LETRA E.
Bom, primeiro temos que ter em mente que, segundo a iso 27005," Há quatro opções disponíveis para o tratamento do risco: redução do risco, retenção do risco, evitar o risco e transferência do risco."
**Com base nessa dica, já eliminamos as alternativas C e D, pois não estão no rol acima.
Reduzir== mitigar.
_________________________________
Analisando as restantes (A,B,E), e trazendo para o cenário da questão, podemos afirmar o seguinte, que, de acordo com a questão, existe um risco de indisponibilidade(ele é real), e ao criar um servidor de backup, tal medida, ao replicar as informações de forma redundante minimiza/reduz a indisponibilidade de uma aplicação. Portanto, o risco não foi aceito, tanto é que foi necessário a criação de redundância através do servidor de backup. O risco também não foi transferido, visto que ele não foi compartilhado com entidades externas(seguradoras, por exemplo). Porém, ao criar um servidor de backup, tal atitude reduz(mitiga) o risco de downtime(indisponibilidade), pois a criação desse backup não garante que a aplicação será absolutamente disponível, mas garante uma maior disponibilidade.