TL;DR
Follow the 3-2-1 rule: keep 3 copies of your data, on 2 different media types, with 1 copy offsite. Encrypt everything. Test your restores regularly. Use Time Machine on Mac, File History on Windows, or Borg/Kopia/Deja Dup on Linux.
Volg de 3-2-1 regel: bewaar 3 kopieën van je data, op 2 verschillende mediatypen, met 1 kopie offsite. Versleutel alles. Test je restores regelmatig. Gebruik Time Machine op Mac, Bestandsgeschiedenis op Windows, of Borg/Kopia/Deja Dup op Linux.
Sigue la regla 3-2-1: mantén 3 copias de tus datos, en 2 tipos de medios diferentes, con 1 copia fuera del sitio. Encripta todo. Prueba tus restauraciones regularmente. Usa Time Machine en Mac, Historial de archivos en Windows, o Borg/Kopia/Deja Dup en Linux.
"I didn't think it would happen to me." That's what everyone says after losing their data. Hard drives fail. Laptops get stolen. Ransomware encrypts everything. Houses flood. The question isn't if you'll experience data loss, but when.
I encrypt all my backups and store them in multiple locations, including different countries. Here's the strategy I use and recommend to everyone who asks.
The 3-2-1 backup rule
The 3-2-1 rule is the foundation of any solid backup strategy:
- 3 copies of your data (the original plus two backups)
- 2 different media types (internal drive, external drive, cloud, tape, etc.)
- 1 copy offsite (physically separate location)
This protects against various failure modes. A single backup on an external drive next to your computer doesn't protect against theft, fire, or flooding. Cloud-only backups don't protect against account lockouts or service outages. The combination provides defence in depth.
Why encryption is non-negotiable
Every backup I create is encrypted before it leaves my machine. This isn't paranoia — it's basic security hygiene. Here's why:
- Physical theft: If someone steals your external drive or laptop, encrypted backups are useless to them
- Cloud storage: You're trusting a third party with your data. Encryption means they can't read it even if they wanted to
- Offsite storage: Backups at a friend's house, bank safe deposit box, or another location should be unreadable without your key
- Compliance: Many regulations require encryption of personal data at rest
Most modern backup tools support encryption natively. Enable it. Use a strong passphrase. Store the passphrase securely (a password manager works well).
My backup locations
I maintain backups in multiple locations, following the 3-2-1 rule:
Local backups
The first line of defence. Fast to create, fast to restore. I use encrypted external drives that run hourly or daily incremental backups. This catches accidental deletions and file corruption quickly.
Offsite backups (same country)
A backup at a friend's house or office protects against localised disasters — fire, flooding, burglary. I rotate encrypted drives periodically. The key is that it's physically separate from the primary location.
Offsite backups (different countries)
For the truly critical data, I maintain encrypted backups in different countries. This protects against regional disasters, legal seizure, and ensures availability even during major disruptions. Cloud storage with servers in multiple regions works well for this.
Backup tools by platform
macOS: Time Machine
Time Machine is excellent for local backups. It's built into macOS, runs automatically, and supports encryption. Connect an external drive, enable Time Machine, tick the encryption checkbox, and you're done.
For offsite/cloud backups, combine Time Machine with a tool like Arq, Duplicati, or restic to push encrypted backups to cloud storage.
Windows: File History
File History provides versioned backups of your files to an external drive or network location. It's simpler than full system imaging but covers the most important data — your documents, photos, and work files.
For more comprehensive backups, consider Windows Backup (built-in) or third-party tools like Veeam Agent (free), Duplicati, or Backblaze.
Linux: multiple excellent options
Linux users have several excellent backup tools:
- Borg Backup: Deduplicating, encrypted, efficient. My personal choice for servers. Works over SSH, supports compression, and handles large datasets well
- Kopia: Modern alternative to Borg with a nice GUI. Supports multiple backends including S3, Azure, Google Cloud, and local storage
- Deja Dup: User-friendly GUI for GNOME desktops. Uses duplicity under the hood. Great for desktop users who want something simple
- restic: Fast, secure, supports many backends. Good documentation and active development
- rsync + scripts: Not a backup tool per se, but combined with snapshots and rotation, it works well for simple needs
What to back up
Not everything needs the same backup treatment:
Critical (3-2-1 with offsite)
- Documents, photos, videos — irreplaceable personal files
- Code repositories (though these should also be on GitHub/GitLab)
- Password manager databases
- Encryption keys and certificates
- Financial records
- Configuration files and dotfiles
Important (local + one offsite copy)
- Application settings and preferences
- Email archives
- Downloaded software installers
- Virtual machines
Replaceable (local backup only, or none)
- Operating system files (can be reinstalled)
- Applications (can be re-downloaded)
- Cache and temporary files
The forgotten step: test your restores
A backup you haven't tested is a backup you can't trust. I regularly verify my backups by:
- Restoring random files: Pick a few files each month and restore them. Do they open correctly?
- Full restore drills: Annually, I restore a complete backup to a spare drive or VM. This catches issues before they matter
- Verifying checksums: Most backup tools can verify backup integrity without doing a full restore
- Checking encryption: Verify you can actually decrypt your backups with the stored passphrase
I've seen too many cases where someone diligently ran backups for years, only to discover during a crisis that the backups were corrupted, incomplete, or impossible to restore.
Additional considerations
Versioning
Keep multiple versions of your backups. If ransomware encrypts your files and you only have one backup copy that syncs immediately, your backup gets encrypted too. Point-in-time recovery lets you go back to before the problem started.
Retention policies
Don't keep everything forever (unless you need to for compliance). A common scheme: hourly backups for 24 hours, daily for 30 days, weekly for 12 weeks, monthly for 12 months. This balances recoverability with storage costs.
Automation
Manual backups don't happen. Automate everything. The best backup is the one that runs without you thinking about it.
Documentation
Document your backup strategy. Where are the backups? What's the encryption passphrase? How do you restore? Store this documentation separately from the backups themselves. A family member or colleague should be able to recover your data if you're unavailable.
Getting started
If you don't have a backup strategy yet, start simple:
- Today: Buy an external drive, set up Time Machine/File History/Deja Dup with encryption
- This week: Sign up for a cloud backup service or set up rsync/restic to cloud storage
- This month: Arrange offsite storage — a friend's house, a bank box, or a second cloud provider
- Quarterly: Test your restores
The best time to set up backups was before you needed them. The second best time is now.
"Ik dacht niet dat het mij zou overkomen." Dat zegt iedereen na het verliezen van hun data. Harde schijven falen. Laptops worden gestolen. Ransomware versleutelt alles. Huizen overstromen. De vraag is niet of je dataverlies zult ervaren, maar wanneer.
Ik versleutel al mijn backups en bewaar ze op meerdere locaties, inclusief verschillende landen. Hier is de strategie die ik gebruik en aanbeveel aan iedereen die ernaar vraagt.
De 3-2-1 backup regel
De 3-2-1 regel is de basis van elke solide backup strategie:
- 3 kopieën van je data (het origineel plus twee backups)
- 2 verschillende mediatypen (interne schijf, externe schijf, cloud, tape, etc.)
- 1 kopie offsite (fysiek gescheiden locatie)
Dit beschermt tegen verschillende faalscenario's. Een enkele backup op een externe schijf naast je computer beschermt niet tegen diefstal, brand of overstroming. Alleen cloud-backups beschermen niet tegen account lockouts of service storingen. De combinatie biedt defence in depth.
Waarom encryptie niet onderhandelbaar is
Elke backup die ik maak wordt versleuteld voordat deze mijn machine verlaat. Dit is geen paranoia — het is basis beveiligingshygiëne. Dit is waarom:
- Fysieke diefstal: Als iemand je externe schijf of laptop steelt, zijn versleutelde backups nutteloos voor hen
- Cloud opslag: Je vertrouwt een derde partij met je data. Encryptie betekent dat ze het niet kunnen lezen, zelfs als ze zouden willen
- Offsite opslag: Backups bij een vriend thuis, bankkluis of andere locatie moeten onleesbaar zijn zonder je sleutel
- Compliance: Veel regelgeving vereist encryptie van persoonlijke gegevens in rust
De meeste moderne backup tools ondersteunen encryptie native. Schakel het in. Gebruik een sterke wachtwoordzin. Bewaar de wachtwoordzin veilig (een wachtwoordmanager werkt goed).
Mijn backup locaties
Ik onderhoud backups op meerdere locaties, volgens de 3-2-1 regel:
Lokale backups
De eerste verdedigingslinie. Snel te maken, snel te herstellen. Ik gebruik versleutelde externe schijven die elk uur of dagelijks incrementele backups draaien. Dit vangt per ongeluk verwijderen en bestandscorruptie snel op.
Offsite backups (zelfde land)
Een backup bij een vriend thuis of op kantoor beschermt tegen lokale rampen — brand, overstroming, inbraak. Ik wissel periodiek versleutelde schijven uit. Het belangrijkste is dat het fysiek gescheiden is van de primaire locatie.
Offsite backups (verschillende landen)
Voor de echt kritieke data onderhoud ik versleutelde backups in verschillende landen. Dit beschermt tegen regionale rampen, juridische inbeslagname, en zorgt voor beschikbaarheid zelfs tijdens grote verstoringen. Cloud opslag met servers in meerdere regio's werkt hier goed voor.
Backup tools per platform
macOS: Time Machine
Time Machine is uitstekend voor lokale backups. Het is ingebouwd in macOS, draait automatisch, en ondersteunt encryptie. Sluit een externe schijf aan, schakel Time Machine in, vink het encryptie vakje aan, en je bent klaar.
Voor offsite/cloud backups, combineer Time Machine met een tool zoals Arq, Duplicati, of restic om versleutelde backups naar cloud opslag te pushen.
Windows: Bestandsgeschiedenis
Bestandsgeschiedenis biedt versioned backups van je bestanden naar een externe schijf of netwerklocatie. Het is eenvoudiger dan volledige systeem imaging maar dekt de belangrijkste data — je documenten, foto's en werkbestanden.
Voor uitgebreidere backups, overweeg Windows Backup (ingebouwd) of third-party tools zoals Veeam Agent (gratis), Duplicati, of Backblaze.
Linux: meerdere uitstekende opties
Linux gebruikers hebben verschillende uitstekende backup tools:
- Borg Backup: Deduplicerend, versleuteld, efficiënt. Mijn persoonlijke keuze voor servers. Werkt over SSH, ondersteunt compressie, en behandelt grote datasets goed
- Kopia: Modern alternatief voor Borg met een mooie GUI. Ondersteunt meerdere backends inclusief S3, Azure, Google Cloud, en lokale opslag
- Deja Dup: Gebruiksvriendelijke GUI voor GNOME desktops. Gebruikt duplicity onder de motorkap. Geweldig voor desktop gebruikers die iets simpels willen
- restic: Snel, veilig, ondersteunt veel backends. Goede documentatie en actieve ontwikkeling
- rsync + scripts: Niet echt een backup tool, maar gecombineerd met snapshots en rotatie werkt het goed voor simpele behoeften
Wat te backuppen
Niet alles heeft dezelfde backup behandeling nodig:
Kritiek (3-2-1 met offsite)
- Documenten, foto's, video's — onvervangbare persoonlijke bestanden
- Code repositories (hoewel deze ook op GitHub/GitLab moeten staan)
- Wachtwoordmanager databases
- Encryptie sleutels en certificaten
- Financiële administratie
- Configuratiebestanden en dotfiles
Belangrijk (lokaal + één offsite kopie)
- Applicatie instellingen en voorkeuren
- Email archieven
- Gedownloade software installers
- Virtuele machines
Vervangbaar (alleen lokale backup, of geen)
- Besturingssysteem bestanden (kunnen opnieuw worden geïnstalleerd)
- Applicaties (kunnen opnieuw worden gedownload)
- Cache en tijdelijke bestanden
De vergeten stap: test je restores
Een backup die je niet hebt getest is een backup die je niet kunt vertrouwen. Ik verifieer regelmatig mijn backups door:
- Willekeurige bestanden herstellen: Kies elke maand een paar bestanden en herstel ze. Openen ze correct?
- Volledige restore oefeningen: Jaarlijks herstel ik een complete backup naar een reserve schijf of VM. Dit vangt problemen voordat ze ertoe doen
- Checksums verifiëren: De meeste backup tools kunnen backup integriteit verifiëren zonder een volledige restore
- Encryptie controleren: Verifieer dat je daadwerkelijk je backups kunt ontsleutelen met de opgeslagen wachtwoordzin
Ik heb te veel gevallen gezien waar iemand jarenlang zorgvuldig backups draaide, alleen om tijdens een crisis te ontdekken dat de backups corrupt, onvolledig of onmogelijk te herstellen waren.
Aanvullende overwegingen
Versiebeheer
Bewaar meerdere versies van je backups. Als ransomware je bestanden versleutelt en je hebt maar één backup kopie die direct synchroniseert, wordt je backup ook versleuteld. Point-in-time recovery laat je teruggaan naar vóór het probleem begon.
Retentiebeleid
Bewaar niet alles voor altijd (tenzij je dat moet voor compliance). Een veelvoorkomend schema: uurlijkse backups voor 24 uur, dagelijks voor 30 dagen, wekelijks voor 12 weken, maandelijks voor 12 maanden. Dit balanceert herstelbaarheid met opslagkosten.
Automatisering
Handmatige backups gebeuren niet. Automatiseer alles. De beste backup is degene die draait zonder dat je eraan denkt.
Documentatie
Documenteer je backup strategie. Waar zijn de backups? Wat is de encryptie wachtwoordzin? Hoe herstel je? Bewaar deze documentatie apart van de backups zelf. Een familielid of collega zou je data moeten kunnen herstellen als je niet beschikbaar bent.
Aan de slag
Als je nog geen backup strategie hebt, begin simpel:
- Vandaag: Koop een externe schijf, stel Time Machine/Bestandsgeschiedenis/Deja Dup in met encryptie
- Deze week: Meld je aan voor een cloud backup service of stel rsync/restic in naar cloud opslag
- Deze maand: Regel offsite opslag — bij een vriend thuis, een bankkluis, of een tweede cloud provider
- Elk kwartaal: Test je restores
De beste tijd om backups in te stellen was voordat je ze nodig had. De op een na beste tijd is nu.
"No pensé que me pasaría a mí." Eso es lo que todos dicen después de perder sus datos. Los discos duros fallan. Los portátiles son robados. El ransomware encripta todo. Las casas se inundan. La pregunta no es si experimentarás pérdida de datos, sino cuándo.
Encripto todas mis copias de seguridad y las almaceno en múltiples ubicaciones, incluyendo diferentes países. Aquí está la estrategia que uso y recomiendo a todos los que preguntan.
La regla de backup 3-2-1
La regla 3-2-1 es la base de cualquier estrategia de backup sólida:
- 3 copias de tus datos (el original más dos backups)
- 2 tipos de medios diferentes (disco interno, disco externo, nube, cinta, etc.)
- 1 copia fuera del sitio (ubicación físicamente separada)
Esto protege contra varios modos de fallo. Un solo backup en un disco externo junto a tu ordenador no protege contra robo, incendio o inundación. Los backups solo en la nube no protegen contra bloqueos de cuenta o interrupciones del servicio. La combinación proporciona defensa en profundidad.
Por qué la encriptación no es negociable
Cada backup que creo está encriptado antes de salir de mi máquina. Esto no es paranoia — es higiene de seguridad básica. Aquí está el por qué:
- Robo físico: Si alguien roba tu disco externo o portátil, los backups encriptados son inútiles para ellos
- Almacenamiento en la nube: Estás confiando tus datos a un tercero. La encriptación significa que no pueden leerlos aunque quieran
- Almacenamiento fuera del sitio: Los backups en casa de un amigo, caja de seguridad bancaria u otra ubicación deben ser ilegibles sin tu clave
- Cumplimiento: Muchas regulaciones requieren encriptación de datos personales en reposo
La mayoría de las herramientas de backup modernas soportan encriptación nativamente. Actívala. Usa una frase de contraseña fuerte. Almacena la frase de contraseña de forma segura (un gestor de contraseñas funciona bien).
Mis ubicaciones de backup
Mantengo backups en múltiples ubicaciones, siguiendo la regla 3-2-1:
Backups locales
La primera línea de defensa. Rápidos de crear, rápidos de restaurar. Uso discos externos encriptados que ejecutan backups incrementales cada hora o diariamente. Esto detecta eliminaciones accidentales y corrupción de archivos rápidamente.
Backups fuera del sitio (mismo país)
Un backup en casa de un amigo u oficina protege contra desastres localizados — incendio, inundación, robo. Roto discos encriptados periódicamente. La clave es que está físicamente separado de la ubicación principal.
Backups fuera del sitio (diferentes países)
Para los datos verdaderamente críticos, mantengo backups encriptados en diferentes países. Esto protege contra desastres regionales, incautación legal, y asegura disponibilidad incluso durante grandes interrupciones. El almacenamiento en la nube con servidores en múltiples regiones funciona bien para esto.
Herramientas de backup por plataforma
macOS: Time Machine
Time Machine es excelente para backups locales. Está integrado en macOS, se ejecuta automáticamente y soporta encriptación. Conecta un disco externo, activa Time Machine, marca la casilla de encriptación, y listo.
Para backups fuera del sitio/nube, combina Time Machine con una herramienta como Arq, Duplicati, o restic para enviar backups encriptados al almacenamiento en la nube.
Windows: Historial de archivos
El Historial de archivos proporciona backups versionados de tus archivos a un disco externo o ubicación de red. Es más simple que las imágenes completas del sistema pero cubre los datos más importantes — tus documentos, fotos y archivos de trabajo.
Para backups más completos, considera Windows Backup (integrado) o herramientas de terceros como Veeam Agent (gratis), Duplicati, o Backblaze.
Linux: múltiples opciones excelentes
Los usuarios de Linux tienen varias herramientas de backup excelentes:
- Borg Backup: Deduplicante, encriptado, eficiente. Mi elección personal para servidores. Funciona sobre SSH, soporta compresión, y maneja grandes conjuntos de datos bien
- Kopia: Alternativa moderna a Borg con una buena GUI. Soporta múltiples backends incluyendo S3, Azure, Google Cloud, y almacenamiento local
- Deja Dup: GUI amigable para escritorios GNOME. Usa duplicity internamente. Genial para usuarios de escritorio que quieren algo simple
- restic: Rápido, seguro, soporta muchos backends. Buena documentación y desarrollo activo
- rsync + scripts: No es una herramienta de backup per se, pero combinado con snapshots y rotación, funciona bien para necesidades simples
Qué respaldar
No todo necesita el mismo tratamiento de backup:
Crítico (3-2-1 con offsite)
- Documentos, fotos, videos — archivos personales irremplazables
- Repositorios de código (aunque estos también deberían estar en GitHub/GitLab)
- Bases de datos del gestor de contraseñas
- Claves de encriptación y certificados
- Registros financieros
- Archivos de configuración y dotfiles
Importante (local + una copia offsite)
- Configuraciones y preferencias de aplicaciones
- Archivos de email
- Instaladores de software descargados
- Máquinas virtuales
Reemplazable (solo backup local, o ninguno)
- Archivos del sistema operativo (se pueden reinstalar)
- Aplicaciones (se pueden volver a descargar)
- Caché y archivos temporales
El paso olvidado: prueba tus restauraciones
Un backup que no has probado es un backup en el que no puedes confiar. Verifico regularmente mis backups:
- Restaurando archivos aleatorios: Elige algunos archivos cada mes y restáuralos. ¿Se abren correctamente?
- Simulacros de restauración completa: Anualmente, restauro un backup completo a un disco de repuesto o VM. Esto detecta problemas antes de que importen
- Verificando checksums: La mayoría de las herramientas de backup pueden verificar la integridad sin hacer una restauración completa
- Comprobando encriptación: Verifica que realmente puedes desencriptar tus backups con la frase de contraseña almacenada
He visto demasiados casos donde alguien ejecutó backups diligentemente durante años, solo para descubrir durante una crisis que los backups estaban corruptos, incompletos o imposibles de restaurar.
Consideraciones adicionales
Versionado
Mantén múltiples versiones de tus backups. Si el ransomware encripta tus archivos y solo tienes una copia de backup que se sincroniza inmediatamente, tu backup también se encripta. La recuperación point-in-time te permite volver a antes de que comenzara el problema.
Políticas de retención
No guardes todo para siempre (a menos que lo necesites por cumplimiento). Un esquema común: backups cada hora durante 24 horas, diarios durante 30 días, semanales durante 12 semanas, mensuales durante 12 meses. Esto equilibra la recuperabilidad con los costos de almacenamiento.
Automatización
Los backups manuales no ocurren. Automatiza todo. El mejor backup es el que se ejecuta sin que pienses en ello.
Documentación
Documenta tu estrategia de backup. ¿Dónde están los backups? ¿Cuál es la frase de contraseña de encriptación? ¿Cómo restauras? Almacena esta documentación separada de los propios backups. Un familiar o colega debería poder recuperar tus datos si no estás disponible.
Empezando
Si aún no tienes una estrategia de backup, empieza simple:
- Hoy: Compra un disco externo, configura Time Machine/Historial de archivos/Deja Dup con encriptación
- Esta semana: Regístrate en un servicio de backup en la nube o configura rsync/restic hacia almacenamiento en la nube
- Este mes: Organiza almacenamiento offsite — la casa de un amigo, una caja bancaria, o un segundo proveedor de nube
- Trimestralmente: Prueba tus restauraciones
El mejor momento para configurar backups fue antes de que los necesitaras. El segundo mejor momento es ahora.
Need help designing a backup strategy for your infrastructure? Hulp nodig bij het ontwerpen van een backup strategie voor je infrastructuur? ¿Necesitas ayuda diseñando una estrategia de backup para tu infraestructura? Let's talk.