Desarrollar un enfoque metodológico que permita a la organización evaluar su nivel de riesgo inherente de ataques cibernéticos, identificar un control priorizado y realizar el diseño de este, minimizado dicho riesgo y llevándolo a niveles aceptables para Aerolíneas del continente americano.​

• Diseñar un artefacto que permita medir el riesgo por ciberataque y con base en él, aplicar las medidas necesarias para disminuir ese riesgo, mitigarlo y llevarlo a un nivel que la organización considere adecuado, con el cual se pueda coexistir sin que el hecho de que se materialice el riesgo afecte la operación y la consecución de los objetivos estratégicos establecidos.
• Establecer la priorización de los controles a implementar, teniendo en cuenta aspectos como las normativas que aplican dentro de la industria aeronáutica, las causas que mitiga, los servicios críticos del BIA que soportan los activos, los montos en riesgo, el nivel de obsolescencia del entorno y las fechas de vencimiento para su implementación según normas aplicables de Alas.
• Identificar los principales controles prioritarios que debe implementar la organización con relación a los asuntos relacionados con ciberseguridad, de manera que sean atendidos con la prioridad adecuada, para la mitigación de riesgos de acuerdo con las características y condiciones del negocio dentro del cual Alas se desarrolla.
• Diseñar en detalle, con base en lo descrito anteriormente, desde los enfoques de personas, procesos y tecnologías el control que, de acuerdo con la priorización efectuada, sea el primero que Alas debe implementar.

• Artefacto para la medición del riesgo y resultado inherente de la evaluación de este: se elaboró un artefacto para la medición de la probabilidad, el cual permite a la organización obtener la calificación de la probabilidad del riesgo, calificando causas contra controles.
• Definición de criterios de priorización: descripción del control, Responsables, Periodicidad. Se diseñaron los criterios para priorizar la implementación de cada uno de los controles identificados en el artefacto anterior.
• Proceso (Actividades, Actores, Indicadores, Costos, Servicios de TI involucrados): se diseñó un proceso para definir el control de Registros de Log para una Aerolínea, se trata del diseñó de un proceso de gestión de eventos que permite gestionar el riesgo por ciber-ataque de acuerdo con el alcance del proyecto, de manera que el mismo se pueda mitigar a los niveles máximos según el BIA de la empresa. Este control incluye tecnología, personas y procesos por lo cual dentro del proyecto se describe como se interrelacionan, en donde, de qué modo y con qué costos, entre otras características.
• Casos de Uso: se definieron 30 casos de uso o situaciones de alerta que serán generadas a partir de eventos o acciones correlacionadas en el SIEM, que puedan representar una amenaza potencial de ciberataque para un sistema informático del datacenter alcance de este proyecto.
• Benchmarking de herramientas: análisis comparativo (cualitativo & cuantitativo) de las 3 herramientas SIEM líderes en el mercado según Gartner. 
• Catálogo Técnico para dimensionamiento de requerimientos técnicos: catálogo de dimensionamiento de capacidad para la implementación de las herramientas analizadas en el Benchmarking.
• Caso de Negocio: análisis financiero de viabilidad para la implementación de un control para la gestión de Logs con herramienta SIEM en aerolíneas del continente americano,  bajo dos escenarios: 1. Solución On-Premise, 2. solución en la nube. 
• Instructivo para el diseño de controles en la gestión de riesgos de ciberseguridad: se desarrolló un instructivo que permito a la organización seguir un paso a paso para la gestión de los riesgos de TI, basado en la metodología propuesta por el marco de referencia ISO 31000, el cual podrá ser utilizado por la aerolínea para la gestión de cualquier riesgo tecnológico identificado dentro de los riesgos corporativos. 
• Acuerdos de Nivel de Servicio: con base en las características establecidas para la atención de requerimientos y alertas de parte de un SOC (Security Operation Center), se definieron 20 Acuerdos de Nivel de Servicio y se diseñó la estructura que describe cada uno los campos requeridos para dichos acuerdos.

• Área de Riesgos: Se mejora el nivel de riesgo identificado para el riesgo de ciberseguridad a través de la activación del control. Mejora de métricas.
• Área de seguridad de TI: Análisis efectivo de eventos en tiempo real.
• Área de Tecnología: capacidad que facilitará la gestión de incidencias y problemas.
• Área de Mantenimiento: Mitigación de un riesgo que pone en peligro la continuidad de la operación normal del negocio, respecto de la realización oportuna de los mantenimientos de los aviones de la flota Boeing 787.
• La normativa en relación con la ciberseguridad para la industria de la Aviación es incipiente comparada con el avance que sí presenta en otros sectores. Esto implica que la organización debe desarrollar sus metodologías de riesgos de ciberataques basada en las mejores prácticas, pero con definiciones internas. En la actualidad, la compañía no cuenta con estas metodologías a pesar de que ha avanzado en la evaluación de sus riesgos corporativos, identificando 87 riesgos en total, de los cuales, el riesgo de ataque cibernético está ubicado en el top 10 de los riesgos corporativos más altos.  Por lo tanto, el desarrollo de una estrategia para la implementación de una metodología de gestión de riesgo de ciberataque es fundamental para que la compañía gestione su riesgo por ciberataque.
• Con base en el grado de madurez que va adquiriendo el control a lo largo de los años, definimos el grado de adopción y calculamos los beneficios en 1.930.000 dólares durante el periodo del proyecto (5 años).

Testimonio:

“Con este trabajo en la alianza y en pro de la ciberseguridad, Aerolíneas del continente americano refuerza su compromiso real con la seguridad de su flota de aviones en el mundo Digital, ya que, desde hace años, a medida que las empresas han ido migrando sus servicios a la red, la necesidad de una protección adecuada se ha incrementado de igual forma.” María Paola Avella Tovar - Gerente de Riesgos de Aerovías del Continente Americano