Senhores marquei como ERRADO este item, pois o o trecho "devem ser tomadas medidas de segurança para se reduzir" nos transmite uma ideia de obrigatoriedade de se reduzir os riscos, quando na verdade existem outras alternativas para se tratar um risco. Olhem só. NÃO SOU EU QUEM ESTOU FALANDO. SÃO AS NORMAS ISO 27001,27002 E 27005.
Segundo a norma ISO 27002, p.18,"4.2 Tratando os riscos de segurança da informação
Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento
do risco precisa ser tomada. Possíveis opções para o tratamento do risco, incluem:
a) aplicar controles apropriados para reduzir os riscos;
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;
c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores."
**Portanto senhores, para que haja segurança da informação podem ser tomadas medidas de segurança para se reduzir o risco. Se caísse em uma outra prova novamente dava para entrar com recurso. Fica a dica. sucesso. =]