O VALOR DEFINITIVO DESTA QUESTÃO FOI ALTERADO PELO CESPE PARA "ERRADO", COM A SEGUINTE JUSTIFICATIVA NA QUESTÃO 70: "A aplicação de controles apropriados não é suficiente para se diminuir o risco identificado. Por este motivo, opta-se pela alteração de gabarito. "
Segundo a ISO 27005,9.2 Redução do risco,
"Convém que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos."
Segundo a ISO 27005,9.2 Redução do risco, "
Há muitas restrições que podem afetar a seleção de controles. Restrições técnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questões de compatibilidade, podem dificultar a utilização de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensação de segurança ou a tornar o risco ainda maior do que seria se o controle não existisse (por exemplo: exigir senhas complexas sem treinamento adequado leva os usuários a anotar as senhas por escrito). É importante lembrar também que um controle pode vir a afetar o desempenho sobremaneira."
**Portanto, aplicação de controles por si só não é suficiente para reduzir um risco, e ao invés de reduzir o risco, os controles podem aumentar as vulnerabilidades, e consequentemente, resultar e aumentar os riscos.