Defensa en Auditoría de Autodesk: 6 tips imprescindibles

Nov 10, 2023 | Auditorías de software, Autodesk

Autodesk se caracteriza por ser uno de los fabricantes más agresivos a la hora de llevar a cabo acciones de compliance contra sus clientes: disponer de una buena estrategia de defensa en auditoría de Autodesk va a marcar la diferencia.

Si Autodesk ha contactado con su empresa para llevar a cabo una verificación de la situación de cumplimiento de sus licencias, puede deberse a que (por distintos medios) ya dispongan de cierta información sobre el uso de su software en su organización: ¿Sabía que, por ejemplo, Autodesk tiene habilitado un canal para que cualquiera delate el uso indebido de sus productos?

Mantener la calma al recibir la notificación de auditoría y, sobre todo, disponer de los conocimientos y experiencia adecuados, va a ser clave para incrementar nuestras posibilidades de éxito y no terminar con amenazas y una reclamación de muchos ceros encima de nuestra mesa.

En este artículo exploraremos algunas de las mejores estrategias (probadas y contrastadas) de defensa en auditoría de Autodesk.

Tip1: Contrato aplicable

La cláusula de auditoría se encuentra en el los Términos y Condiciones de Uso que el cliente acepta (“clickwrap”) al instalar el software.

Se puede acceder aquí a la versión actual de los Términos y Condiciones de Uso, vigente únicamente desde el 26 de mayo de 2023.

No suele ser fácil para Autodesk localizar el contrato concreto aceptado por el cliente y cuya cláusula de auditoría es la que realmente aplica para regular todo el proceso: esto es de suma importancia ya que la redacción de las cláusulas de auditoría ha cambiado con el tiempo según las versiones del contrato y las obligaciones del cliente pueden verse alteradas (ej. metodología de auditoría).

La simple remisión de un link, por parte de Autodesk (o su auditor) a los Términos y Condiciones de Uso actuales, nunca es prueba de aceptación ni por tanto acredita su obligatoriedad.

Es por ello que solicitar la versión del contrato aceptado, para verificar la versión aplicable, es una práctica esencial a la hora de disponer de una base sólida sobre la que construir toda la estrategia de defensa en auditoría de Autodesk.

Tip 2: Kick off

Como continuación de la notificación de auditoría, Autodesk propondrá una reunión de kick off para presentar por una parte el proceso y, en su caso, al auditor externo que va a llevar a cabo la recolección de la información para la determinación de la posición de licenciamiento del cliente.

El consejo durante el kick off es mostrarnos con voluntad colaborar y señalar a Autodesk que todo lo que nos comunique se trasladará internamente (de este modo ganamos tiempo), escuchando únicamente qué es lo que quieren y adoptando una posición pasiva sin proporcionar información ni comprometerse con ningún plazo hasta que previamente se resuelvan las cuestiones que puedan surgir (algunas de las cuales veremos como por ejemplo disponer del contrato aplicable, NDA, etc.).

Tal y como ocurre con otros fabricantes (ej. Oracle), todo lo que digamos en esta reunión puede ser utilizado en nuestra contra, por lo que interesa extremar las precauciones y evitar riesgos.

Tip 3: NDA

La firma de un acuerdo de confidencialidad adecuado, no el que proponga Autodesk, es imprescindible no solo para la protección de la información, sino para ganar tiempo y sobre todo para disponer de un terreno propicio sobre el que desarrollar nuestra estrategia de defensa en auditoría de Autodesk.

En este sentido, es absolutamente razonable solicitar garantías para asegurar la protección de nuestra información sensible, y mucho más teniendo en cuenta la posible participación de terceros colaborando con Autodesk en la realización de la auditoría.

Tip 4: Script

En las auditorías, y para detectar la situación de las instalaciones, uso y accesos al software, Autodesk propone la ejecución de la herramienta ScanWin (aquí puede verse un vídeo sobre su instalación): nuestra recomendación es mantener siempre el control sobre la información que puede terminar en manos de Autodesk y por tanto nunca utilizar esta herramienta.

Existen alternativas con mucho menos riesgo y que también pueden ofrecer una imagen confiable de la situación actual de la instalación y uso del software de Autodesk.

Algunos consejos útiles para acordar con Autodesk un medio alternativo a la ejecución de los scripts son:

  • Una vez detectada la versión adecuada del contrato aplicable, comprobar que no existe obligación expresa de ejecutar el script ScanWin.
  • Requerir a Autodesk compromisos escritos sobre tratamiento de información sensible (ej. datos de carácter personal, GDPR, etc.).
  • Requerir a Autodesk la firma de un acuerdo de responsabilidad para asegurar que se van a hacer cargo de cualquier perjuicio que pueda ocasionar el uso de la herramienta o la utilización indebida de la información extraída.

Tip 5: Evitar Frentes Internos

Hay que evitar que en el transcurso de la auditoría se abran frentes internos, y ello es aún más necesario con fabricantes como Autodesk que no dudan en tratar de activar varias palancas para lograr la información que desean o escalar a la Dirección cuando consideran que el proceso no se desarrolla como a ellos le conviene.

Para ello suelen ser eficaces dos medidas:

  • Comunicar internamente con carácter previo la existencia de la auditoría, su verdadera naturaleza, la necesidad de controlar la información y la posibilidad de que existan tensiones y escalaciones.
  • Acordar con Autodesk que cualquier tipo de comunicación se desarrollará únicamente a través del interlocutor único designado al efecto.

Tip 6: Conocer la causa de la auditoría

Algunas de las causas de una auditoría de Autodesk pueden ser:

  • La realización de revisiones periódicas: Autodesk tiene como objetivo revisar a la mayor parte de sus clientes en ciclos de 4 años.
  • Haber recibido información a través de tecnologías “Phone Home”, por lo que por ejemplo puede tener conocimiento del uso de productos con clave pirata o de versiones educativas en ámbitos comerciales.
  • La reducción del gasto en sus productos, cuando se supone que deberían aumentar (ej. adquisiciones de empresas), por lo que Autodesk puede emplear cierto tipo de “acciones comerciales agresivas” para incrementarlo. Recomendamos mucha precaución con los partners en este sentido.
  • Autodesk dispone de un canal de delación para que cualquiera que tenga conocimiento de que se están llevando a cabo incumplimientos de licencia o acciones de pirateo de sus productos (ej. empleados, etc.), pueda ponerlo en su conocimiento.

En todo caso, cuando se recibe una notificación de auditoría siempre es interesante conocer la causa que la motivó porque el proceso puede cambiar sensiblemente (y por tanto también la estrategia a seguir).

Contacte con nuestros expertos en gestión y defensa en auditorías de Autodesk

Las auditorías de Autodesk son un campo minado de trampas en los que cualquier descuido puede suponer terminar con una reclamación de muchos ceros (y mucha presión y amenazas).

Disponer de ayuda profesionalizada, y con el conocimiento y experiencia adecuados, es la mejor garantía para evitar que la auditoría se convierta en un proceso disruptivo sin control y en el foco de riesgos legales y financieros no previstos.

En Evergreen Compliance somos absolutamente independientes de cualquier fabricante, también de Autodesk, por lo que nuestro único interés es el interés del cliente.

Contáctenos hoy mismo para saber cómo hemos ayudado a nuestros clientes a preparar su defensa en auditorías de Autodesk y conviértase en nuestro próximo caso de éxito.

También te puede interesar:

Auditoría de IBM y cómo preparar la defensa: Actualización 2024

Auditoría de IBM y cómo preparar la defensa: Actualización 2024

Resulta habitual que IBM se ponga en contacto con sus clientes con la finalidad de acometer una auditoría o revisión de software. De hecho, si su compañía no ha participado aún en una auditoría hay muchas probabilidades de que lo haga próximamente, y si ha transcurrido un tiempo suficiente desde la última revisión, es previsible que se produzca otra nueva. En ambos casos ha de estarse preparado para afrontarla.