Uno de los objetivos y preocupaciones importantes hoy en día es encontrar medios eficientes para gestionar los riesgos de seguridad de la información a los que están expuestas las organizaciones. Debido a la falta de datos necesarios y a las limitaciones de tiempo y recursos, muy a menudo es imposible recopilar y procesar toda la información requerida sobre un sistema informático para evaluarlo adecuadamente en un plazo aceptable. Eso pone a la organización en un estado de riesgo de seguridad aumentado. Uno de los medios para resolver problemas tan complejos es el uso de métodos de toma de decisiones multicriterio que tienen una sólida base matemática. Este documento presenta un modelo multicriterio híbrido para la evaluación de sistemas críticos de TI donde los elementos para el análisis y evaluación de riesgos se utilizan como criterios de evaluación. Los pasos iterativos de la metodología de investigación en ciencias del diseño (DSR) para el desarrollo de un nuevo modelo multicriterio para los objetivos de evaluación, clasificación y selección de sistemas de información críticos están delineados. La principal ventaja del nuevo modelo es su uso de criterios genéricos para la evaluación de riesgos en lugar de redefinir criterios inherentes y calcular pesos relacionados para cada sistema informático individual. Por eso se puede esperar una evaluación, clasificación y toma de decisiones más eficientes entre varias posibles soluciones de TI. El modelo propuesto fue validado en un estudio de caso de sistemas de transacción bancaria en línea y podría ser utilizado como un modelo genérico para la evaluación de sistemas críticos de TI.