É tudo sobre risco. Se você está preocupado que alguém / alguma coisa possa entrar e excluir seus backups on-line e é determinado que você não pode arcar com esse risco, então seu procedimento deve incluir a manutenção desse backup offline. Se o esforço e os recursos envolvidos para fazer com que isso aconteça superem o custo de perder os dados que você tem online, de volta ao ponto que você pode restaurar, então você deve considerar isso. Normalmente, o custo da perda de dados não supera o custo de mantê-lo seguro.
Acho que a maior questão na sua situação é "Qual é o risco de algo entrar e excluir meus backups on-line". Você precisará responder isso por si mesmo, no entanto. Tenha em mente que a maioria dos ataques vem de dentro e nem toda a destruição é feita a partir de algo com intenção maliciosa. Acidentes acontecem.