La fase iniziale ha riguardato l'analisi dettagliata e la mappatura dello stato corrente di Roma Capitale, includendo hardware, software, reti, VPN e firewall. Successivamente, è stata definita l'architettura di sicurezza che costituisce il centro operativo e decisionale per la cybersecurity di Roma Capitale, coinvolgendo sia risorse interne che consulenti esterni. È seguita poi la fase di sviluppo, in cui è stato realizzato concretamente il SOC dal punto di vista organizzativo e tecnologico, mediante soluzioni abilitanti.
Le informazioni raccolte dalle soluzioni di terze parti adottate da Roma Capitale (come Cloud, Endpoint, Network e Server) sono confluite in un unico repository, garantendo una visione trasversale indipendente dagli specifici gestori dei servizi. Questa architettura ha consentito di reagire prontamente e con efficacia, grazie all'utilizzo di algoritmi di Machine Learning per rilevare minacce sofisticate. Sono state impiegate informazioni provenienti da Cyber Threat Intelligence per attivare meccanismi di difesa preventiva e le risposte agli incidenti sono state automatizzate. Dopo la fase di progettazione dell'architettura, sono state attuate tutte le attività per implementare i processi e le tecnologie di supporto, insieme alla formazione del personale coinvolto nella rilevazione e gestione degli incidenti di sicurezza.