La aplicación de parches aborda los riesgos conocidos al tiempo que introduce riesgos desconocidos, como nuevas vulnerabilidades desconocidas, errores, problemas de rendimiento, etc.
Es por eso que los lugares como los bancos esperan un tiempo para cuantificar las incógnitas antes de parchear.
La aplicación de parches no es algo que se deba hacer sin una evaluación de riesgos. ¿Deja en su lugar las vulnerabilidades conocidas porque teme los riesgos de disponibilidad? ¿Mitiga lo conocido y prueba el parche antes de implementarlo? Tienes que responder estas preguntas por ti mismo.
Abogo por tener procesos en lugar de ese parche de inmediato, pero también tengo un plan de retroceso rápido y mitigado en su lugar ("parche, prueba, rollback" en lugar de "prueba, parche"). Según la experiencia, el tiempo de inactividad de los parches y reversiones incorrectos es menor que el tiempo de inactividad de las vulnerabilidades conocidas que afectan a un servidor, pero esas métricas pueden cambiar en cualquier momento.
Tiene razón al hacer esta pregunta, pero la respuesta está lejos de ser clara o de aplicación universal (incluso con la experiencia de WannaCry siendo tan reciente).