La fase iniziale comporterà un'analisi dettagliata e la mappatura dello stato corrente di Roma Capitale, includendo hardware, software, reti, VPN e firewall. In seguito, verrà definita l'architettura di sicurezza che costituirà il centro operativo e decisionale per la cybersecurity di Roma Capitale, coinvolgendo sia risorse interne che consulenti esterni. Seguirà poi la fase di sviluppo, in cui verrà realizzato concretamente il SOC dal punto di vista organizzativo e tecnologico, mediante soluzioni abilitanti.
Le informazioni raccolte dalle soluzioni di terze parti adottate da Roma Capitale (come Cloud, Endpoint, Network e Server) convergeranno in un unico repository, garantendo una visione trasversale indipendente dagli specifici gestori dei servizi. Questa architettura consentirà di reagire prontamente e con efficacia, grazie all'utilizzo di algoritmi di Machine Learning per rilevare minacce sofisticate. Saranno impiegate informazioni provenienti da Cyber Threat Intelligence per attivare meccanismi di difesa preventiva e le risposte agli incidenti saranno automatizzate. Dopo la fase di progettazione dell'architettura, verranno attuate tutte le attività per implementare i processi e le tecnologie di supporto, insieme alla formazione del personale coinvolto nella rilevazione e gestione degli incidenti di sicurezza.