昨天我們談到 IT 團隊工作執掌重組，讓團隊每個人的專業以及工作能夠得合理分派，並且帶來服務品質的提升

然而團隊不能只是一直給予，在資訊變化尤其資安的部分，團隊必須不段更新自我的能力才能因應不段變化的世界

於是就有我們今天要談論的團隊賦能，就來看看當時團隊做了哪些事吧~

Situation

如之前所述，在工作執掌重新整理過後，團隊的技能也需要因應新的責任範圍而成長。當時面對的挑戰有：

• 原 CRM 系統是套用總部的外包商版本，先不說外包商在印度，就連外包商也因為當年開發的工程師都已經陸續離職而無法有效提供服務。加之每年需負擔給總部的授權費用，持續維護此一版本已不合乎經濟效益。經過評估後，搬遷至新的 CRM 系統已是必然，接下來經過內部資料量、流程熟悉度、預算等考量之下，決定從同系列產品地端版分階段搬遷至雲端版本。
• 當時內部並沒有該雲端 CRM 的開發工程師，而雲端版本因為供應商剛提出不久，市面上的技術人力資源也極少 （或極貴），加之轉型時程綜合評估之後決定尋找可合作的外包商協助進行第一版本的 POC 同時驗證可行性，成功後再進行技術移轉。

同時因應日新月異的資安風險，既有系統年就失修已經無法防護新型態的攻擊手段，在資安事件爆發後，如何在補洞的同時加強基礎建設也是很重要的跳戰。

Task

目標很單純：

• 組織內部必須要有能夠開發和維運此一雲端 CRM 系統的能力。
• IT 團隊要成為組織內資安防護的第一線。
• IT 團隊要能知道目前團隊與業界標準差距

Action

CRM 開發：

• 先與供應商簽署合作意向書，一方面以組織的龐大影響力作為供應商的示範團隊，同時間也能夠由供應商推薦技術與品質可靠的開發外包團隊，節省不少自己搜尋研究的資源與減少可能的風險。
• 先由外包廠商進行 pilot 專案試行，同時驗證新架構能夠符合主要功能需求。驗證成功後再藉由技術移轉，由外包團隊擔任導師，協助內部開發團隊由維護小功能到開發大專案逐漸學習成長。

資安相關：

• 開發團隊必須要有基本軟體開發資安風險知識，避免留下入侵破口；資料需要加密儲存和傳送；系統權限必須有效分級。
• 維運團隊必須定期追蹤團隊和組織所使用的系統，確保即時進行安全型更新。定期管理維護組織人員帳號、設定防火牆、微分段、雲端檔案分級、部署端點防護，進行自動風險通報阻擋、製作教育訓練資料，定期演習、提升內部人員資安意識等等。
• CIO 當時投入不少經費除了讓團隊上課進修，也積極參加各研討會(如: CyberSec、DevOps、SRE Conference 等等)。就資安基本能力，團隊內部普遍都實際認識紅隊攻擊手法，應用在藍隊防禦工作。
• 除了開發、資安等能力賦能，新增加的職能內容：合規、監控、開發流程等等，CIO 也都開放對應的學習資源，鼓勵團隊學習成長，也安排內部訓練增進上課效果。

Result

• 首先感謝外包團隊，在內部團隊還沒有維護或開發能力時，協助完成最重要的 POC 驗證。當時 CIO 給了外包團隊不少的挑戰，包含雲端 CRM 系統也要能夠有自動部署流程。外包團隊絞盡腦汁，最後真的完成了由整合環境打包、自動部署到測試環境、核可後自動於固定時間更新正式環境的 pipeline。這整條自動部署流程我們應該可以很自豪的說是全台第一個。而當技術移轉後，CIO 與外包團隊約定一位導師的資源，每天都有 office hour 來協助 IT 團隊進行開發及處理問題。
• IT 團隊從事事找導師，逐漸變為團隊內部討論分享，最後甚至能夠回饋開發經驗給導師，真正做到了教學相長。
• 因應資安事件，CIO 特別注重資安能力。因此最後團隊每個人都上了白帽駭客課程，對於手中開發的系統、使用的軟體可能的資安風險也都更敏感。資安概念深植團隊核心，除了開發時互相提醒審核，在與其他部門討論時也能自然而然發現可能的風險，提出建議。
• 團隊的賦能面向不僅僅是單純的開發能力或資安意識，而是需要因應組織、環境的需求而規劃進行。身為領導者，最重要的是要確定團隊需要什麼樣的技能，再根據時程重要性等規劃資源或場景，讓團隊能夠在日常的工作中逐漸習得重要的能力。