no debería ser, para eso existen la redundancia en los servidores, y la virtualización completas de conexiones en redes, para realizar estas pruebas antes de ponerlas a funcionar en su versión final.
Justamente lo que dijo
@Tazmania40 es que tienen que realizar pruebas... las cuales evidentemente no la hacen directamente en productivo.
El tema no va en tener o no tener un area de QA (que si la tienen), el tema va en con que rapidez realizan dicho proceso.
Quizas su matriz de riesgo tiene contemplado el hecho de no poder realizar actualizaciones inmediatas y posiblemente el costo asociado con realizar dicho proceso QA una vez por semana durante 5 años sea menor al efecto que tendria un malware.
Ni idea.. la verdad es que creo que esto ya es critica por criticar. Yo como muchos de aquí hemos trabajado en empresas y sabemos que nada es "ideal", no porque no se quiera sino porque hay veces que no se disponen de los recursos para hacerlo. (Tambien hay que tener en cuenta que la seguridad informatica siempre se trata como un factor secundario, pero ni modo...)