La evaluación de riesgos es un subproceso crítico en la gestión de riesgos de seguridad de la información (ISRM) que se utiliza para identificar las vulnerabilidades y amenazas de una organización, así como para evaluar los controles de seguridad actuales y planificados. Por lo tanto, se deben considerar los recursos adecuados y el retorno de la inversión al revisar los activos. Sin embargo, muchos marcos existentes carecen de directrices detalladas y operan principalmente con la entrada y retroalimentación cualitativa de los humanos, lo que aumenta el juicio subjetivo y poco confiable dentro de las organizaciones. En consecuencia, los métodos actuales de evaluación de riesgos requieren tiempo y costos adicionales para probar todos los controles de seguridad de la información de manera exhaustiva. El objetivo principal de este estudio es revisar críticamente los modelos de Priorización de Controles de Seguridad de la Información (ISCP) que mejoran el proceso de Evaluación de Riesgos de Seguridad de la Información (ISRA), utilizando el análisis de literatura para investigar los principales problemas y desafíos de ISRA. Recomendamos que el diseño de un modelo de Priorización de Controles de Seguridad de la Información estandarizado y simplificado reduciría en gran medida la incertidumbre, el costo y el tiempo asociados con la evaluación de los controles de seguridad de la información, ayudando así a las organizaciones a priorizar controles críticos de manera confiable y más eficiente, basándose en directrices claras y prácticas.