バックアップソフトの自動更新について

そのバックアップソフトの更新内容を確認して、継続運用に必要な変更が入っているかどうか検討し、必要であれば更新するのがいいでしょう。
更新すべきかどうかは、その環境を知らない人には判断できません。

サーバー自体がインターネットに接続しない設定にしてあるため自動更新をしないようにしておりました。

これは、どういう意図でしょうか？
・ネットワーク的に自動更新が不可能
・インターネットに接続しない設定なので、セキュリティーの心配をする必要がないので、セキュリティーパッチも更新不要
あるいはそれ以外？

前者の場合、更新が必要か不要かの判断をして、更新要なら何らかの手段で更新しないといけませんね。
後者の場合、何台かの機器を経由すればネットワーク的にはインターネットにつながっているか、信頼できない人が操作可能な機器につながっているのであれば、セキュリティー対応の更新要否の検討は必要です。即、更新要ということではないですが、検討は必要。

バックアップソフト自体の不具合もあると思うので自動更新をしたほうがいいのかなと思ってきましたが、更新することで返って動かなくなる可能性もあるのかなと思ってたりします。

本番業務を行っているシステムであれば、更新適用するかどうかは、更新内容を１つ１つ全部見て、その中に更新したほうがいいものがあるかどうかを１つ１つ検討します。
必要な更新内容だけを選別して適用できればいいですが、できない場合は、必要なものを含んだ最小限の単位で、適用することになります。
「不具合の解消」であっても、その機能を使っていないとか、該当機能は使っているが不具合発生の条件を満たしていないのであれば、適用不要です。その機能を使っていて発生条件も合致するなら適用したほうがいいわけですが、発生する不具合内容との比較で、「その程度の不具合なら許容できるので、適用しない」という判断もあるでしょう。

発生するかもしれない不具合の対策や、攻撃されえる可能性のある脆弱性の対応内容を含んだ更新であれば、更新しない場合は「なぜ更新しないのか」の説明が必要でしょうね。

が、バックアップだけのことを考えているなら、障害が発生しても、会社が傾いたり、新聞沙汰になったりということはないかと思うので、上記のような細かい検討をせず、手を抜くのもありです。また、ソフトウェアによっては、更新による変更点をきちんと列挙して公開していないケースもあるでしょうから、その場合はそもそも上記のような検討は不可能です。
その場合の例としては「テスト環境に適用してみて、テスト環境で、日々行っているバックアップ作業と、障害時にバックアップから戻す際にやることを一通りしてみて、問題なければ本番環境に適用」ですね。一通りのことをするだけで、テストが十分かどうかの検討をするのを省いているわけですが、まあいいんじゃないでしょうか。十分なテストをするためには、更新による変更点を全部把握したうえでテスト項目を挙げる必要があります。

また検証用のサーバーもないためぶっつけ本番は正直怖さがあります。

テスト用のサーバーがない理由が分かりませんが、「このサーバーは重要な業務はしていないので、テスト環境不要」と判断した上でのことであれば、おそらく1日くらい業務が止まってもいいというサーバーでしょうから、数時間 業務を止めて、必要なバックアップを取ったうえで、本番環境上で適用＆テストでいいかと思います。不具合出ればバックアップから戻す。

WindowsUpdateは避けたほうがいいことはわかっておりますが、バックアップソフトも更新しないほうがいいのでしょうか？

基幹業務のシステムであれば、何のソフトであれ、自動更新（＝中身を個別に見ずに全部更新）はしないで、上記のように個別に検討で、必要な更新はするし、必要でない更新はしない。