Il Progetto ha previsto una serie di interventi suddivisi in tre macrofasi.
La prima macrofase si è concretizzata nella valutazione della Cyber Posture di RC ed è stata eseguita prendendo come riferimento il Framework nazionale di Cyber Security e Data Protection basato sul NIST, che comprende cinque domini di analisi:

• Identify: verifica delle modalità di gestione della Cyber security all’interno dell’ente;
• Protect: verifica dei presidi tecnici adottati a protezione delle informazioni e delle infrastrutture dell’ente;
• Detect: verifica delle capacità dell’ente di identificare gli eventi anomali all’interno della propria rete informatica;
• Response: verifica delle capacità di risposta agli incidenti di sicurezza;
• Recovery: verifica delle capacità di ripristino dei sistemi a seguito della manifestazione di un incidente di sicurezza.

L’intervento è stato eseguito sull’intero perimetro informatico di Roma Capitale, sia in riferimento a sistemi gestiti on-premise che a sistemi in cloud (IAAS o SAAS), valutando per quelli on-premise la readiness nel processo di migrazione.
La seconda macrofase si è concretizzata nell’esecuzione di Vulnerability Assessment e Penetration Test: in questa fase, a completamento della precedente, sono state eseguite attività di analisi delle vulnerabilità note, e non, sui sistemi, sulle applicazioni e sulle infrastrutture considerate “critiche”. L’approccio utilizzato è stato risk-based e ha fornito dati quali-quantitativi, contribuendo all’individuazione delle azioni di remediation.
La terza fase ha visto la realizzazione della Strategia di Cybersicurezza di RC che ha previsto, oltre la definizione della strategia, anche l’elaborazione di policy e lo sviluppo di processi e procedure, volte ad aumentare le capacità di gestione della sicurezza cibernetica. Il personale dell’Ente è stato formato in merito ai ruoli, alle responsabilità e ai processi operativi. In questo modo la sicurezza delle informazioni è rientrata nelle attività quotidiane dell’Ente e nella cultura dei dipendenti.