É POSSÍVEL SIM ELIMINAR OS RISCOS!.------
--------------------04/IN01/DSIC/GSI/PR-----------------------------
Segundo a norma complementar 04/IN01/DSIC/GSI/PR sobre Gestão de Riscos
4.9 Gestão de Riscos de Segurança da Informação e Comunicações – conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
--------------------------------ISO 27005-------------------------------------
Lembrando também que conforme a ISO 27005,9.1 Descrição geral do processo de tratamento do risco,"
Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."
**Portanto, a palavra "só" da questão a torna errada, visto que os riscos podem ser minimizados (através de opções de tratamento de riscos)também tornando a gestão de riscos eficiente.
Bibliografia:
- http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
- Norma ABNT/IEC ISO 27005
ERRADO. Complemento.
Segundo a ISO 27002,"4.2 Tratando os riscos de segurança da informação
Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização."
**Se os riscos podem ser aceitos, logo, não é necessário que todos riscos sejam eliminados, e, ainda assim, a gestão de riscos continuará a ser eficiente.
É impossível eliminar todos os riscos...
(CESPE – TRE-RJ / ANALISTA – 2012) São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo. C
(CESPE – TRE-RJ / TÉCNICO – 2012) Para o gerenciamento de projetos, consideram-se riscos as ameaças e oportunidades,
que podem ter impacto positivo ou negativo ao projeto. C