Il Progetto prevede una serie di interventi suddivisi in tre macrofasi.
La prima macrofase si concretizza nella valutazione della Cyber Posture di RC e sarà eseguita prendendo come riferimento il Framework nazionale di Cyber Security e Data Protection basato sul NIST, che comprende cinque domini di analisi:

• Identify: verifica delle modalità di gestione della Cyber security all’interno dell’ente;
• Protect: verifica dei presidi tecnici adottati a protezione delle informazioni e delle infrastrutture dell’ente;
• Detect: verifica delle capacità dell’ente di identificare gli eventi anomali all’interno della propria rete informatica;
• Response: verifica delle capacità di risposta agli incidenti di sicurezza;
• Recovery: verifica delle capacità di ripristino dei sistemi a seguito della manifestazione di un incidente di sicurezza.

L’intervento sarà eseguito sull’intero perimetro informatico di Roma Capitale, sia in riferimento a sistemi gestiti on-premise che a sistemi in cloud (IAAS o SAAS), valutando per quelli on-premise la readiness nel processo di migrazione.
La seconda macrofase si concretizza nell’esecuzione di Vulnerability Assessment e Penetration Test: in questa fase, a completamento della precedente, saranno eseguite attività di analisi delle vulnerabilità note, e non, sui sistemi, sulle applicazioni e sulle infrastrutture considerate “critiche”. L’approccio utilizzato sarà risk-based e fornirà dati quali-quantitativi, contribuendo all’individuazione delle azioni di remediation.
La terza fase vedrà la realizzazione della Strategia di Cybersicurezza di RC che prevederà, oltre la definizione della strategia, anche l’elaborazione di policy e lo sviluppo di processi e procedure, volte ad aumentare le capacità di gestione della sicurezza cibernetica. Il personale dell’Ente verrà formato in merito ai ruoli, alle responsabilità e ai processi operativi. In questo modo la sicurezza delle informazioni rientrerà nelle attività quotidiane dell’Ente e nella cultura dei dipendenti.