygsversioner eller produktnamn eftersom rekryterare och hiring managers inom cybersäkerhet ofta söker matchning mot deras befintliga teknikstack. En kandidat som nämner Splunk Enterprise Security specifikt är mer värdefullt än en kandidat som bara skriver "SIEM-erfarenhet".

Python och PowerShell-kompetenserna signalerar att Linn kan automatisera SOC-uppgifter, vilket är en viktig differentierande faktor för Nivå 2-analytiker och uppåt. Att specificera användningsområdet för programmeringskunskaperna, IOC-parsning och Windows-forensik, är mer informativt än att bara lista språknamnen.

---

Utbildning och certifieringar

Civilingenjörsprogrammet i datateknik vid Linköpings Universitet är ett av Sveriges starkaste IT-program och ger en gedigen teknisk grund för cybersäkerhetsarbete. Certifieringsprofilen är välvald: CompTIA Security Plus och CySA Plus ger en bred baslinje, GIAC GCIH ger djup kompetens i incidenthantering och Splunk Power User-certifieringen verifierar plattformskompetens. Att presentera certifieringarna med år visar en kontinuerlig kompetensuppdatering.

---

Vad detta CV kunde ha gjort bättre

Linns CV nämner inte hennes erfarenhet av red team-samarbete eller penetrationstestning, vilket är relevant för en Nivå 2-analytiker som vill klättra till Nivå 3 eller en Senior Analyst-roll. Även om Linn inte är pentestare själv har hon sannolikt haft kontakt med red team-rapporter och purple team-övningar. En mening om erfarenhet av att arbeta med offensiva säkerhetstesters fynd vore värdefullt.

CV:t saknar information om konferensdeltagande eller communitybidrag. Cybersäkerhetsbranschen i Sverige har aktiva communities, inklusive SOFF (Säkerhets och Försvarsföretagen) och NCT (Nationellt Cybersäkerhetscenter), och deltagande i dessa signalerar en analytiker som håller sig uppdaterad med det nationella hotlandskapet.

Slutligen bör Linn överväga att inkludera ett GitHub-konto med exempel på Python-scripts för SIEM-automatisering. I cybersäkerhet är visad kod mer övertygande än påstående om programmeringsförmåga och ett välkommenterat automationsskript är ett starkt komplement till CV:t.

---

Avslutning

Linns CV demonstrerar att en cybersäkerhetsanalytiker kan och bör presentera operativa resultat med samma noggrannhet som analysunderlag i arbetet. Alarmvolym, falsk-positivt-frekvens, frigjorda analytikertimmar och konkreta incidentexempel är alla mätbara dimensioner av professionell kapacitet och ett CV som inkluderar dessa data kommunicerar kompetens på ett sätt som certifieringslistan ensam aldrig kan.

Den svenska finanssektorn, med banker som SEB, Swedbank, Handelsbanken och Nordea, söker kontinuerligt efter erfarna analytiker som kombinerar teknisk djupkompetens med förståelse för reglerade miljöer. Laddro hjälper dig att formulera din cybersäkerhetserfarenhet på ett sätt som talar direkt till vad rekryterare inom finansiell IT-säkerhet värderar.