SicuraMente

1. C'è sicurezza nell'occultare (security through obscurity)

Questo principio mi fa pensare a molte situazioni dove è l'unica contromisura adottata, ed in questi casi è chiaramente da scartare - il fatto che nessuno conosca il mio algoritmo di crittografia non lo rende automaticamente sicuro, anzi.
Per contro, non c'è dubbio che alcune cose vadano tenute riservate e con la massima cautela (le password, i PIN, le configurazioni di dettaglio, ecc.).

2. Il software Open Source è più sicuro di quello proprietario

Così come è detta, questa frase è falsa. Che però il software O.S. sia potenzialmente più sicuro di quello proprietario è senz'altro vero, perché ci sono più occhi che lo possono esaminare e statisticamente ci saranno anche più occhi esperti.
Nella pratica, poiché è un principio statistico, vale sui grandi numeri, e nulla si può inferire sul caso singolo.

3. La misura dell'aderenza a leggi e regolamenti è un buon metro della sicurezza

In Italia probabilmente no: anche solo l'esistenza di un proverbio come "fatta la legge, trovato l'inganno" ci svela la pervasività in ciascuno di noi dell'abitudine ad eludere le leggi, ed azzera di fatto il valore della compliance formale come misura dell'efficacia sostanziale.
Portiamo ad esempio le migliaia di DPS che non hanno migliorato di fatto la tutela dei dati personali.

4. Non è possibile misurare il ritorno d'investimento (ROI) della sicurezza

Probabilmente questo non è vero in assoluto, ma senz'altro è molto difficile. Nel caso generale, non conosco alcun modo per farlo in maniera tale che i numeri che ne escono abbiano un qualche significato.
Esistono tuttavia alcuni casi particolari in cui ciò è possibile, per cui non perdo la speranza che prima o poi si riesca a sistematizzare la materia e generalizzare il calcolo.

5. La mafia russa è colpevole dei peggiori reati online

Sinceramente non credo. I più pervicaci spammer, ad esempio, sono americani (degli USA, intendo).
La regola del vantaggio, peraltro, richiede che chi commette un crimine lo faccia per averne un tornaconto, e quindi la mafia russa sarà coinvolta in tutti - e soli - i casi in cui potrà trarre denaro dallo specifico crimine, o direttamente o indirettamente perché commissionatole da qualcun altro. Ma in questo secondo caso ovviamente potrebbe essere chiunque (perché solo la mafia russa, e non quella giapponese, o Cosa Nostra?).

6. Un antivirus è indispensabile per prevenire il malware

Qualche anno fa questa regola era senz'altro molto più valida di oggi.
Attualmente il numero di virus "tradizionali" è drasticamente diminuito, sostituito da qualcosa di assai più redditizio per chi lo scrive che è lo spyware, e lo spam che indirizza su siti di phishing, che se non è spyware tecnicamente in pratica ha gli stessi fini.
Quindi, se per antivirus si intende software che protegga in generale da queste minacce, sicuramente sì; se si intende il solo tradizionale schermo da "programmi infetti", allora è ormai quasi inutile.

7. L'outsourcing della sicurezza pone più rischi che gestirlo in casa

Questo è in generale falso: basti un controesempio.
Quando la gestione della sicurezza è "casalinga" le persone sufficientemente influenti riescono di solito ad ottenere assai rapidamente eccezioni alle regole generali.
Quando si va in outsourcing l'inserimento di eccezioni viene molto rallentato, perché il singolo operatore richiede (saggiamente) un'autorizzazione prima di procedere; quando poi - generalmente dopo un escalation - l'eccezione viene inserita, l'azione viene documentata.
Si può quindi argomentare che in questo caso l'outsourcing aumenta la sicurezza (a prezzo della flessibilità, ovviamente, e quindi l'effetto netto sul risultato aziendale può essere positivo o negativo).

8. La biometria è il miglior sistema di autenticazione

Nella mia esperienza, poiché due volte su tre il lettore biometrico non funziona (perché non riconosce l'impronta digitale, o la confonde con quella di qualcun altro, ecc.), oppure è assai scomodo da usare (perché bisogna avvicinare l'iride al sensore, oppure richiede di rimanere immobili, ecc.), l'utente tipico si stanca assai rapidamente del sistema.
L'utente stufo cerca mezzi (di solito procedurali) di aggirare il sistema.
Poiché nessun sistema è perfetto, generalmente ci riesce.
=> diminuzione della sicurezza.

Ciò mi porta a dire che la biometria non è un buon sistema di autenticazione.

9. I certificati digitali identificano un sito Web

In generale sì, ma non solo.
Peraltro, identificano "qualcosa" o "qualcuno" solo perché certificano (in un modo assai difficile da contraffare) che quello che c'è scritto al loro interno non è stato alterato da quando è stato scritto.
Quindi, se chi ha prodotto il certificato è affidabile - e lo si deve sapere per altre vie - allora l'informazione contenuta nel certificato è affidabile.

10. È possibile formare i dipendenti ad adottare comportamenti sicuri ed a resistere ai tentativi di social engineering su Internet

Sì, è possibile, ma lo si fa assai poco. Questo tipo di allenamento dovrebbe anzi partire molto prima, probabilmente nella scuola dell'obbligo.
I bambini di oggi probabilmente cresceranno con un tipo di mentalità che contempla anche queste cautele (l'equivalente moderno del "non accettare caramelle dagli sconosciuti"), ma gli adulti di oggi non la hanno naturale.

Ciò detto, nessuna formazione può dare la certezza che nessun tentativo di social engineering funzionerà. Anche 007 ogni tanto cade nelle trappole delle fascinose spie che sembrano incontrarlo per caso al bar.

11. Non preoccupatevi, il governo (USA) ha un sistema segreto di difesa dagli attacchi informatici.

Questa frase mi ricorda un po' Mussolini che credeva nelle famigerate armi segrete di Hitler.
Non che non ci fossero (erano le V1 e le V2 di Von Braun): soltanto che non si sono dimostrate sufficienti.
Credo che anche in questo caso la situazione sia simile.

12. Più è lunga la chiave (di crittografia), più è sicuro il messaggio cifrato

A parità di algoritmo, senz'altro è vero.
Confrontando algoritmi diversi, ovviamente no.